攻撃者はコンテナをどのように攻撃し、利用するのでしょうか? これは私が常に考えている質問です。 私はこの分野で XNUMX 年以上働いてきましたが、答えが必要だと感じています。 しかし、私はしません。
代わりに、私にはさまざまなアイデアがたくさんありますが、どれも正確に特定することはできません. この優柔不断の一部は、私が「レガシー」の世界でセキュリティの学習に費やしたすべての時間によるものです。 コンテナには実際には類似物がありません。 確かに、仮想マシン (VM) はコンテナーと混同されることがよくありますが、コンテナーのようにスケーリングすることはできませんでした。 また、コンテナとはまったく異なる目的で使用されます。 考え方を調整し、コンテナが実際に攻撃対象領域のどこに収まるかを理解するには、しばらく時間がかかりました。
コンテナ化された環境に対する公開された攻撃の例は非常に限られています。 侵害はほとんどの場合、重大な攻撃であるクリプトマイニングに関連していますが、私のインシデント対応者はそれらに圧倒されていると感じています. もう XNUMX つの共通点は、それが Kubernetes であろうとクラウド アカウントであろうと、ほとんどが構成ミスの結果であるということです。 動機と戦術の組み合わせは、これまでのところあまり刺激的ではありませんでした。
オールドウェイ
リモート コード実行 (RCE) の脆弱性は、長い間、コンピューター セキュリティの主な懸念事項でした。 それらは今も変わりませんが、この考え方はコンテナにどのように適用されるのでしょうか? 主要な脅威として RCE にすぐにジャンプするのは簡単ですが、コンテナにアプローチする正しい方法ではないようです。 XNUMX つには、コンテナーは多くの場合、非常に短命です。 コンテナの 44% が XNUMX 分未満で稼働 – したがって、侵入者は迅速でなければなりません。
このアプローチでは、コンテナーがインターネットに公開されていることも前提としています。 確かに一部のコンテナはこのように設定されていますが、多くの場合、非常にシンプルで、NGINX などの十分にテストされたテクノロジを使用しています。 これらのアプリケーションにはゼロデイ アウトが発生する可能性がありますが、非常に価値があり、手に入れるのは困難です。 私の経験から、多くのコンテナーが内部で使用され、インターネットに直接接続されていないことがわかりました。 その場合、RCE シナリオはさらに難しくなります。 私は言及する必要があります ログ4jただし、これらの種類の脆弱性は、脆弱なシステムがエッジになくても、リモートで悪用される可能性があります。
ニューウェイ
コンテナが直面している最大の脅威が RCE ではない場合、RCE とは何でしょうか? コンテナは脅威アクターのレーダーにも映っていますか? はい、コンテナとそれをサポートするインフラストラクチャは無視できないほど重要です。 コンテナ オーケストレーション ソフトウェアにより、コンテナ化されたワークロードを想像を絶する数にスケーリングできるようになりました。 利用傾向も高まっているので、確実に狙われます。 それらは、RCE の脆弱性によって取得されるサーバーのように考えることはできません。
代わりに、実際にはその逆が当てはまります。 コンテナを外側から攻撃するのではなく、内側から攻撃する必要があります。 これは本質的に、サプライ チェーン攻撃が行うことです。 サプライ チェーンは、コンテナーがどのように構築されているかを理解し始めると、コンテナーに対する非常に効果的な攻撃ベクトルになります。 コンテナーは、Dockerfile などの定義ファイルで始まります。このファイルは、実行時にコンテナーに含まれるすべてのものを定義します。 ビルドされるとイメージに変換され、そのイメージはワークロードに無数にスピンアップされる可能性があるものです。 その定義ファイルの何かが侵害された場合、実行されるすべてのワークロードが侵害されます。
コンテナは、常にではありませんが、多くの場合、何かを実行して終了するアプリケーション専用に構築されています。 これらのアプリケーションはほとんど何でもかまいません。理解しておくべき重要なことは、他の人が作成したクローズド ソースまたはオープン ソースのライブラリを使用して構築されたものがどれだけあるかということです。 GitHub には何百万ものプロジェクトがあり、そこにあるコードの唯一のリポジトリではありません。 SolarWinds で見たように、クローズド ソースはサプライ チェーン攻撃に対しても脆弱です。
サプライ チェーン攻撃は、攻撃者がターゲットのコンテナ環境に侵入するための優れた方法です。 侵害が見過ごされた場合、顧客のインフラストラクチャに攻撃をスケーリングさせることさえできます。 このタイプのシナリオは、すでに展開されています。 Codecov 違反. しかし、これらすべてがいかに新しいものであり、私たちの考え方がまだ過去の問題に根ざしているのかを検出することは困難です.
行く手
ほとんどの問題を修正する場合と同様に、可視性は通常、開始するのに最適な場所です。 見えないものを直すのは難しい。 コンテナを保護するには、コンテナ自体だけでなく、コンテナを構築するパイプライン全体を可視化する必要があります。 脆弱性管理は、ビルド パイプラインに統合する必要がある可視性の XNUMX つのタイプです。 また、漏洩した秘密を探すツールなど、他の静的分析ツールも含めます。 サプライ チェーン攻撃がどのように見えるかを実際に予測することはできないため、コンテナが何を行っているかを正確に把握するには、実行時の監視が重要になります。
