北京时间5月11日-12日，Black Hat Asia 2023（亚洲黑帽大会）在新加坡举办。Black Hat大会被公认为世界信息安全行业的顶级盛会，每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会。今年和往年一样有众多值得期待的精彩议题的环节，包括分享的议题（Briefings），武器库（Arsenal ），活动大厅（Business Hall ） 。

每年的武器库（Arsenal ）环节会聚集一批安全研究员，为其提供在黑帽社区展示开源工具。2023年的武器库（Arsenal ）涵盖数据取证和事件响应、代码评估、网络攻击/防御、逆向工程等16个方向。

来自字节跳动内部最佳实践的开源解决方案Elkeid，入选数据取证和事件响应武器库类目。Elkeid可满足主机、容器集群、Serverless等多种工作负载的安全需求。

Elkeid的介绍

随着企业业务云化、容器化、云原生化的推进，企业的基础架构与安全需求也在不断的复杂化，并且伴随着新的技术方案的出现，也通常会伴随着新的安全风险，在这样的大背景下，我们希望能够有一套解决方案，能够满足不同工作负载下的安全需求，于是Elkeid诞生了。

Elkeid的整体架构

Elkeid的功能

Elkeid将下方能力整合到一个平台中，以满足不同工作负载复杂的安全需求，同时也实现了多组件能力的关联。

• · Elkeid 具有出色的内核态Runtime行为采集能力，这意味着对于部署的宿主机与其上的容器内的恶意行为均具有识别检测能力。
• · Elkeid 在用户态支持多维度的资产采集、日志采集、恶意文件识别、风险发现等功能。
• · 对于正在运行的业务Elkeid具有RASP能力，可以注入到业务进程中进行反入侵保护，不仅运维人员不需要再安装Agent，业务也不需要重启。
• · 对于K8s本身，Elkeid支持采集到K8s Audit Log，对K8s系统进行入侵检测和风险识别。
• · Elkeid的规则引擎Elkeid HUB也可以很好的与外部多系统对接。

Elkeid性能如何

• · 目前，Elkeid 完整版本部署规模已达到百万级，覆盖了包括今日头条、抖音、西瓜视频等多个业务线。其稳定性/性能/数据采集能力/检测能力/溯源能力等均得到了实战验证，均有不俗表现。
• · Elkeid 在字节跳动内部的整体策略ATT&CK覆盖率目前已达到56%。
• · 用户态Agent在内部使用平均CPU占用小于1%单核；内存小于30MB。

如何使用Elkeid

开源地址：
https://github.com/bytedance/Elkeid

文档中心：
https://elkeid.bytedance.com/

开源后续

目前 Elkeid 的商业化版本已经上线字节跳动旗下的云平台火山引擎，商业化名称为火山引擎CWPP，CWPP从设计之初便遵循为物理机、虚拟机、容器和无服务器工作负载提供一致的保护和可见性的原则。将主机安全、RASP、阻断与响应能力、追溯能力通过插件的方式整合在一个agent上，同时对多云和混合云下也很好的支持，欢迎感兴趣的朋友们点击阅读全文体验。

Elkeid 也会长期维护更新，欢迎各位同行一起沟通交流。欢迎大家通过 GitHub 或飞书扫码加入字节官方 Elkeid 交流群，进行后续的交流和反馈。