隨著企業尋求基礎設施現代化，DevSecOps的落地在現代混合云環境下就顯得尤為重要。Capsule8可以無縫的集成到企業的Linux基礎架構中，并在企業的整個平臺上提供持續的安全響應。此外，它不是SaaS解決方案，它是與用戶的IT基礎設施一起部署。因此，數據完全保存在客戶環境，消除了第三方傳播、刪除或損壞數據的風險，從而給企業帶來更好的安全新體驗。

公司介紹

Capsule8是一家由經驗豐富的黑客和安全企業家創建的高新科技初創型企業，總部位于紐約布魯克林，成立于2016年秋季，在2018年8月獲得1500萬美元的B輪融資。

Capsule8開發了業界第一個也是唯一一個針對Linux的實時0day攻擊檢測平臺，可主動保護用戶的Linux基礎設施免受已知和未知的攻擊。Capsule8實時0day攻擊檢測平臺可顯著改善和簡化當今基礎架構的安全性，同時為未來的容器化環境提供彈性的支持。

背景介紹

混合云環境由于存在多云服務商，缺乏中心控制和完整的合規性規劃，存在邊界模糊，訪問策略不一致等問題，筆者曾探討過[1]相關的訪問控制機制，加上公有云的暴露面增大，攻擊者容易通過進入薄弱點，這也是近年來如軟件定義邊界SDP、移動目標防護MTD等新方案興起的原因。

混合云架構已經成為企業IT基礎設施的重要架構，但其復雜性也使企業面臨多種攻擊的風險，根據Capsule8與ESG Research贊助的一項新研究(針對混合云環境對北美和西歐地區的450名IT和安全專家進行的調查)表明，僅2017一年就有42%的企業報告了混合云環境受到攻擊，28%的企業表示0day攻擊是這些攻擊的起源。

攻擊者進而借助利用0day漏洞，如在容器環境中利用逃逸漏洞(近日爆出在特權容器中逃逸的runc漏洞CVE-2019-5736)，或虛擬化環境中的利用CPU漏洞Meltdown/Spectre等，進入宿主機，進而橫向到企業的云內或企業側網絡，造成更大的威脅。

此外，傳統的攻擊檢測平臺的工作機制通常是分析網絡和安全設備(如入侵檢測系統)的大量日志告警，進行關聯分析，最后還原出惡意攻擊。然而多年來，設備日志告警的置信度不高等問題導致絕大多數平臺告警是誤報，也造成了企業的安全團隊持續處于警報疲勞的狀態。企業急需一種可以有效解決上述問題的安全方案。

無論是傳統環境，還是混合環境，防護利用0day漏洞的高級威脅需要企業安全團隊全方位持續防護資產、獲得環境的可視度(visibility)，檢測惡意行為。

產品介紹

該公司推出的0day攻擊實時檢測平臺Capsule8，而且不會給生產基礎架構帶來風險。

Capsules8平臺整體架構圖如下所示：

Capsule8 OSS傳感器,即Capsule8工作負載保護平臺的探針，是許多威脅檢測機制的基礎。傳感器旨在收集系統安全和性能數據，對服務的影響很小，它能夠實時了解到生產環境正在做什么。該傳感器軟件已開源，項目地址是https://github.com/capsule8/capsule8

Backplane，包含一個實時消息總線，可以獲取到傳感器傳來的實時事件以及Flight Recorder記錄的歷史事件，它實現了背壓從而確保了平臺不會因為過多的Capsule8遙測事件而導致網絡洪水事件;

The Capsule8 API server，提供了統一的接口，允許企業管理生產環境中基礎設施架構所有跟安全相關的數據;

Capsulators封裝了連接客戶端軟件的API,通過它企業可以快速集成實現特定功能的軟件如Splunk和Hadoop，方便企業進行數據分析。通過Capsulators企業不僅可以實時感知集群信息，還可以通過Flight Recorders獲得歷史數據，依據IOC(Indicators of Compromise，包括MD5 hash、IP地址硬編碼、注冊表等)，從而實現追溯調查;

第三方工具，如Splunk和Spark等;

Capsule8 Console，前端可視化界面。

下面我們介紹Capsule8如何實時檢測并阻止0day攻擊。假設客戶生產環境是一個混合云環境，服務器部署于客戶側數據中心、公有云AWS和Azure中。

Capsule8的整個工作流程主要分為以下幾步：

1、感知。為了保護分布式環境，Capsule8傳感器遍布在整個基礎架構中-云環境和數據中心的裸機以及容器上。由于傳感器運行在用戶空間，捕獲少量的安全關鍵數據，故不會對系統工作負載的穩定性和性能造成影響。

以容器環境為例，前述關鍵數據包括：

a.進程生命周期事件(fork，execve以及exit)

b.統調用返回值;

c.匹配容器鏡像名字的file open事件;

d.涉及IPv4的SyS_connect的內核函數調用事件;

e.容器生命周期事件(創建、運行、退出、銷毀))。

2、檢測。感知階段收集到的關鍵數據通過Capsule8 Backplane傳送到企業側臨近位置的Capsule8 Detect分析引擎，利用云端專家的知識庫將數據還原成事件，并對可疑事件進行分析。

3、阻斷。當Capsule8檢測到攻擊時，它可以在攻擊發生之前自動關閉連接，重啟工作負載或者立即警告安全團隊。

4、調查。由于0day攻擊持續事件較長，所以除了實時檢測外，Capsule8會在本地記錄遙測數據，便于專家利用歷史數據進行攻擊朔源。

產品特點

檢測和跟蹤0day威脅從本質上是非常考驗安全團隊的日常運維和運營能力的，Capsule8可在如下方面有所幫助。

從安全運營團隊角度來看

1.實時檢測漏洞

Capsule8使用分布式流分析與高置信數據相結合，在黑客企圖攻擊的實例中檢測攻擊。

在混合環境的檢測引擎、數據本地化，專家云端化，并將兩者結合形成類邊緣計算的層級化檢測模式，可在大規模環境下減少數據傳輸，避免合規性風險，同時提高檢測精度和響應速度，使得Capsule8這樣的小型安全企業提供大規模Sec-aaS/MDR服務變成可能。

2.確保高置信度告警

Capsule8的系統級檢測是不斷更新的，它使用動態攻擊指標(IOA，Indicator of Attack，其是一個實時記錄器，包括代碼執行等，專注于檢測攻擊者試圖完成的目標)而不是行業標準的IOC指標來發現最新的0day攻擊。因此，以前困擾客戶的大量潛在威脅告警變成了少量的圍繞實際場景的攻擊告警。

3.清晰和可行動(Actionable)的情報

Capsule8提供了一定程度的透明性，可以很容易的確定警報觸發的原因，以及攻擊者后續的操作。

4.可適配多種環境

Capsule8可以輕松實現復雜且可自定義的策略，這些策略不僅在不同的基礎設施環境中可能會不同，而且在更精細的系統項目中也會有差異。通過Capsule8可以最大限度地減少誤報。

Capsule8可在各種環境(公有云，數據中心，容器，虛擬機或裸機)中Linux版本上提供無縫、易于部署的檢測。同時保護所有主要的編排器，包括Kubernete，以及Puppet和Ansible等配置管理工具。

此外，可與現有系統集成，充分利用現有的安全工具，如SIEMs日志分析工具(如Splunk和ELK Stack)和取證工具。

5.自動化攻擊響應

Capsule8可幫助客戶實時檢測和響應攻擊。例如，客戶可以在啟動Capsule8時選擇立即關閉攻擊者連接、重新啟動工作負載或立即向調查員發出警報。

從安全運維團隊角度來看

1.系統穩定性好，性能影響小

Capsule8運行在用戶空間，在不需要內核模塊的情況下收集內核級數據。這就保證了生產環境(服務器和網絡)的系統穩定性。

為確保對主機和網絡的性能影響最小，Capsule8采用資源限制器，通過智能減載策略強制對系統CPU，磁盤和內存進行硬限制。

分布式的分析方法與邊緣計算相似，將計算操作推向盡可能接近數據，確保就算是在系統最繁忙時候也對網絡影響最小。

2.簡單的部署和維護

Capsule8代理是一個單一的靜態Go二進制文件，它是可移植的，易于安裝和通過各種編排機制進行更新，包括Puppet，Ansible，Kubernetes等。