Red Hat спонсировала этот пост.
Для инженеров платформы Kubernetes или руководителей DevSecOps этот опыт слишком знаком: вы открываете панель управления безопасностью и видите список из 10 000 развертываний, все из которых отмечены критическими уязвимостями, проблемами конфигурации и подозрительными действиями. Огромный объем предупреждений создает парадокс: когда все является приоритетом, ничего не остается.
Традиционные решения для оценки рисков оценивают индикаторы рисков, обнаруженные сканерами, изолированно, полагаясь на предопределенные эвристики и статические оценки уязвимостей. Эти решения определяют приоритетность рисков в основном на основе этих статических меток, но не учитывают, действительно ли эти риски применимы к конкретной среде развертывания или представляют собой реальный путь эксплуатации.
Решение этой проблемы отсутствия контекста является основной задачей Red Hat в сотрудничестве с IBM Research, поскольку они разрабатывают будущие возможности Red Hat Advanced Cluster Security. Внедряя агента по расследованию рисков, управляемого искусственным интеллектом, команды отходят от статической оценки к анализу рисков с учетом развертывания.
Проблема: разрыв в контексте
Во многих текущих методах обеспечения безопасности Kubernetes оценки риска часто назначаются на основе статических метаданных, а не фактического поведения развертывания в его реальной среде. Для определения истинного риска необходимо понять, загружена ли уязвимая библиотека во время выполнения, открыт ли затронутый порт и активна ли рабочая нагрузка.
Слабости конфигурации могут усилить воздействие определенных уязвимостей, а несколько распространенных уязвимостей и уязвимостей (CVE) в одном развертывании могут взаимодействовать, образуя цепочки путей эксплуатации. Одна уязвимость может позволить или поддержать эксплуатацию другой, создавая цепочку эксплойтов.
Более того, такие поведенческие индикаторы, как аномальные процессы, необычная сетевая активность или попытки несанкционированного доступа, могут сигнализировать о продолжающейся попытке эксплуатации. Эти сигналы должны быть сопоставлены с данными об уязвимостях и контекстом развертывания, чтобы обеспечить точную и содержательную оценку риска.
Цель нового сотрудничества — уточнить оценку рисков на основе реального контекста развертывания. Для этого система устраняет два критических пробела в традиционном сканировании:
- Оценка рисков с учетом развертывания: Использование ИИ для сопоставления результатов, обнаруженных Red Hat Advanced Cluster Security, для проведения оценок рисков с учетом развертывания. Это включает в себя оценку применимости каждого индикатора риска к фактическому контексту развертывания, например определение того, действительно ли CVE можно использовать в рамках конкретной рабочей нагрузки. Он также включает в себя корреляцию нескольких показателей для выявления случаев, когда они в совокупности создают усиленные или цепные риски.
- Контекст и объяснимость: Использование возможностей больших языковых моделей (LLM) для создания четких объяснений на естественном языке, описывающих конкретные факторы, влияющие на оценку риска. Это обеспечивает клиентам прозрачность того, как была получена каждая оценка, позволяет им проверять качество информации, основанной на искусственном интеллекте, и помогает им лучше понять основной риск.
Решение: агент по расследованию рисков
Ядром этой новой возможности является агент исследования рисков, разработанный IBM Research Labs для использования с Red Hat Advanced Cluster Security.
Эта функция разработана как надстройка для пользователей, обладающих ресурсами для работы агента на основе LLM. Он функционирует через сложный процесс, предназначенный для обеспечения более контекстно-зависимой оценки рисков:
- Агрегация данных: Агент постоянно получает данные из служб Red Hat Advanced Cluster Security, включая результаты сканирования уязвимостей, мониторинг процессов во время выполнения, сетевую активность, метаданные конфигурации Kubernetes и события доступа. Он также дополняет это представление, используя внешние источники, такие как базы данных CVE, аналитику Exploit DB, тактику MITRE ATT&CK и рекомендации по исправлению ситуации.
- Агент расследования («мозг»): Этот компонент служит слоем рассуждений. Его основная роль — определить, представляет ли каждый обнаруженный факт настоящий риск, который можно использовать в реальном развертывании. Он оценивает уязвимость сети, поведение рабочей нагрузки, состояние конфигурации и данные времени выполнения, чтобы определить, действительно ли существуют предпосылки для эксплуатации. Это включает в себя проверку того, загружен ли уязвимый компонент, открыта ли служба или порт, а также активна ли и доступна ли рабочая нагрузка. Помимо отдельных результатов, агент также выполняет взаимную корреляцию между сигналами. Он определяет, когда недостатки конфигурации усиливают уязвимость, когда подозрительное выполнение процесса или необычный сетевой трафик предполагают активную эксплуатацию или когда несколько уязвимостей объединяются, образуя потенциальную цепочку эксплойтов.
- Обработка LLM и объяснение рисков: После обогащения и контекстуализации данные обрабатываются LLM для создания уточненной оценки риска генеративного ИИ (GenAI). Что еще более важно, LLM предоставляет объяснение на естественном языке, описывающее, почему риск является значительным, ссылаясь на конкретные варианты поведения при развертывании, потенциальные пути эксплойтов, цепочки уязвимостей и наблюдаемые индикаторы компрометации. Это позволяет командам безопасности понять не только уровень риска, но и его причины.
Под капотом: как «думает» ИИ
Чтобы понять ценность этого, давайте посмотрим на конкретный сценарий оценки.
Рассмотрим службу, подобную Windows Server Update Services (WSUS), работающую в развертывании Kubernetes. Стандартное сканирование может выявить CVE-2025-59287, уязвимость удаленного выполнения кода, нацеленную на WSUS через TCP-порты 8530 и 8531.
- Ложное срабатывание: В одном кластере Red Hat Advanced Cluster Security обнаруживает, что уязвимый пакет WSUS существует в образе, но во время анализа во время выполнения подтверждает, что TCP-порты 8530 и 8531 закрыты., без воздействия сети. Также нет никаких признаков какой-либо активности процессов, связанных с WSUS. LLM определяет, что, хотя библиотека присутствует, уязвимость «непригодна для использования в текущей конфигурации», и помечает подозрение на использование эксплойта как ложное, фактически снижая его приоритет.
- Настоящий позитив: В другом развертывании Red Hat Advanced Cluster Security обнаруживает, что порты 8530 и 8531 открыты и доступны. Мониторинг сети во время выполнения обнаруживает попытки внутреннего сканирования портов, нацеленные на эти порты из другого модуля. LLM идентифицирует их не как общие системные события, а как поведение, тесно связанное с удаленным тестированием выполнения кода. Он помечает это как «Очень актуальное – подозрительное» действие по сканированию портов, связанное с CVE-2025-59287, и помечает его как «Верно».
Затем система генерирует удобочитаемую сводку: «Риск связан с открытой службой WSUS, работающей в непропатченных контейнерах с открытыми TCP-портами 8530/8531. Обнаруженная аномальная активность сканирования портов в кластере увеличивает вероятность эксплуатации и вносит свой вклад в общую оценку риска».
Объясняемость: интерактивная, экологически чистая информация
В то время как традиционная объяснимость ИИ фокусируется на разъяснении того, как рассчитывается оценка риска, разрабатываются дополнительные возможности, которые позволят Red Hat Advanced Cluster Security сделать еще один шаг вперед, сделав систему интерактивной и реагирующей на среду развертывания. Цель состоит в том, чтобы инженеры и администраторы платформ могли запрашивать ИИ о конкретных рабочих нагрузках или конфигурациях и получать четкие, контекстуальные ответы, адаптированные к их среде.
Эта интерактивная объяснимость позволяет пользователям оставлять отзывы непосредственно о модели. Например, если развертывание помечено как высокорисковое, но пользователь знает, что это временная песочница, он может аннотировать этот контекст. Затем система учитывает эту обратную связь, постоянно адаптируя и совершенствуя свое понимание корпоративной среды. В результате получается искусственный интеллект «белого ящика», который не только объясняет свои рассуждения, но и учится на основе информации об окружающей среде и пользователях, обеспечивая более точное, действенное и заслуживающее доверия руководство.
Путь вперед: от анализа к исправлению ситуации
IBM и Red Hat изучают возможности, которые позволят ИИ заранее предлагать действия по исправлению ситуации, адаптированные к конкретному контексту развертывания. Будущие итерации направлены на создание вариантов исправления, которые пользователи могут применять непосредственно для снижения выявленных рисков. К ним относятся стратегии исправлений с учетом рисков, согласованные с эксплуатационными ограничениями среды, меры по устранению уязвимостей, которые не могут быть исправлены немедленно, а также изменения конфигурации для уменьшения воздействия и повышения безопасности развертывания.
Интеграция GenAI в Red Hat Advanced Cluster Security представляет собой важную веху в развитии безопасности Kubernetes. Мы проходим эпоху простого сопоставления с образцом и вступаем в эпоху контекстуального понимания.
Объединив исследования IBM в области корреляционного анализа с возможностями платформы Red Hat, Red Hat Advanced Cluster Security пытается решить проблему соотношения сигнал/шум, от которой страдают современные службы безопасности. Для ИТ-менеджера это означает меньше времени на поиск ложных срабатываний. Для пользователей Kubernetes это означает более четкое понимание того, что на самом деле работает в их кластерах.
Red Hat OpenShift — это безграничные инновации. Воплощайте большие идеи в жизнь с помощью гибридной облачной платформы, открытой для любого приложения, команды или инфраструктуры. Узнайте больше Последние новости от Red Hat ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одного выпуска. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Яир Аллуш — руководитель исследовательской лаборатории IBM в Беэр-Шеве в Израиле, которая занимается применением генеративного искусственного интеллекта для решения реальных задач кибербезопасности и обеспечения безопасности самого GenAI. Имея большой опыт работы в области кибербезопасности и более десяти лет работы в… Подробнее от Яира Аллуша Сабина Аледорт — менеджер по продукту Red Hat Advanced Cluster Security. Сабина провела последние пять лет, приобретая разносторонний опыт в нескольких командах Red Hat. Она начинала с должности разработчика программного обеспечения в команде по сетевым технологиям для… Читать далее от Сабины Аледорт
