Überwachung, Angriffserkennung und Analysemöglichkeiten auf Container-Umgebungen zur Laufzeit

Tools zur statischen Analyse von Deployments in Kubernetes-Umgebungen finden sich zahlreich am Markt. So können Container-Images und Dependencies der Deployments mit Hilfe offener oder proprietärer Vulnerability-Feeds auf bekannte Schwachstellen geprüft werden.

Neu sind Erkennungsmethoden auf Basis des Verhaltens bei oder nach der Ausnutzung vorhandener Schwachstelle innerhalb des Containers. Dadurch soll die Erkennung einer Kompromittierung unabhängiger von der eigentlichen Schwachstelle gemacht werden.

Diese dynamischen Analyse-Methoden kombinieren häufig Prozessprofile, Dateisystemzugriffe und Muster bekannter missbräuchlicher Verwendung von Linux-Tools. Der Talk beschreibt, wie das Zusammenspiel aussieht.

Vorkenntnisse

Technologisch wird dieser Talk mittels eines Kubernetes-Clusters und dem Container-Security-Tool NeuVector der Firma SuSE dargestellt- Daher sind Kenntnisse über Container und Kubernetes hilfreich. Der Vortrag ist jedoch so gestaltet, dass die Vorgehensweise technologisch herstellerunabhängig verstanden und angewandt werden kann.

Lernziele

• Erstellen von Sicherheitsprofile für Deployments in Containerumgebungen mittels verschiedener Herangehensweisen
  
• Ausnutzung einer exemplarischen Schwachstelle in einer Anwendung, die mittels des Sicherheitsprofils überwacht wird
  
• Auswerten der Ereignisse, die durch die Aktivitäten des Angreifers im Container entstanden sind (manuell, GUI-Tool)
  
• Manuelle oder automatisierte Vorabanalysen der Container über verschiedene Wege