IBM研究實驗室近日宣布發布開源安全工具包SysFlow，用于查找云和容器環境中的漏洞。SysFlow旨在解決網絡保護中的常見問題?，F代安全監控工具可以高精確度地捕獲系統活動，跟蹤到單個事件例如文件更改操作等。

[[312846]]

這很有用但也會產生大量“噪音”，更難以發現威脅。IBM研究人員Frederico Araujo和Teryl Taylor稱在這種情況下尋找漏洞無異于“大海撈針”。

SysFlow減少了安全團隊必須篩選的信息量。該工具包可以從給定的系統中收集操作數據，并將這些數據壓縮到一個模型中，該模型可以顯示系統的高級別行為而不是單個事件(例如HTTP請求)，而且還可以呈現這種本地化事件，但是SysFlow會將其與相關行為模式進行關聯，而不是為了詳細分析提供必要的上下文。

Araujo和Taylor在一篇博客文章中舉例了一種示漏洞場景，結果證明該工具包是非常方便的。他們假設黑客發現了企業網絡中存在漏洞的Node.js服務器，將惡意腳本下載到該服務器上，然后入侵了敏感的客戶數據庫。

兩位研究人員解釋說：“先進的監視工具只能捕獲斷開連接的事件流，但SysFlow可以連接系統上每個攻擊步驟的實體。例如，突出顯示的SysFlow跟蹤情況可以精確地映射攻擊殺死鏈的每一步：劫持node.js進程，然后與端口2345上的遠程惡意軟件服務器進行對話，以下載并執行惡意腳本。”

SysFlow不僅可以幫助安全團隊發現威脅，而且在這個過程中還能節省硬件資源。據IBM稱，與傳統工具相比，該工具包降低安全數據收集率是“數量級”的。

SysFlow具有內置的規則引擎，可自定義自動發現可疑事件。除了漏洞之外，該工具包還可以發現違反法規的情況，例如將財務記錄保存在不恰當的地方。當需要進行更高粒度的檢測時，安全團隊可以將他們的自定義威脅識別算法編程到SysFlow中。

IBM認為，該平臺可與其他開源工具一起使用。“SysFlow的開放序列化格式和庫，支持與開放源代碼框架(例如Spark、scikit-learn)和自定義分析微服務的集成，”Araujo和Taylor在博客中這樣寫道。

SysFlow能夠將原始系統數據轉換為高級別查看惡意行為情況，這個功能是其他解決方案也能提供的。目前有幾家安全保護廠商(包括最近剛剛獲得融資的初創公司Cyber​​eason)都提供了商業化的調查工具，可以追蹤攻擊者攻擊企業網絡的路徑。但是，IBM以開源的形式免費提供SysFlow，這一點將讓SysFlow在安全工具生態系統中占據特殊的位置。