همه موارد نقض کانتینر کجا هستند؟ هوش داده PlatoBlockchain. جستجوی عمودی Ai.

همه موارد نقض کانتینر کجا هستند؟

تمبر زمان: 1 نوامبر 2022، 10:00 صبح

عوامل تهدید چگونه به کانتینرها حمله کرده و از آنها استفاده خواهند کرد؟ این سوالی است که مدام به آن فکر می کنم. من بیش از دو دهه است که در این زمینه کار می کنم و احساس می کنم باید پاسخی داشته باشم. اما من این کار را نمی کنم.

در عوض، من ایده های مختلف زیادی دارم، که هیچ کدام از آنها را نمی توانم درست تشخیص دهم. بخشی از این بلاتکلیفی به خاطر تمام زمانی است که برای یادگیری امنیت در دنیای "میراث" صرف کردم. ظروف واقعاً آنالوگ ندارند. مطمئناً، ماشین‌های مجازی (VM) اغلب با کانتینرها ترکیب می‌شوند، اما هرگز نتوانستند مانند کانتینرها مقیاس شوند. آنها همچنین برای اهداف کاملاً متفاوت از ظروف استفاده می شوند. مدتی طول کشید تا افکارم را تنظیم کنم و بفهمم که کانتینرها واقعاً کجا در سطح حمله قرار می گیرند.

نمونه های عمومی حملات علیه محیط های کانتینری بسیار محدود است. نقض‌ها تقریباً همیشه مربوط به رمزنگاری هستند، که حملات جدی هستند، اما پاسخ‌دهنده حادثه در من آنها را ضعیف می‌بیند. مشترک دیگر این است که آنها عمدتاً نتیجه یک پیکربندی نادرست هستند، خواه در Kubernetes یا یک حساب ابری باشد. ترکیب انگیزه ها و تاکتیک ها تاکنون چندان الهام بخش نبوده است.

راه قدیمی

آسیب‌پذیری‌های اجرای کد از راه دور (RCE) نگرانی اصلی در امنیت رایانه برای مدت طولانی بوده است. آنها هنوز هستند، اما چگونه این طرز تفکر در مورد ظروف اعمال می شود؟ پرش بلافاصله به RCE به عنوان تهدید اصلی آسان است، اما به نظر نمی رسد که راه درستی برای نزدیک شدن به کانتینرها باشد. برای یک چیز، ظروف اغلب بسیار کوتاه هستند - 44 درصد ظروف کمتر از پنج دقیقه عمر می کنند - بنابراین یک مزاحم باید سریع باشد.

این رویکرد همچنین فرض می کند که کانتینر در معرض اینترنت است. مطمئناً برخی از کانتینرها به این روش تنظیم می شوند، اما اغلب بسیار ساده هستند و از فناوری های آزمایش شده مانند NGINX استفاده می کنند. ممکن است روزهای صفر برای این برنامه ها وجود داشته باشد، اما آنها بسیار ارزشمند و به سختی به دست می آیند. تجربه من به من نشان داده است که بسیاری از کانتینرها به صورت داخلی استفاده می شوند و مستقیماً به اینترنت وصل نمی شوند. سناریوی RCE در این مورد بسیار دشوارتر می شود. باید اشاره کنم log4j، اگرچه این نوع آسیب‌پذیری‌ها حتی اگر سیستم آسیب‌پذیر در لبه نباشد، پتانسیل بهره‌برداری از راه دور را دارند.

راه جدید

اگر RCE بزرگترین تهدیدی نیست که کانتینرها با آن روبرو هستند، پس چیست؟ آیا کانتینرها حتی در رادار بازیگران تهدید هستند؟ بله، کانتینرها و زیرساخت‌های پشتیبانی آن‌ها بسیار مهم هستند که نمی‌توان آنها را نادیده گرفت. نرم افزار ارکستراسیون کانتینر اجازه می دهد تا حجم کاری کانتینری به اعداد غیرقابل تصور مقیاس شود. روند استفاده نیز در حال افزایش است، بنابراین می توانید مطمئن باشید که آنها یک هدف خواهند بود. آنها را نمی توان مانند سرورهایی در نظر گرفت که از طریق آسیب پذیری های RCE به آنها دسترسی پیدا می کنید.

در عوض، عکس آن در واقع صادق است. به جای حمله به کانتینرها از بیرون به داخل، باید از داخل به بیرون مورد حمله قرار گیرند. این اساساً همان کاری است که حملات زنجیره تامین انجام می دهند. زنجیره تامین یک بردار حمله بسیار موثر علیه کانتینرها است، زمانی که شروع به درک نحوه ساخت آنها می کنید. یک کانتینر با یک فایل تعریف شروع می شود، مانند Dockerfile، که هر چیزی را که در کانتینر در هنگام اجرا وجود دارد را تعریف می کند. پس از ساخته شدن به یک تصویر تبدیل می‌شود، و آن تصویر چیزی است که ممکن است بارها و بارها به یک حجم کاری تبدیل شود. اگر هر چیزی در آن فایل تعریف به خطر بیفتد، پس هر بار کاری که اجرا می شود به خطر می افتد.

کانتینرها اغلب، اما نه همیشه، با برنامه‌ای ساخته می‌شوند که کاری انجام می‌دهد و خارج می‌شود. این برنامه‌ها می‌توانند تقریباً هر چیزی باشند – نکته مهمی که باید درک کرد این است که چقدر با استفاده از کتابخانه‌ها، اعم از منبع بسته یا متن باز، نوشته شده توسط افراد دیگر ساخته شده است. GitHub میلیون ها پروژه دارد و این تنها مخزن کد موجود نیست. همانطور که در SolarWinds دیدیم، منبع بسته در برابر حملات زنجیره تامین نیز آسیب پذیر است.

حمله زنجیره تامین یک راه عالی برای عوامل تهدید برای ورود به محیط کانتینر هدف است. آن‌ها حتی می‌توانند به زیرساخت‌های مشتری اجازه دهند که در صورت عدم توجه به مصالحه، حمله خود را برای آنها افزایش دهد. این نوع سناریو در حال حاضر خودش را نشان می دهد، همانطور که در مورد آن دیدیم نقض کدکو. اما به دلیل جدید بودن همه اینها و اینکه چگونه تفکر ما هنوز ریشه در مشکلات گذشته دارد، تشخیص آن دشوار است.

راهی به جلو

مانند رفع اکثر مشکلات، دید معمولاً یک مکان عالی برای شروع است. درست کردن چیزی که نمی توانید ببینید سخت است. برای ایمن کردن ظروف خود باید دید خود کانتینرها و همچنین کل خط لوله ای که آنها را می سازد، داشته باشید. مدیریت آسیب پذیری یکی از انواع دید است که باید در خط لوله ساخت ادغام شود. من همچنین ابزارهای تجزیه و تحلیل استاتیک دیگری را نیز شامل می‌کنم، مانند ابزارهایی که به دنبال اسرار فاش شده برای آن هستند. از آنجایی که حمله زنجیره تامین چگونه به نظر می رسد واقعاً قابل پیش بینی نیست، نظارت بر زمان اجرا بسیار مهم می شود بنابراین شما دقیقاً بدانید که کانتینرهای شما چه می کنند.

تمبر زمان:

بیشتر از تاریک خواندن