كيف ستهاجم الجهات التهديدية الحاويات وتستخدمها؟ هذا سؤال أفكر فيه باستمرار. أنا أعمل في هذا المجال منذ أكثر من عقدين من الزمن، وأشعر أنني يجب أن أحصل على إجابة. لكنني لا أفعل ذلك.
بدلاً من ذلك، لدي الكثير من الأفكار المختلفة، ولا يمكنني تحديد أي منها على أنها صحيحة. يرجع جزء من هذا التردد إلى الوقت الذي أمضيته في تعلم الأمن في العالم "القديم". الحاويات لا تملك حقا التناظرية. بالتأكيد، غالبًا ما يتم دمج الأجهزة الافتراضية (VMs) مع الحاويات، لكنها لم تكن قادرة على التوسع مثل الحاويات. كما أنها تستخدم لأغراض مختلفة تمامًا عن الحاويات. لقد استغرق الأمر بعض الوقت لضبط تفكيري وفهم المكان الذي تتناسب فيه الحاويات فعليًا مع سطح الهجوم.
الأمثلة العامة للهجمات ضد البيئات المعبأة في حاويات محدودة للغاية. غالبًا ما تكون الانتهاكات مرتبطة بالتعدين المشفر، وهي هجمات خطيرة، لكن المستجيب للحادث بداخلي يجدها مخيبًا للآمال. ومن القواسم المشتركة الأخرى أنها تكون في الغالب نتيجة لتكوين خاطئ، سواء كان ذلك في Kubernetes أو حساب سحابي. إن الجمع بين الدوافع والتكتيكات لم يكن ملهماً للغاية حتى الآن.
الطريقة القديمة
كانت الثغرات الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بُعد (RCE) هي مصدر القلق الرئيسي في مجال أمان الكمبيوتر لفترة طويلة. ما زالوا كذلك، ولكن كيف تنطبق طريقة التفكير هذه على الحاويات؟ من السهل الانتقال فورًا إلى RCE باعتباره التهديد الأساسي، ولكن لا يبدو أن هذه هي الطريقة الصحيحة للاقتراب من الحاويات. لسبب واحد، غالبًا ما تكون الحاويات قصيرة العمر جدًا - 44% من الحاويات تعيش أقل من خمس دقائق - لذلك يجب أن يكون الدخيل سريعًا.
يفترض هذا الأسلوب أيضًا أن الحاوية معرضة للإنترنت. من المؤكد أن بعض الحاويات يتم إعدادها بهذه الطريقة، لكنها غالبًا ما تكون بسيطة جدًا وتستخدم تقنيات تم اختبارها جيدًا، مثل NGINX. قد يكون هناك يوم صفر لهذه التطبيقات، لكنها ستكون ذات قيمة كبيرة ويصعب الحصول عليها. لقد أظهرت لي تجربتي أن الكثير من الحاويات تُستخدم داخليًا ولا تتصل مباشرة بالإنترنت. يصبح سيناريو RCE أكثر صعوبة في هذه الحالة. يجب أن أذكر log4j، على الرغم من أن هذه الأنواع من الثغرات الأمنية لديها القدرة على استغلالها عن بعد حتى لو لم يكن النظام الضعيف على الحافة.
الطريق الجديد
إذا لم يكن RCE هو التهديد الأكبر الذي يواجه الحاويات، فما هو؟ هل الحاويات حتى على رادار الجهات التهديدية؟ نعم، إن الحاويات والبنية التحتية الداعمة لها مهمة للغاية ولا يمكن تجاهلها. لقد سمح برنامج تنسيق الحاويات بتحجيم أعباء العمل الموجودة في الحاويات إلى أرقام لا يمكن تصورها. يتزايد أيضًا اتجاه الاستخدام، لذلك يمكنك التأكد من أنهم سيكونون هدفًا. لا يمكن اعتبارها مثل الخوادم التي تصل إليها من خلال ثغرات RCE.
وبدلا من ذلك، فإن العكس هو الصحيح في الواقع. فبدلاً من مهاجمة الحاويات من الخارج إلى الداخل، يجب مهاجمتها من الداخل إلى الخارج. وهذا هو ما تفعله هجمات سلسلة التوريد بشكل أساسي. تعد سلسلة التوريد وسيلة هجوم فعالة للغاية ضد الحاويات عندما تبدأ في فهم كيفية بنائها. تبدأ الحاوية بملف تعريف، مثل Dockerfile، الذي يحدد كل ما سيكون موجودًا في الحاوية عند تشغيلها. يتم تحويلها إلى صورة بمجرد إنشائها، وهذه الصورة هي ما يمكن تحويله إلى عبء عمل لعدد لا يحصى من المرات. إذا تم اختراق أي شيء في ملف التعريف هذا، فسيتم اختراق كل حمل عمل يتم تشغيله.
غالبًا ما تكون الحاويات، ولكن ليس دائمًا، مصممة خصيصًا لهذا الغرض باستخدام تطبيق يقوم بشيء ما ويخرج. يمكن أن تكون هذه التطبيقات أي شيء تقريبًا، والشيء المهم الذي يجب فهمه هو مقدار ما تم إنشاؤه باستخدام المكتبات، سواء كانت مغلقة المصدر أو مفتوحة المصدر، كتبها أشخاص آخرون. لدى GitHub الملايين من المشاريع، وهذا ليس المستودع الوحيد للكود الموجود هناك. وكما رأينا مع SolarWinds، فإن المصدر المغلق عرضة لهجمات سلسلة التوريد أيضًا.
يعد هجوم سلسلة التوريد طريقة رائعة للجهات الفاعلة في مجال التهديد للوصول إلى بيئة حاوية الهدف. يمكنهم أيضًا السماح للبنية التحتية للعميل بتوسيع نطاق هجومهم نيابةً عنهم إذا لم يتم ملاحظة التسوية. هذا النوع من السيناريوهات بدأ بالفعل في الظهور، كما رأينا مع خرق كودكوف. لكن من الصعب اكتشافه نظرًا لحداثة كل هذا ولأن تفكيرنا لا يزال متجذرًا في مشاكل الماضي.
والطريق إلى الأمام
كما هو الحال مع إصلاح معظم المشكلات، عادةً ما تكون الرؤية مكانًا رائعًا للبدء. من الصعب إصلاح ما لا يمكنك رؤيته. لتأمين الحاويات الخاصة بك، يجب أن يكون لديك رؤية للحاويات نفسها، بالإضافة إلى خط الأنابيب بأكمله الذي يبنيها. تعد إدارة الثغرات الأمنية أحد أنواع الرؤية التي يجب دمجها في مسار الإنشاء. أود أيضًا تضمين أدوات تحليل ثابتة أخرى، مثل تلك التي تبحث عن الأسرار المسربة لذلك أيضًا. نظرًا لأن الشكل الذي يبدو عليه هجوم سلسلة التوريد لا يمكن التنبؤ به حقًا، تصبح مراقبة وقت التشغيل أمرًا بالغ الأهمية حتى تعرف بالضبط ما تفعله حاوياتك.
