Elkeid(https://github.com/bytedance/Elkeid) 是一个云原生的基于主机的入侵检测解决方案,Elkeid-RASP 加入 Elkeid 产品栈后,在主机基础上增加了对应用运行时维度的数据,对入侵检测提供可靠精准的数据源。
我们于7月10日在「字节跳动X安全范沙龙」上发布了Elkeid-RASP。
Elkeid-RASP 支持 CPython/Golang/JVM/NodeJS 运行时的数据采集,无需更改业务代码或启动方式,在采集数据上报与配置下发层面兼容 [Elkeid](https://github.com/bytedance/Elkeid) 产品栈。同时Elkeid-RASP 可以对运行时的危险函数执行监控,如命令执行、文件读写、网络链接等函数行为。
Elkeid RASP 所采集数据可用于供应链分析,如判断第三方依赖是否夹带恶意代码;或可作为 IAST 的探针进行漏洞挖掘;亦可作为蜜罐/沙箱组件分析后门行为。
Elkeid-RASP 将会复用Elkeid 数据链路,包括注入下发,数据上报。
Elkeid-RASP 全部探针代码和探针控制器已开源,欢迎大家使用。(https://github.com/bytedance/Elkeid/tree/main/rasp)
四种Probe的实现方式:
完整的PPT见:https://bytedance.feishu.cn/file/boxcnTP3v24Fuzl66GPdOn3A9Sh
感谢「字节跳动X安全范」的邀请,本场沙龙上其他的议题请见:https://mp.weixin.qq.com/s/Q5nBEYbWXiQQiqyoeM9jNQ