Πώς θα επιτεθούν οι απειλές και θα χρησιμοποιήσουν κοντέινερ; Αυτή είναι μια ερώτηση που σκέφτομαι συνεχώς. Εργάζομαι σε αυτόν τον τομέα για περισσότερες από δύο δεκαετίες τώρα και νιώθω ότι πρέπει να έχω μια απάντηση. Αλλά δεν το κάνω.
Αντίθετα, έχω πολλές διαφορετικές ιδέες, καμία από τις οποίες δεν μπορώ να προσδιορίσω ως σωστή. Μέρος αυτής της αναποφασιστικότητας οφείλεται σε όλο τον χρόνο που αφιέρωσα μαθαίνοντας την ασφάλεια στον «κληροδότη» κόσμο. Τα δοχεία δεν έχουν πραγματικά ανάλογο. Σίγουρα, οι εικονικές μηχανές (VM) συχνά συγχέονται με κοντέινερ, αλλά ποτέ δεν μπόρεσαν να κλιμακωθούν σαν κοντέινερ. Χρησιμοποιούνται επίσης για εντελώς διαφορετικούς σκοπούς από τα δοχεία. Χρειάστηκε λίγος χρόνος για να προσαρμόσω τη σκέψη μου και να καταλάβω πού ταιριάζουν πραγματικά τα κοντέινερ στην επιφάνεια επίθεσης.
Τα δημόσια παραδείγματα επιθέσεων σε περιβάλλοντα με κοντέινερ είναι πολύ περιορισμένα. Οι παραβιάσεις σχεδόν πάντα σχετίζονται με την κρυπτοεξόρυξη, οι οποίες είναι σοβαρές επιθέσεις, αλλά ο υπεύθυνος που ανταποκρίνεται στα περιστατικά μέσα μου τις βρίσκει υποτονικές. Ένα άλλο κοινό στοιχείο είναι ότι είναι ως επί το πλείστον αποτέλεσμα λανθασμένης διαμόρφωσης, είτε πρόκειται για λογαριασμό Kubernetes είτε για λογαριασμό cloud. Ο συνδυασμός των κινήτρων και της τακτικής δεν ήταν πολύ εμπνευσμένος μέχρι στιγμής.
Ο Παλαιός δρόμος
Τα τρωτά σημεία απομακρυσμένης εκτέλεσης κώδικα (RCE) αποτελούν το κύριο μέλημα στην ασφάλεια των υπολογιστών για μεγάλο χρονικό διάστημα. Εξακολουθούν να είναι, αλλά πώς ισχύει αυτός ο τρόπος σκέψης για τα κοντέινερ; Είναι εύκολο να μεταβείτε αμέσως στο RCE ως την κύρια απειλή, αλλά δεν φαίνεται να είναι ο σωστός τρόπος προσέγγισης κοντέινερ. Πρώτον, τα δοχεία είναι συχνά πολύ βραχύβια – Το 44% των εμπορευματοκιβωτίων ζουν λιγότερο από πέντε λεπτά – έτσι ένας εισβολέας θα έπρεπε να είναι γρήγορος.
Αυτή η προσέγγιση προϋποθέτει επίσης ότι το κοντέινερ είναι εκτεθειμένο στο Διαδίκτυο. Σίγουρα ορισμένα κοντέινερ είναι ρυθμισμένα με αυτόν τον τρόπο, αλλά συχνά είναι πολύ απλά και χρησιμοποιούν καλά δοκιμασμένες τεχνολογίες, όπως το NGINX. Μπορεί να υπάρχουν μηδενικές ημέρες για αυτές τις εφαρμογές, αλλά θα ήταν εξαιρετικά πολύτιμες και δύσκολες. Η εμπειρία μου μού έχει δείξει ότι πολλά κοντέινερ χρησιμοποιούνται εσωτερικά και δεν συνδέονται απευθείας στο Διαδίκτυο. Το σενάριο RCE γίνεται πολύ πιο δύσκολο σε αυτήν την περίπτωση. θα έπρεπε να αναφέρω log4j, αν και αυτού του είδους τα τρωτά σημεία έχουν τη δυνατότητα να εκμεταλλευτούν εξ αποστάσεως, ακόμη και αν το ευάλωτο σύστημα δεν είναι στην άκρη.
Ο Νέος Δρόμος
Εάν το RCE δεν είναι η μεγαλύτερη απειλή που αντιμετωπίζει τα εμπορευματοκιβώτια, τότε ποια είναι; Είναι ακόμη και τα κοντέινερ στο ραντάρ των απειλών; Ναι, τα κοντέινερ και η υποδομή υποστήριξής τους είναι πολύ σημαντικά για να τα αγνοήσουμε. Το λογισμικό ενορχήστρωσης κοντέινερ επέτρεψε την κλιμάκωση του φόρτου εργασίας με εμπορευματοκιβώτια σε αδιανόητους αριθμούς. Η τάση χρήσης αυξάνεται επίσης, οπότε μπορείτε να είστε σίγουροι ότι θα αποτελέσουν στόχο. Απλώς δεν μπορούν να θεωρηθούν σαν διακομιστές στους οποίους λαμβάνετε μέσω τρωτών σημείων RCE.
Αντίθετα, ισχύει το αντίστροφο. Αντί να επιτίθενται στα κοντέινερ από έξω προς τα μέσα, πρέπει να δέχονται επίθεση από μέσα προς τα έξω. Αυτό ουσιαστικά κάνουν οι επιθέσεις στην εφοδιαστική αλυσίδα. Η αλυσίδα ανεφοδιασμού είναι ένας εξαιρετικά αποτελεσματικός φορέας επίθεσης εναντίον κοντέινερ όταν αρχίσετε να κατανοείτε πώς κατασκευάζονται. Ένα κοντέινερ ξεκινά με ένα αρχείο ορισμού, όπως το Dockerfile, το οποίο ορίζει όλα όσα θα υπάρχουν στο κοντέινερ όταν εκτελείται. Μετατρέπεται σε εικόνα μόλις δημιουργηθεί, και αυτή η εικόνα είναι αυτό που μπορεί να περιστραφεί σε φόρτο εργασίας αμέτρητες φορές. Εάν κάτι σε αυτό το αρχείο ορισμού έχει παραβιαστεί, τότε κάθε φόρτος εργασίας που εκτελείται παραβιάζεται.
Τα κοντέινερ είναι συχνά, αλλά όχι πάντα, ειδικά κατασκευασμένα με μια εφαρμογή που κάνει κάτι και βγαίνει. Αυτές οι εφαρμογές μπορεί να είναι σχεδόν οτιδήποτε — το σημαντικό πράγμα που πρέπει να καταλάβετε είναι πόσα έχουν κατασκευαστεί χρησιμοποιώντας βιβλιοθήκες, είτε κλειστού είτε ανοιχτού κώδικα, γραμμένες από άλλα άτομα. Το GitHub έχει εκατομμύρια έργα και αυτό δεν είναι το μόνο αποθετήριο κώδικα εκεί έξω. Όπως είδαμε με το SolarWinds, η κλειστή πηγή είναι επίσης ευάλωτη σε επιθέσεις εφοδιαστικής αλυσίδας.
Μια επίθεση με αλυσίδα εφοδιασμού είναι ένας πολύ καλός τρόπος για τους παράγοντες απειλής να εισέλθουν στο περιβάλλον κοντέινερ ενός στόχου. Μπορούν ακόμη και να αφήσουν την υποδομή του πελάτη να κλιμακώσει την επίθεσή τους, εάν ο συμβιβασμός περάσει απαρατήρητος. Αυτός ο τύπος σεναρίου παίζει ήδη από μόνος του, όπως είδαμε με το Παραβίαση του Codecov. Αλλά είναι δύσκολο να εντοπιστεί λόγω του πόσο νέα είναι όλα αυτά και πώς η σκέψη μας εξακολουθεί να είναι ριζωμένη στα προβλήματα του παρελθόντος.
Μια πορεία προς το μέλλον
Όπως και με την επίλυση των περισσότερων προβλημάτων, η ορατότητα είναι συνήθως ένα εξαιρετικό μέρος για να ξεκινήσετε. Είναι δύσκολο να διορθώσεις αυτό που δεν μπορείς να δεις. Για να ασφαλίσετε τα δοχεία σας, πρέπει να έχετε ορατότητα στα ίδια τα δοχεία, καθώς και σε ολόκληρο τον αγωγό που τα κατασκευάζει. Η διαχείριση ευπάθειας είναι ένας τύπος ορατότητας που πρέπει να ενσωματωθεί στον αγωγό κατασκευής. Θα περιλάμβανα επίσης άλλα εργαλεία στατικής ανάλυσης, όπως αυτά που αναζητούν μυστικά που διέρρευσαν και σε αυτό. Δεδομένου ότι η εμφάνιση μιας επίθεσης στην αλυσίδα εφοδιασμού δεν μπορεί πραγματικά να προβλεφθεί, η παρακολούθηση χρόνου εκτέλεσης γίνεται κρίσιμη, ώστε να γνωρίζετε ακριβώς τι κάνουν τα κοντέινερ σας.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
