Detection of Compromised Functions in a Serverless Cloud Environment

要約

サーバーレス コンピューティングは、サーバーレス機能を中核とする新たなクラウド パラダイムです。
サーバーレス環境を使用すると、ソフトウェア開発者は基盤となるランタイム インフラストラクチャを積極的に管理する必要がなく、アプリケーションの開発に集中できますが、既存の方法では軽減することが困難なさまざまなセキュリティ脅威への扉が開かれます。
既存のセキュリティ ソリューションは、サーバーレス インフラストラクチャに大幅な変更を必要としたり、より詳細なデータの収集にサードパーティ サービスに依存したりするため、すべてのサーバーレス アーキテクチャに適用できるわけではありません。
このペーパーでは、クラウド プロバイダーのネイティブ監視ツールを活用してサーバーレス アプリケーションの異常な動作を検出する、拡張可能なサーバーレス セキュリティ脅威検出モデルを紹介します。
私たちのモデルは、サーバーレス機能に対するさまざまな種類の攻撃に関連するエクスプロイト後の異常な動作を特定することで、侵害されたサーバーレス機能を検出することを目的としているため、最後の防御線となります。
私たちのアプローチは特定のサーバーレス アプリケーションに関連付けられておらず、脅威の種類に依存せず、モデルの調整を通じて適応可能です。
モデルのパフォーマンスを評価するために、AWS クラウド環境でサーバーレス サイバーセキュリティ テストベッドを開発しました。これには 2 つの異なるサーバーレス アプリケーションが含まれており、サーバーレス機能が直面する主なセキュリティ脅威をカバーするさまざまな攻撃シナリオをシミュレートします。
私たちの評価は、無視できる誤報率を維持しながら、実装されたすべての攻撃を検出するモデルの能力を実証しています。

要約(オリジナル)

Serverless computing is an emerging cloud paradigm with serverless functions at its core. While serverless environments enable software developers to focus on developing applications without the need to actively manage the underlying runtime infrastructure, they open the door to a wide variety of security threats that can be challenging to mitigate with existing methods. Existing security solutions do not apply to all serverless architectures, since they require significant modifications to the serverless infrastructure or rely on third-party services for the collection of more detailed data. In this paper, we present an extendable serverless security threat detection model that leverages cloud providers’ native monitoring tools to detect anomalous behavior in serverless applications. Our model aims to detect compromised serverless functions by identifying post-exploitation abnormal behavior related to different types of attacks on serverless functions, and therefore, it is a last line of defense. Our approach is not tied to any specific serverless application, is agnostic to the type of threats, and is adaptable through model adjustments. To evaluate our model’s performance, we developed a serverless cybersecurity testbed in an AWS cloud environment, which includes two different serverless applications and simulates a variety of attack scenarios that cover the main security threats faced by serverless functions. Our evaluation demonstrates our model’s ability to detect all implemented attacks while maintaining a negligible false alarm rate.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google