云原生技术发展火热,越来越多企业开始将传统业务云原生化,但安全问题也接踵而至。
云原生、云安全老生常谈,但面对云原生填不满的“坑”,企业又该如何应对?
点击观看视频
问题1: Metarget的主要功能和特点
Metarget是一个脆弱基础设施自动化构建框架,主要用于快速、自动化搭建从简单到复杂的脆弱云原生靶机环境。支持云原生组件、容器化应用等两类脆弱场景的自动化构建,以生成多节点、多层次的云原生环境靶场。它可以有效地帮助安全研究人员进行漏洞学习,帮助红蓝对抗、渗透测试人员提升云原生安全攻防实战技能,帮助安全产品开发人员测试云原生防御系统的威胁检测响应能力。
目前Metarget靶场已支持330多个漏洞,覆盖的程序组件包含常见的Docker、K8s、runC、containerd、kernel、危险配置、危险挂载等,覆盖的场景包括容器逃逸、权限提升、拒绝服务等;这些漏洞环境都支持一键自动部署,免去了安全研究人员自行搭建环境的过程。
当然,在过去很长一段时间的用户反馈中,我们也发现了Metarget的一些不足,受用户网络环境、ubuntu版本、Docker版本的影响,通过这种自动化脚本一键安装漏洞环境偶尔还是会失败,并且难以定位失败原因。
因此,我们借此机会正式推出Metarget 1.0版本。
问题2: 相比于之前的开源版本,这次发布的主要区别有哪些?
本次发布的Metarget做了一定的虚拟化,我们使用Docker容器+QEMU嵌套的方式实现虚拟化,将漏洞环境的运行时要求、依赖项(kernel版本、runC版本等等)提前内置进去,免去用户用我们的自动化脚本下载安装,用户想使用漏洞环境测试时直接拉取镜像或build Dockerfile,真正意义上做到随取随用,几乎不会失败,这样漏洞研究人员就可以全身心的投入到poc、exp的调试利用上。除此之外,Metarget 1.0版本新增漏洞环境和云原生ATT&CK矩阵映射覆盖,构建云原生漏洞靶场和云原生场景下渗透测试的关系;还支持安装漏洞环境后一键恢复,降低漏洞对用户正常环境的影响,提升用户使用体验;具体细节可参考《全新升级 — 云原生开源靶场Metarget 1.0亮点功能提前曝光》一文。未来我们还考虑会在其中内置CTF、计分等适配培训相关的功能,方便高校、比赛使用。
问题3: Coogo在云原生攻防中的作用有哪些?
Coogo是一个针对容器和云原生环境的自动化后渗透测试工具,它的英文全称是Cloud Offensive Operator go。我们都知道随着云原生技术的火热发展和快速落地,企业开始将传统业务云原生化,云原生环境的安全问题不可忽视。2023年云原生产业联盟曾发布《中国云原生安全用户调查报告》,显示约95%的云原生用户在过去一年中经历了不同程度的安全事件,其中涉及容器和集群的攻击占比高达82.8%。
也是基于这个背景,绿盟科技星云实验室将过去几年在云原生安全领域的攻防研究成果固化为针对云原生环境的渗透测试工具,其核心能力依据后渗透的攻击阶段,分为信息收集、容器逃逸、权限提升、防御绕过、持久化控制、痕迹清理。
问题4:相比于其它渗透测试工具,Coogo优势有哪些?
首先,云原生场景、甚至可以说云环境场景,我们的能力覆盖度全:ATT&CK矩阵的覆盖度接近100%,基于我们星云实验室在云环境攻防的积累,我们的Coogo内置了近200种子能力/子武器,全面覆盖云环境攻防场景。并且,我们还会同步集成我们公司战队在实战中的真实案例到Coogo中;把它变成实战中的一把利刃。
第二,Coogo支持自动化生成攻击路径,并智能化推荐最优攻击路径:目标环境评估->智能地推荐多种攻击能力->能力组合->自动化地生成最优攻击路径->自动化执行渗透测试;
最后,满足多种输入源,支持多样化渗透测试需求:相比于其它工具的只支持渗透测试过程中单一阶段的目标,Coogo支持不同攻击需求/链式目标(比如最终目标控制集群、中间目标获取secret等等),根据用户的渗透目标和需求,自动化生成攻击路径后,Coogo将提供手动/半自动化/自动化等高效且灵活的执行方式来完成余下渗透测试任务。
