Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Überwachung, Angriffserkennung und Analysemöglichkeiten auf Container-Umgebungen zur Laufzeit

Tools zur statischen Analyse von Deployments in Kubernetes-Umgebungen finden sich zahlreich am Markt. So können Container-Images und Dependencies der Deployments mit Hilfe offener oder proprietärer Vulnerability-Feeds auf bekannte Schwachstellen geprüft werden.

Neu sind Erkennungsmethoden auf Basis des Verhaltens bei oder nach der Ausnutzung vorhandener Schwachstelle innerhalb des Containers. Dadurch soll die Erkennung einer Kompromittierung unabhängiger von der eigentlichen Schwachstelle gemacht werden.

Diese dynamischen Analyse-Methoden kombinieren häufig Prozessprofile, Dateisystemzugriffe und Muster bekannter missbräuchlicher Verwendung von Linux-Tools. Der Talk beschreibt, wie das Zusammenspiel aussieht.

Vorkenntnisse

Technologisch wird dieser Talk mittels eines Kubernetes-Clusters und dem Container-Security-Tool NeuVector der Firma SuSE dargestellt- Daher sind Kenntnisse über Container und Kubernetes hilfreich. Der Vortrag ist jedoch so gestaltet, dass die Vorgehensweise technologisch herstellerunabhängig verstanden und angewandt werden kann.

Lernziele

  • Erstellen von Sicherheitsprofile für Deployments in Containerumgebungen mittels verschiedener Herangehensweisen
  • Ausnutzung einer exemplarischen Schwachstelle in einer Anwendung, die mittels des Sicherheitsprofils überwacht wird
  • Auswerten der Ereignisse, die durch die Aktivitäten des Angreifers im Container entstanden sind (manuell, GUI-Tool)
  • Manuelle oder automatisierte Vorabanalysen der Container über verschiedene Wege

Speaker

 

Johannes Bär
Johannes Bär arbeitet bei der condignum GmbH als Team Lead des Teams Professional Services, das für die Durchführung von Penetration-Tests und Angreifersimulationen zuständig ist. Außerdem führt das Team Evaluationen neuer IT-Securitylösungen durch und hilft Kunden dabei, deren Tauglichkeit gegen realistische Bedrohungen zu bewerten, und ggf. bei der sicheren Konfiguration solcher Lösungen.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden