RSA創新沙盒盤點｜Araali Networks——雲原生風險緩解

RSA創新沙盒十強盤點
RSAConference2022將於舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將透過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的廠商是：Araali Networks。

一、公司介紹
Araali Networks（以下簡稱Araali）是一家為雲原生環境提供威脅管理解決方案的公司。該公司可對威脅進行檢測和攔截。在eBPF技術支撐下，使用者可以在自己的私有虛擬雲中制定某個身份能夠執行的動作，從而防止惡意程式碼建立後門或進入伺服器。

Araali創辦於2018年，總部位於美國加利福利亞州，並於2020年獲得了種子輪投資。此外，Araali 的雲入侵檢測和防禦系統已獲得SOC-2 II類合規認證。

其創始人團隊陣容如圖1所示[1] 。Abhishek之前是Tetration Analytics的聯合創始人/工程副總裁，在那裡他帶領初始團隊構建和擴充套件了一個資料中心規模的平臺，以實現虛擬機器環境中的細分和安全。在加入Tetration之前，他曾在Aruba、Cisco和Ericsson擔任工程領導職務。Abhishek擁有印度坎普爾技術學院的理工科學士學位和約翰霍普金斯大學的碩士學位(都是電腦科學)。

圖1 Araali Networks創始人

Bhanu曾是Aruba Networks的工程負責人，在那裡他領導了SD-WAN產品。此前，他曾擔任思科和HPE Tandem的技術主管/經理。Bhanu擁有尼赫魯科技大學的理工科學士學位和路易斯安那拉斐特大學（電腦科學）的碩士學位。

二、相關背景
雲代表了一種新的消費模式，同時也一併帶來了新風險。使用者與服務提供商共同承擔責任，針對不同的型別服務，如IaaS、PaaS和SaaS，有著不同的風險。

雲風險可以大致分為三個類別：
1、應用程式漏洞：包括應用程式、軟體供應鏈，以及與作業系統捆綁在一起的開源應用程式。
2、SaaS 配置：SaaS的一般安全配置，特別是圍繞IAM和訪問控制。
3、使用者和合作夥伴訪問：除應用程式之外，使用者和合作夥伴往往會擁有一定的許可權，一旦被濫用有可能會造成威脅。

針對這些應用程式漏洞，保持系統和軟體及時更新補丁是最常見且最有效的方式。大多數網路安全事件是由未打補丁的系統和軟體引起的。根據Ponemon Institute的一項研究顯示，2019年60%的攻擊行為與可用補丁但未應用的漏洞有關[2]。

根據圖2顯示[3]，CVE的漏洞數量呈現出逐年上升的趨勢，這麼多的漏洞必然意味著需要大量的補丁對已知漏洞實施更新和修補。

圖2 每年CVE數量

我們知道，保持系統和軟體完全修補對於防止惡意軟體和網路攻擊至關重要。但是還會有很多系統沒有及時更新打上補丁。例如，Wannacry勒索軟體加密蠕蟲在首次實施四年後仍在使用，因為部分系統至今仍未針對其目標漏洞進行修補。之所以沒能完成修復的一些原因包括：

1. 需要修補的系統和軟體數量過多，每個修復都需要花費大量的人力物力。
2. 補丁的修復往往需要停機中斷服務。
3. 補丁的相容性可能會導致原始的服務不可用。

Araali提出了一種叫做Resilient-Patching彈性補丁的技術解決方案，並不是在應用程式內部更新補丁，而是採取一種類似WAF的手法，在應用的外部邊界進行防護。但有別於傳統的虛擬補丁技術，支援針對請求響應進行檢測和防禦。彈性補丁透過強制執行其預先指定的行為來限制應用程式的能力，防止存在偏差的行為，從而防止攻擊者利用脆弱性進行惡意行為，且這種方式不用中斷業務，也不用擔心補丁出現相容性問題。同時加強業務的訪問控制，自動檢測應用程式完成工作所需的最低許可權，實現基於使用者行為身份的訪問控制，不依賴於secret或者密碼等資訊。最後，針對攻擊中很重要的一環：利用程式後門進行檢測，提出後門檢測即服務（Detection as a Service，DaaS），對攻擊中的後門行為進行有效的分析識別檢測，有效緩解雲原生面臨的風險。

三、產品介紹
1、彈性遮蔽
在雲原生環境中，Araali安裝了一個分散式跟蹤和執行模組 (Araali-FW) 作為Kubernetes守護程式集。策略會跟隨應用程式的生命週期，而不是永久地執行在基礎設施上。這點與sidecar的模式相似，但是Araali基於高效能的eBPF（extended Berkeley Packet Filter）實現，不需要將能力重新定向到sidecar中，從而降低系統開銷。

Araali實現了策略的智慧、集中管理和自動發現。Araali會自動分析使用彈性補丁，限制應用的許可權和能力，防止惡意攻擊行為。這類似於在應用程式周圍放置一個防護罩，將漏洞限制在本地防護罩內，並且不允許傳播。如圖3所示[4]。

Araali的彈性修補解決方案帶有內建監控和自我糾正功能。所有策略都是自動發現和自我糾正的。解決方案的自動化特性消除了人為錯誤的因素，這通常是修補操作中最薄弱的環節。這部分官方沒有詳細說明原理，我們猜測可能是透過機器學習等相關方式持續監控系統、應用、網路等行為，建立行為模型，並在持續執行的過程中不斷學習，自適應變化。

圖3 Araali防護模式示意

彈性補丁檢測流程如圖4所示[5]：
1、在任務的執行流程中放入eBPF的觀測能力。
2、獲取資料進行建模。我們猜測該步驟是透過eBPF進行系統呼叫的Hook，網路socket的流量分析，學習出應用的特定行為模型。
3、對於和預先指定行為存在偏差的惡意行為進行阻斷，對該惡意行為的阻斷應該就是一個彈性修復。

圖4 彈性補丁檢測流程

2、訪問控制
Araali的訪問控制可以自動化實現資源的最低許可權無密碼訪問控制。如圖5所示[6]，傳統雲廠商提供的IAM產品，雖然也可以提供基於IAM策略的無密碼控制，但這僅限於雲廠商自己的產品。當需要使用第三方的SaaS或者使用者自己的服務時，就只能依賴基於網路的安全策略。Araali透過基於eBPF的控制元件，自動檢測應用程式完成工作所需的最低許可權，來強制執行最小許可權原則(PoLP)。

圖5 Araali的訪問控制於雲IAM訪問控制差異

3、檢測即服務
後門是影響Linux正常執行的三大威脅之一（另外兩個是DDoS和加密挖礦）。後門使攻擊者可以在環境中進行持久的遠端控制。此外，它還允許他們進一步武器化並輕鬆下載下一階段攻擊所需的利用工具包（例如Metasploit和cobalt strike）。最後，在活動結束時，後門可以用作竊取資料的渠道。

Araali使用基於eBPF的控制元件來建立基於身份的行為模型。對出站的請求進行檢測分析，並與外部威脅情報結合，在網路流程層面對惡意連線進展分析阻斷，這部分能力與傳統的NIDS能力比較類似。圖6展示了檢測受感染的應用程式發起的後門連線請求。

圖6 受感染的應用程式發起的後門連線請求

四、技術特點
1、無需重新編譯或重新部署程式碼
使用Araali的彈性補丁，可以在不改動應用程式碼或者重新部署的情況下，對應用的缺陷進行修補，在應用外部建立防護罩，將應用程式行為限定在預定義的邊界內。

2、合規建立符合NIST安全框架的成熟度
Araali與圖7 NIST網路安全框架保持一致[5]。
1、識別（基於風險的評估）
2、保護（彈性補丁—主動/隔離應用程式）
3、檢測（密封和監控邊界）
4、響應（反應性修補）
5、恢復（使用彈性修補重新部署）

圖7 NIST網路安全框架

識別
Araali會持續掃描執行時環境，以評估固有風險並確定其優先順序。它會自動檢測最易受攻擊的應用程式、最有價值的應用程式（資料庫和Database-as-service）及支援這一切的底層關鍵服務（後設資料服務、金鑰儲存等）。它還會查詢具有過多特權、未使用的開放埠、磁碟上的金鑰、特權過高的IAM配置，以分析攻擊的暴露面，最終結果如圖8所顯示。

圖8 自動檢測漏風險識別要保護的關鍵元素

保護
評估風險後，Araali可以為客戶提供主動降低風險的工作流程，利用彈性補丁對應用進行加固強化，實施安全控制。圖9展示了Araali檢測應用中容器級別及程式級別的脆弱性，以視覺化的方式展示應用中的呼叫鏈關係。

圖9 Araali脆弱性分析與彈性補丁

檢測
由於不可能消除所有風險，因此對環境的持續監控也至關重要。Araali能夠及時發現網路安全事件。這些作為警報被觸發並智慧地傳送到SecOps團隊或推送到SIEM，以進行進一步關聯和分析。警報具有豐富的有意義的上下文。此外，Araali還允許SecOps團隊重放警報觸發動作，以瞭解事件的順序——這是瞭解威脅程式的有力方法。圖10展示了Araali告警內容，包含時間、客戶端、服務、狀態等資訊。

圖10 具有完整上下文的警報被髮送到SecOps團隊

響應
針對探測的威脅，可以透過上文提到的彈性補丁技術對應用加固，修復應用的缺陷。

恢復
DevOps團隊將重新部署應用程式、基礎設施和配置的新副本，並在最後階段啟用緩解控制。由於風險現在已經引起人們的注意，DevOps團隊可以將應用程式新增到主動保護計劃中，即“識別”步驟的一部分，從而完成良性迴圈。

3、低開銷
得益於eBPF技術的加持，可以不需要將能力重新定向到sidecar中，降低系統開銷。

4、防止尚未披露的漏洞和零日漏洞
在NIST網路安全框架中，最麻煩的部分就是“檢測和響應”階段。這部分就像是貓鼠遊戲，不斷的修復繞過，不斷博弈。因此提出了安全左移的概念。但是安全左移往往會有很多問題而無法有效實施，比如開發人員的安全意識，過緊的專案週期而無法完成安全需求等。Araali的彈性補丁可以直接鞏固強化應用的行為，從而防止入侵行為。官方宣稱“一次響應，永久預防”。但是即使是原始碼層面的直接修復也會存在繞過的可能性，要做到永久預防可能還會有一點困難。

五、總結
在雲原生飛速發展的大環境下，雲原生場景下的風險緩解自然是不可或缺的一環。

Gartner公司提到，到 2023 年，75%的安全故障將與身份、訪問和許可權管理不善有關[7]。

Araali透過彈性補丁將最小許可權原則 (PoLP) 應用於所有應用程式，防止惡意程式碼建立後門或進入伺服器。Araali的彈性補丁與傳統的虛擬補丁相比，雖然都不會對應用程式進行直接修改，不用重新編譯應用。但是不同於虛擬補丁針對請求和響應進行檢測阻斷的方式，彈性補丁直接對應用的功能進行加固強化，透過基線的方式自主發現微服務的異常行為，有效避免補丁不斷更新最佳化的修補競賽局面。

從實踐角度來看，eBPF技術需要較高版本的核心支援，因而這種方式目前還受限。不過得益於eBPF當前蓬勃發展的生態，相信越來越多的企業會考慮將系統核心升級以享受到該變革性技術帶來的益處。

Araali建立了完整的識別、保護、檢測、響應、恢復的安全框架，實現了安全的閉環運營。同時eBPF的引入也使得Araali能最低限度地降低系統開銷。Araali的雲原生風險緩解過程極具創新性。