东方早报网官网(dfzaobao.com)上海早报头条
字节跳动开源的HIDS,名为AgentSmith,是一种基于内核的入侵检测系统。它通过监控内核函数的调用、事件和消息来进行入侵检测,可以检测各种rootkit/bootkit。以下是其部分排查细节:
- Rootkit检测:由于AgentSmith是基于内核,只对2.6.32+内核支持,并且rootkit的检测必须要在3.10.0+内核才支持。
- syscall监控:AgentSmith使用kprobe的方式hook内核内部的一些函数,而这些内部函数是某些系统调用的关键点调用。
- 特定syscall的检测:例如,对mprotect系统调用挂钩,记录任何把进程内存段改为执行权限的操作;还有对nanosleep系统调用的检测,用于避免恶意软件通过延迟执行来逃避HIDS软件的检测。
字节跳动在网络安全领域有着丰富的沉淀,包括云原生环境下的镜像容器全生命周期的安全防护体系、软件供应链安全的探索与实践、防御术:软件供应链恶意攻击的检测方案探讨等。以下是部分排查细节:
- 镜像容器全生命周期防护:火山引擎容器安全防护深入分析了云原生场景下镜像漏洞以及容器入侵攻击的核心场景,形成了云原生环境下的镜像容器全生命周期的安全防护体系。
- 软件供应链安全:字节跳动在软件供应链信息的采集、存储、分析和安全应用方面的探索实践,以检测软件供应链异常和恶意行为。
- 恶意攻击的检测:分享了如何快速检出NPM/PyPI源中含有供应链投毒或钓鱼攻击软件包的检测方案。
火山引擎Elkeid解决方案包含端上统一的Agent以及各个能力插件,为客户提供内核信息与事件采集、用户态查杀与基线、容器与集群审计、RASP防御等安全能力,帮助客户应对在应用层不同作用域、不同来源、不同方式的威胁。以下是部分排查细节:
- RASP防御:火山引擎ElkeidRASP是火山引擎云安全团队自研的一种应用安全防御技术,通过对应用运行时植入探针来采集运行时的关键信息,并分析运行时行为产生及时告警。
- 数据采集:RASP的数据采集会覆盖目标应用的进程、网络与文件,并基于最小Hook原则,实现最小的资源占用。
- 告警推送:RASP探针原始上报的数据将会持续经过HUB的计算,生成的告警可以直接推送到安全工程师的通讯工具或是CWPP工作台中。
以上就是字节跳动信息安全系统排查的一些细节。
东方早报网官网www.dfzaobao.com/讯 更多资讯....
本文由作者笔名:沪小二 于 2024-04-30 08:07:17发表在上海东方早报网,本网(平台)所刊载署名内容之知识产权为署名人及/或相关权利人专属所有或持有,未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用,文章内容仅供参考,上海东方早报网不做任何承诺或者示意。
东方早报网-本文链接: http://zaobao.dfzaobao.com/sh/1303.html
上一篇
消费促进年相关政策
下一篇
字节跳动阳光诚信联盟介绍