容器安全在野攻击调查

前言

进入后云计算时代，云原生正在成为企业数字化转型的潮流和加速器。云原生安全相关的公司雨后春笋般建立起来，各个大云厂商也积极建立自己云原生的安全能力，保护云上客户的资产。

与之相对的，黑产组织为了牟利，也在不断寻找新的战术、技术和流程（TTP）。在利益的驱动下，黑产组织通过不断的寻找和利用云原生安全缺陷，从而形成稳定的盈利模式。

知己知彼，百战不殆。了解自己的对手才能更容易的赢得战争。腾讯安全云鼎实验室通过对在野的攻击进行一段时间的统计和分析，对攻击者的战术、技术、流程、活动周期、攻击复杂度等维度进行介绍，希望可以对云原生安全的生态建设有更多帮助。

本文的分析数据基于腾讯安全云鼎实验室的哨兵蜜罐捕获的2021年9月至2022年1月总共5个月的攻击数据，总计125,364次攻击。通过腾讯安全云鼎实验室的容器沙箱运行分析的Dockerhub 中1093980个镜像数据。

主要结论

• 供应链安全，不仅仅是安全左移，针对供应链的攻击也越来越频繁。

• 黑产在容器安全攻击过程中使用了越来越多的高级技术，包括：无文件攻击、二进制打包、rootkit。

• 攻击强度，攻击数量，攻击方法多样性有显著增长，这与容器应用规模增长有关系。

• 容器安全面临的安全挑战越来越大，需要选择靠谱的安全产品进行防护。

黑产云原生攻击动机

在云原生架构中，容器生命周期短、业务复杂。传统的木马已不太适合云原生架构，攻击者无法获取批量的容器进行DDoS。

云原生攻击中绝大部分是利用容器集群挖矿，已经形成了稳定的黑产收益链条