কীভাবে হুমকি অভিনেতারা আক্রমণ করবে এবং কন্টেইনার ব্যবহার করবে? এটি একটি প্রশ্ন যা আমি ক্রমাগত চিন্তা করি। আমি এখন দুই দশকেরও বেশি সময় ধরে এই এলাকায় কাজ করছি, এবং আমি মনে করি আমার একটি উত্তর থাকা উচিত। কিন্তু আমি না.
পরিবর্তে, আমার কাছে অনেকগুলি ভিন্ন ধারণা রয়েছে, যার কোনটিই আমি সঠিক হিসাবে চিহ্নিত করতে পারি না। এই সিদ্ধান্তহীনতার একটি অংশ কারণ আমি "উত্তরাধিকার" বিশ্বে নিরাপত্তা শেখার সমস্ত সময় ব্যয় করেছি। পাত্রে সত্যিই একটি এনালগ নেই. অবশ্যই, ভার্চুয়াল মেশিন (ভিএম) প্রায়শই পাত্রের সাথে মিশ্রিত হয়, তবে তারা কখনই পাত্রের মতো স্কেল করতে সক্ষম হয়নি। এগুলি পাত্রের চেয়ে সম্পূর্ণ ভিন্ন উদ্দেশ্যেও ব্যবহৃত হয়। আমার চিন্তাভাবনা সামঞ্জস্য করতে এবং কন্টেইনারগুলি আসলে আক্রমণের পৃষ্ঠে কোথায় ফিট করে তা বুঝতে কিছুটা সময় লেগেছে।
কন্টেইনারাইজড পরিবেশের বিরুদ্ধে আক্রমণের সর্বজনীন উদাহরণ খুবই সীমিত। লঙ্ঘনগুলি প্রায় সবসময়ই ক্রিপ্টোমিনিং সম্পর্কিত হয়, যা গুরুতর আক্রমণ, কিন্তু আমার মধ্যে ঘটনার প্রতিক্রিয়াকারী সেগুলিকে অস্বস্তিকর বলে মনে করেন। আরেকটি সাধারণতা হল সেগুলি বেশিরভাগই একটি ভুল কনফিগারেশনের ফলাফল, তা কুবারনেটেস বা ক্লাউড অ্যাকাউন্টে হোক না কেন। উদ্দেশ্য এবং কৌশলের সমন্বয় এখন পর্যন্ত খুব অনুপ্রেরণাদায়ক ছিল না।
ওল্ড ওয়ে
রিমোট কোড এক্সিকিউশন (আরসিই) দুর্বলতাগুলি দীর্ঘকাল ধরে কম্পিউটার সুরক্ষার প্রধান উদ্বেগ। তারা এখনও, কিন্তু চিন্তার এই উপায় পাত্রে প্রযোজ্য কিভাবে? প্রাথমিক হুমকি হিসাবে অবিলম্বে RCE তে ঝাঁপ দেওয়া সহজ, কিন্তু পাত্রে যাওয়ার সঠিক উপায় বলে মনে হচ্ছে না। এক জিনিসের জন্য, কন্টেইনারগুলি প্রায়শই খুব স্বল্পস্থায়ী হয় - 44% পাত্রে পাঁচ মিনিটেরও কম সময় থাকে - তাই একজন অনুপ্রবেশকারীকে দ্রুত হতে হবে।
এই পদ্ধতিটিও অনুমান করে যে ধারকটি ইন্টারনেটের সংস্পর্শে এসেছে। অবশ্যই কিছু পাত্র এইভাবে সেট আপ করা হয়, কিন্তু সেগুলি প্রায়শই খুব সহজ এবং এনজিআইএনএক্সের মতো ভাল-পরীক্ষিত প্রযুক্তি ব্যবহার করে৷ এই অ্যাপ্লিকেশনগুলির জন্য শূন্য-দিন আউট হতে পারে, তবে সেগুলি অত্যন্ত মূল্যবান এবং দ্বারা আসা কঠিন হবে। আমার অভিজ্ঞতা আমাকে দেখিয়েছে যে প্রচুর কন্টেইনার অভ্যন্তরীণভাবে ব্যবহৃত হয় এবং সরাসরি ইন্টারনেটের সাথে সংযোগ করে না। RCE দৃশ্যকল্প সেই ক্ষেত্রে অনেক বেশি কঠিন হয়ে যায়। আমি উল্লেখ করা উচিত log4j, যদিও এই ধরনের দুর্বলতাগুলি দূরবর্তীভাবে শোষিত হওয়ার সম্ভাবনা রয়েছে এমনকি যদি দুর্বল সিস্টেমটি প্রান্তে না থাকে।
নিউ ওয়ে
আরসিই যদি কন্টেইনারগুলির মুখোমুখি হওয়া সবচেয়ে বড় হুমকি না হয়, তাহলে কী? কন্টেইনার কি এমনকি হুমকি অভিনেতাদের রাডারে? হ্যাঁ, কন্টেইনার এবং তাদের সহায়ক অবকাঠামো উপেক্ষা করা খুব গুরুত্বপূর্ণ। কন্টেইনার অর্কেস্ট্রেশন সফ্টওয়্যার কন্টেইনারাইজড ওয়ার্কলোডগুলিকে অকল্পনীয় সংখ্যায় স্কেল করার অনুমতি দিয়েছে। ব্যবহারের প্রবণতাও বাড়ছে, তাই আপনি নিশ্চিত হতে পারেন যে তারা একটি লক্ষ্য হবে। RCE দুর্বলতাগুলির মাধ্যমে আপনি যে সার্ভারগুলিতে পান সেগুলিকে কেবল ভাবা যায় না।
পরিবর্তে, বিপরীতটি আসলে সত্য। বাইরে থেকে কন্টেইনারে আক্রমণ না করে ভেতর থেকে আক্রমণ করা দরকার। এটি মূলত সাপ্লাই চেইন আক্রমণ করে। সাপ্লাই চেইন হল কনটেইনারগুলির বিরুদ্ধে একটি অত্যন্ত কার্যকর আক্রমণ ভেক্টর যখন আপনি বুঝতে শুরু করেন যে সেগুলি কীভাবে তৈরি হয়। একটি ধারক একটি সংজ্ঞা ফাইল দিয়ে শুরু হয়, যেমন ডকারফাইল, যা যখন এটি চালানো হয় তখন কন্টেইনারে থাকা সমস্ত কিছু সংজ্ঞায়িত করে। এটি একবার নির্মিত হলে এটি একটি চিত্রে পরিণত হয় এবং সেই চিত্রটি অসংখ্যবার কাজের চাপে পরিণত হতে পারে। যদি সেই সংজ্ঞা ফাইলে কিছু আপস করা হয়, তাহলে চলমান প্রতিটি কাজের চাপ আপস করা হয়।
কন্টেইনারগুলি প্রায়শই, কিন্তু সবসময় নয়, এমন একটি অ্যাপ্লিকেশন দিয়ে তৈরি করা হয় যা কিছু করে এবং প্রস্থান করে। এই অ্যাপ্লিকেশানগুলি প্রায় যে কোনও কিছু হতে পারে — বোঝার গুরুত্বপূর্ণ বিষয় হল লাইব্রেরিগুলি ব্যবহার করে কতটা তৈরি করা হয়েছে, হয় ক্লোজড সোর্স বা ওপেন সোর্স, অন্য লোকেদের দ্বারা লেখা৷ গিটহাবের লক্ষ লক্ষ প্রকল্প রয়েছে এবং এটিই কোডের একমাত্র সংগ্রহস্থল নয়। যেমনটি আমরা সোলারউইন্ডসের সাথে দেখেছি, বন্ধ উত্সও সরবরাহ চেইন আক্রমণের জন্য ঝুঁকিপূর্ণ।
একটি সাপ্লাই চেইন আক্রমণ হুমকি অভিনেতাদের জন্য একটি টার্গেটের কন্টেইনার পরিবেশে প্রবেশ করার একটি দুর্দান্ত উপায়। তারা এমনকি গ্রাহকের পরিকাঠামো তাদের জন্য তাদের আক্রমণ স্কেল করতে দিতে পারে যদি সমঝোতা অলক্ষিত হয়। এই ধরনের দৃশ্যকল্প ইতিমধ্যেই নিজেকে খেলছে, যেমনটি আমরা এর সাথে দেখেছি কোডকোভ লঙ্ঘন. কিন্তু এই সব কতটা নতুন এবং আমাদের চিন্তাভাবনা কীভাবে অতীতের সমস্যাগুলির মধ্যে নিহিত রয়েছে তার কারণে এটি সনাক্ত করা কঠিন।
একটি উপায় ফরওয়ার্ড
বেশিরভাগ সমস্যার সমাধানের মতো, দৃশ্যমানতা সাধারণত শুরু করার জন্য একটি দুর্দান্ত জায়গা। আপনি যা দেখতে পাচ্ছেন না তা ঠিক করা কঠিন। আপনার কন্টেইনারগুলিকে সুরক্ষিত করার জন্য আপনার নিজেরাই পাত্রে দৃশ্যমানতা থাকতে হবে, সেইসাথে পুরো পাইপলাইন যা তাদের তৈরি করে। দুর্বলতা ব্যবস্থাপনা হল এক ধরনের দৃশ্যমানতা যা বিল্ড পাইপলাইনে একত্রিত করা আবশ্যক। আমি অন্যান্য স্ট্যাটিক বিশ্লেষণ সরঞ্জামগুলিও অন্তর্ভুক্ত করব, যেমন যেগুলি ফাঁস হওয়া গোপনীয়তার সন্ধান করে। যেহেতু সাপ্লাই চেইন অ্যাটাক দেখতে কেমন তা সত্যিই ভবিষ্যদ্বাণী করা যায় না, তাই রানটাইম মনিটরিং গুরুত্বপূর্ণ হয়ে ওঠে যাতে আপনি জানেন যে আপনার কন্টেইনারগুলি ঠিক কী করছে।
