5月11日-12日,Black Hat Asia 2023(亚洲黑帽大会)在新加坡举办,来自字节跳动内部的最佳实践开源解决方案Elkeid入选了 Black Hat Asia 2023武器库(Arsenal )。Ekeid可满足主机、容器集群、Serverless等多种工作负载的安全需求。
Black Hat大会被公认为世界信息安全行业的顶级盛会,每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会。每年的武器库(Arsenal )环节会聚集一批安全研究员,为其提供在黑帽社区展示开源工具。2023年的武器库(Arsenal )涵盖数据取证和事件响应、代码评估、网络攻击/防御、逆向工程等16个方向。
随着企业业务云化、容器化、云原生化的推进,企业的基础架构与安全需求也在不断的复杂化,并且伴随着新的技术方案的出现,也通常会伴随着新的安全风险。在这样的大背景下,字节跳动安全与风控部门希望能够有一套解决方案,能够满足不同工作负载下的安全需求,于是Elkeid诞生了,并对外开源(项目地址:https://github.com/bytedance/Elkeid)。
Elkeid的整体架构
Ekeid将多个能力整合到一个平台中,以满足不同工作负载复杂的安全需求,同时也实现了多组件能力的关联:
· Elkeid 具有出色的内核态Runtime行为采集能力,这意味着对于部署的宿主机与其上的容器内的恶意行为均具有识别检测能力。
· Elkeid 在用户态支持多维度的资产采集、日志采集、恶意文件识别、风险发现等功能。
· 对于正在运行的业务Elkeid具有RASP能力,可以注入到业务进程中进行反入侵保护,不仅运维人员不需要再安装Agent,业务也不需要重启。
· 对于K8s本身,Elkeid支持采集到K8s Audit Log,对K8s系统进行入侵检测和风险识别。
· Elkeid的规则引擎Elkeid HUB也可以很好的与外部多系统对接。
据了解,Elkeid 完整版本在字节跳动部署规模已达到百万级,覆盖了包括今日头条、抖音、西瓜视频等多个业务线,其稳定性、性能、数据采集能力、检测能力、溯源能力等得到了实战验证,均有不俗表现。比如,Elkeid 在字节跳动内部的整体策略ATT&CK覆盖率目前已达到56%;用户态Agent在内部使用平均CPU占用小于1%单核;内存小于30MB。
开源版本之外,字节跳动安全与风控部门也通过火山引擎对外提供Elkeid 的商业化版本,目前已上线火山引擎官网,产品名为火山引擎CWPP。火山引擎CWPP从设计之初便遵循为物理机、虚拟机、容器和无服务器工作负载提供一致的保护和可见性的原则,将主机安全、RASP、阻断与响应能力、追溯能力通过插件的方式整合在一个agent上,同时对多云和混合云下也有很好的支持。