第9天 — Runtime Threat Detection（红眼的影子）

Source: Dev.to

运行时威胁检测（红眼的影子）

第一次 CVE 攻击与运行时检测。
黑森林影子是一个持续的 Advent 系列，通过黑暗童话叙事探索容器安全概念。

夜色沉重地笼罩在松林之间，Gord 和 Rothütle 越走越深。他们的两盏灯在黑暗中漂浮，像小小的流星。小径变窄，霜在脚下噼啪作响。突然传来一声裂动——

Rothütle 的灯笼在一阵玻璃与黑暗的爆炸中碎裂。他踉跄后退，心跳如鼓。

“谁在那里？！”

寂静。只有森林的寒冷呼吸。

Gord 已经站在他身旁，举起了自己的灯笼。灯光把 Rothütle 的影子拉得很长，投在一棵古老的杉树干上。随后森林变形。Gord 把灯笼藏回斗篷下，但树上的影子仍在，而且它的眼睛燃起了炽红的光。

“离开那棵树，” Gord 低声说。

Rothütle 试图后退。影子抓住了他的手臂。冷烟般的指尖缠住他的袖子，将他拉向树皮。Gord 猛冲上前，剑光闪烁。刀刃干脆地划过影子的手臂——一只暗淡、飘渺的手像洒出的墨水一样落在地上。她的下一击直接穿透了生物，好像它只是由云雾和仇恨构成。

“它在变形！” Gord 喊道。“我这样打不到它！”

Rothütle 撕开 Gord 的斗篷，完全暴露出灯笼。一束光洒在树上。影子发出尖叫——虽无声却凶猛——其边缘开始消散。此时它已足够实体，Gord 迈步上前，转身，一记精准的挥砍斩下了它的头颅。黑暗化为虚无。森林松了一口气。

Rothütle 抚摸着自己的手臂。Gord 严肃地点了点头。

“他不是爱说话的那种人。”

“所以……你认识他？” Rothütle 问。

Gord 检查倒下的影子。

“这是一只 CVE，”她平淡地说。“腐败的恶意实体。”

Rothütle 眨了眨眼。

“这个解释反而让一切更不清晰了。”

今日小贴士：在运行时检测威胁——在它们变成漏洞之前

森林中的 CVE 行为类似于现实中的运行时威胁：

• 它潜伏在黑暗中（低可见性进程）。
• 只有当系统变弱时才会行动（灯笼破碎）。
• 当被照亮时——可观测性揭示其行为——它变得“实体”。

现代工作负载同样需要这种防护：

• 基于 eBPF 的监控（例如 Tetragon、Falco）
• Kubernetes 中的异常检测
• 系统调用追踪
• 实时策略执行

就像 Gord 用灯笼照亮影子，运行时检测能够揭示隐藏在普通日志中的恶意行为。照亮威胁 → 强制策略 → 消除危险。

示例：Falco 检测意外的 Shell 执行

# Falco rule: Unexpected Shell
- rule: Unexpected Shell
  desc: Container launched a shell unexpectedly
  condition: >
    spawned_process and container and
    proc.name in (bash, sh, zsh)
  output: >
    Unexpected shell in container (user=%user.name command=%proc.cmdline)
  priority: WARNING

书籍： Docker and Kubernetes Security – 现已 40 % 折扣。
🔗 buy.DockerSecurity.io – 使用代码 BLACKFOREST25。