博客

肮脏的管道和应用基础设施保护的重要性

Chris Ford 缩略图
克里斯·福特
2022 年 3 月 23 日发布

今年年初出现了一些影响云原生组织的基础设施级漏洞,例如 Log4j 和 Pwnkit。 延续这一趋势的是 Dirty Pipe,它是 Linux 内核中的一个漏洞。 Dirty Pipe 允许覆盖任意只读文件中的数据,从而通过将代码注入 root 进程来提升权限。

鉴于不良行为者可以利用 Dirty Pipe 从基础设施层面造成破坏,这可能会给很多企业带来问题。 但通过全面了解整个环境,可以对这些漏洞在出现时进行适当的管理。

防范脏管道的问题

F5应用战略状况报告显示,许多进行数字化转型的组织都致力于“现代化”其关键业务应用。 我们看到我们的客户越来越多地投资基于微服务的基础设施来运行这些应用,因为它们提供了更高的灵活性和创新速度等强大的优势。

随着应用现代化的推动,我们也看到了对应用保护的更多需求。 上个月,F5 发布了F5 分布式云 WAAP来解决这一问题,为客户提供了一系列应用层保护工具,如 Bot Defense 或Advanced WAF(API 安全 - 新一代 WAF)。 该解决方案使我们的客户能够通过访问关键业务应用来阻止攻击对组织的影响。

Dirty Pipe 等漏洞(以及其他近期的漏洞,如 Pwnkit 或 Log4j)的问题在于,当有针对性的攻击暴露了基础设施级别的弱点时,仅仅使用分布式云 WAAP 等工具阻止恶意行为者访问应用层是不够的。 应用s的安全性取决于其运行的云原生基础设施,因此为了防御像 Dirty Pipe 这样的漏洞,客户需要保护基础设施本身。 通过收购Threat Stack ,F5 也具备了提供此功能的理想条件。

Threat Stack 监控云原生基础设施堆栈的所有层(从云管理控制台、主机、容器和编排),以发现表明攻击者已获得基础设施访问权限的行为。 然后,Threat Stack 为客户提供必要的可观察性,以便他们主动、快速地采取有针对性的措施来消除对该层的威胁。 结合 F5,客户可以全面了解应用和基础设施层面的威胁,从而保护其现代化应用的安全。

Threat Stack 如何帮助解决管道污染问题

具体来说,对于 Dirty Pipe 而言,Threat Stack 客户立即受益于Oversight 、Threat Stack 的 24/7/365 安全运营中心 (SOC) 监控和专业知识。 与 Log4j 和 Pwnkit 非常相似,团队开始在整个客户群中寻找 Dirty Pipe 的迹象,以确定我们如何才能最好地为客户提供支持。

在执行威胁搜寻和研究第三方专家来源后,我们确定,与 Log4j 非常相似,Threat Stack 可以检测到特定于此漏洞的后利用活动。 Threat Stack 的开箱即用规则被设置为观察并警告任何显示客户环境中 Dirty Pipe 活动的危害指标。

我们将继续追踪 Dirty Pipe 对我们客户的影响,就像我们对 Log4j、Pwnkit 和其他产品所做的那样。 但更大的问题是,攻击只可能发生在基础设施层面,为了保证现代化应用的安全,您需要对这些攻击有所了解。 在 Threat Stack 和 F5,我们致力于做到这一点。