【翻译】针对Kubernetes的MITRE ATT&CK矩阵

作者：Rahul Sharma 10月19日，2021年

Rahul Sharma最初发表在Magalix博客上的客座文章

概述

去年，CNCF报告称，Kubernetes的采用率从2016年3月的23%上升到2020年7月的92%，增长了300%。该数据清楚地概述了Kubernetes作为容器编排的行业标准。但该研究还报告说，Kubernetes的安全性仍然是三大挑战之一。随着企业加速采用容器，他们必须投资于保护这一关键的基础设施。

一个典型的大型Kubernetes集群是一个高度分布的环境，有许多部署的应用程序。可能存在错误的配置和漏洞，将各种服务暴露给非预期的用户。对手可以利用这些漏洞获得访问权并进行恶意活动。恶意软件和间谍软件程序可以使用容器或侧车等执行。容器的短暂性使其难以监测和追踪这些漏洞。 使用最佳实践保护Kubernetes和云原生架构是一个很好的起点，但它并没有提供识别和缓解攻击的指导。

什么是MITRE ATT&CK矩阵？

MITRE ATT&CK框架是一个关于攻击者用来渗透和攻击Kubernetes集群的技术和战术的知识库。攻击者通常按照攻击生命周期的各个阶段来制定如何渗透集群并进行破坏的策略。攻击者必须通过每个阶段的进展，才能使攻击成功。威胁矩阵确定了在网络攻击的各个阶段所使用的战术。

MITRE ATT&CK框架战术包括以下内容。

1. 最初访问。
2. 执行。
3. 持久性。
4. 特权升级。
5. 防御规避。
6. 凭证访问。
7. 发现。
8. 横向移动。
9. 收集。
10. 影响。

在上述矩阵中，每一列代表一个不同的攻击阶段，每一列中的每一项代表攻击者在该阶段采用的战术。这种分类的目的是帮助企业确定其攻击面，并采取合适的检测和缓解策略。

了解ATT&CK矩阵也有助于安全团队实施战略和技术来遏制攻击。在任何阶段阻挡对手，都能打破攻击，减轻所造成的损失。因此，预防必须发生在每个阶段，以阻止攻击者在集群内访问和横向移动或窃取敏感数据的能力。因此，该矩阵也代表了安全执行的分层模型。以这种方式进行安全分层，可以防止一个薄弱点危及集群。

1- 初始访问

初始访问是攻击的第一个阶段。这种战术参考了攻击者的目标，即通过破坏Kubernetes控制平面内处理集群管理的组件或集群内的各种资源来获得对Kubernetes集群的访问--例如，工作节点上运行的应用程序组件，推送被恶意软件感染的图像等。

这个早期阶段的技术主要集中在未修补的漏洞或凭证泄露上。企业必须定期进行Kubernetes升级，实施漏洞扫描，并通过利用KubernetesRBAC限制访问。实施这些措施可以大大降低企业的攻击面。

2- 执行

在执行过程中，攻击者在Kubernetes集群内运行代码，以实现其目标。他们可以利用一个应用程序的漏洞，访问一个pod，部署一个sidecar或使用其他手段来执行恶意代码。

这种战术涉及在集群内执行工作负载。通过创建单独的命名空间来隔离工作负载是缓解的一个重要步骤。此外，企业可以实施Pod安全策略 来管理工作负载的执行。

3- 持久性

保持对被攻击目标的访问是攻击者使用的一个关键策略。这通常是通过利用后门来实现的。在Kubernetes的世界里，有许多访问点允许访问其资源。

攻击者经常执行一个无害的HTTP请求到他们的一台机器，然后将这个连接升级到一个交互式的远程外壳。这些命令被持久化为Kubernetes节点上使用hostPath卷装载的脚本。然后，该脚本由使用Kubernetes Cron调度的容器执行，从而为攻击者提供一个持久的连接。Kubernetes集群可以通过实施Pod安全策略 来保护， 以拒绝主机挂载和 网络策略来控制流量进出集群的方式。

4- 特权升级

攻击者使用权限升级战术，在环境中获得比他们目前拥有的更高的权限。这可能包括通过容器访问一个节点，在集群内获得特权，甚至使用云资源。

组织必须应用最小特权的基本原则，即只授予必要的特权，而不是更多。为了防止安全问题，建议你不要在你的环境中运行有特权的容器。相反，为所需的容器提供细化的权限和能力。

5- 防御规避

防御规避技术的重点是掩盖对手的行动，以避免被发现。这包括删除攻击者存在的证据或混淆对资源的访问是如何获得的等策略。

审计日志允许管理员查看Kubernetes集群中的所有安全事件。确保启用并监控审计日志，以发现异常或不需要的API调用，特别是任何授权失败。此外，管理员应通过限制主机挂载，尽量减少容器对底层节点的访问，特别是在Kubernetes控制平面。

6-凭证访问

在集群内建立了自己的存在，提升了权限，植入了后门，并逃避了防御，攻击者现在已经准备好照顾数据和凭证了。这可能包括属于集群、数据库的秘密，程序中的应用凭证，甚至是管理集群的云凭证。

通常不建议在所有节点上装载敏感信息。另外，团队必须有效地使用节点池，只为所需的工作负载安排敏感和秘密信息。

7- 发现

对手使用这种类型的攻击来收集有关集群组件及其内部网络的信息。这些信息使他们能够利用部署的服务中的漏洞，进一步向应用程序和数据库移动。

这种战术可以通过使用最少的特权凭证、Pod安全策略和网络策略来限制对敏感资产的访问来缓解。

8- 横向移动

随着恶意软件的安装和痕迹的消除，攻击者现在可以访问和控制集群中的所有节点。这些技术的目的是允许对手访问和控制网络上的远程系统，可能包括在远程系统上执行工具。

除非受到NetworkPolicy的限制，集群中的所有Pod都可以相互通信。攻击者可以使用Pod上可用的容器服务账户凭证，连接到Kubernetes API服务器以确定集群的工作负载。然后他们可以连接到集群中部署的其他容器。企业必须启用RBAC来限制集群访问，并执行网络策略来控制流量的路由。

9- 收集

该战术包括对手用于收集信息的技术，除了被破坏的集群。在Kubernetes中，镜像是从ECR、Quay等私有注册表下载的。如果注册表的访问凭证被破坏，他们可以访问注册表来操纵所有的容器镜像。企业可以通过对Kubernetes中使用的注册表凭证制定只读策略来缓解这种攻击。

10- 影响

破坏或摧毁目标环境中的资源是攻击者的最终目标。数据破坏、资源劫持和拒绝服务是这些技术中的一部分。

攻击者可以缩减部署，删除状态集，删除卷，终止运行的pod，耗尽节点等，影响你的业务工作流程。他们还可以通过关闭Kubernetes组件（如控制平面）来触发拒绝服务攻击。另外，Kubernetes资源也可以通过添加新的容器来进行加密挖矿。

总结

破坏网络攻击涉及攻击生命周期的几个阶段。如果他们不能成功地利用漏洞，他们就不能渗透，也不会获得对集群的远程控制。MITRE ATT&CK框架提供了关于这种攻击在现实世界中如何发生的必要知识。该框架有助于以分层防御的方式加强集群的安全性。

Magalix政策执行平台有100种开箱即用的政策和模板--PCI DSS、基于应用的政策和MITRE ATT&CK-- 使企业能够快速运行。