IBM Research开源SysFlow应对云威胁

IBM公司研究部门今天宣布发布SysFlow，这是一种开源安全工具包，用于查找云和容器环境中的漏洞。

SysFlow旨在解决网络保护中的常见问题。现代安全监控工具可以高度精确地捕获系统活动，通常可以跟踪单个事件，例如文件更改。

这一点很有用，但也会产生大量噪音，使发现威胁更加困难。 IBM研究人员Frederico Araujo和Teryl Taylor描述了在“类似于在一个巨大的大海捞针中寻找针头”的情况下寻找漏洞。

SysFlow减少了安全小组必须筛选的信息量。该工具包的工作原理是从给定系统中收集操作数据，并将这些数据压缩到一个模型中，该模型可以显示系统的高级行为，而不是单个事件（例如HTTP请求）。还显示了此类本地化事件，但是SysFlow会将它们连接到相关的行为模式，而不是为了提供详细分析所必需的上下文。

在IBM的Araujo和Taylor的博客文章中，概述了一个示例性违规场景，该工具包可以证明非常方便。假设的违规行为是，黑客发现公司网络中存在漏洞的Node.js服务器，将恶意脚本下载到该服务器上，然后破坏了敏感的客户数据库。

研究人员解释说：“尽管先进的监视工具只能捕获断开事件的流，但SysFlow可以连接系统上每个攻击步骤的实体。” “例如，突出显示的SysFlow跟踪精确地映射了攻击杀死链的步骤：劫持了node.js进程，然后与端口2345上的远程恶意软件服务器进行对话，以下载并执行恶意脚本。”

SysFlow不仅可以帮助安全团队发现威胁，还可以在此过程中节省硬件资源。据IBM称，与传统工具相比，该工具包将安全数据收集率降低了“数量级”。

SysFlow具有内置的规则引擎，可以对其进行自定义以自动生成可疑事件。除了违规，该工具包还有助于发现违反法规的情况，例如将财务记录存储在不应有的地方。当需要更细粒度的检测时，安全团队可以将自己的自定义威胁识别算法编程到SysFlow中。

IBM认为该平台可与其他开源工具一起使用。 “ SysFlow的开放序列化格式和库可实现与开放源代码框架（例如Spark，scikit-learn）和自定义分析微服务的集成，” Araujo和Taylor写道。

SysFlow能够将原始系统数据转换为恶意活动的高级图片，这也是其他解决方案所提供的。几家安全保护提供商（其中包括最近获得资金的初创公司Cyber​​eason Inc.）提供了商业调查工具，这些工具可以跟踪攻击者在漏洞发生期间通过公司网络的路径。但是，SysFlow在开放源代码许可下免费提供并由IBM支持，这一事实可能使它在安全工具生态系统中占据特殊的位置。

照片：IBM