การละเมิดคอนเทนเนอร์ทั้งหมดอยู่ที่ไหน

ผู้คุกคามจะโจมตีและใช้คอนเทนเนอร์อย่างไร นี่เป็นคำถามที่ฉันคิดอยู่ตลอดเวลา ฉันทำงานในพื้นที่นี้มานานกว่าสองทศวรรษแล้ว และรู้สึกว่าฉันควรจะได้คำตอบ แต่ฉันไม่ทำ

แต่ฉันมีความคิดที่แตกต่างกันมากมาย ซึ่งฉันไม่สามารถระบุได้ว่าถูกต้องจริงๆ ส่วนหนึ่งของความไม่แน่ใจนี้เป็นเพราะว่าฉันใช้เวลาทั้งหมดไปกับการเรียนรู้ความปลอดภัยในโลก "ดั้งเดิม" คอนเทนเนอร์ไม่มีแอนะล็อกจริงๆ แน่นอนว่าเครื่องเสมือน (VM) มักจะถูกรวมเข้ากับคอนเทนเนอร์ แต่ก็ไม่สามารถปรับขนาดได้เหมือนกับคอนเทนเนอร์ พวกมันยังใช้เพื่อจุดประสงค์ที่แตกต่างไปจากคอนเทนเนอร์อย่างสิ้นเชิง ต้องใช้เวลาสักพักในการปรับความคิดของฉันและทำความเข้าใจว่าจริงๆ แล้วคอนเทนเนอร์อยู่ตรงไหนของพื้นผิวการโจมตี

ตัวอย่างการโจมตีต่อสภาพแวดล้อมแบบคอนเทนเนอร์ต่อสาธารณะนั้นมีจำกัดมาก การละเมิดมักจะเกี่ยวข้องกับการขุด crypto ซึ่งเป็นการโจมตีที่ร้ายแรง แต่การตอบสนองต่อเหตุการณ์ในตัวฉันพบว่ามันทำได้ไม่ดีนัก สิ่งที่เหมือนกันอีกประการหนึ่งคือส่วนใหญ่เป็นผลมาจากการกำหนดค่าที่ไม่ถูกต้อง ไม่ว่าจะเป็นใน Kubernetes หรือบัญชีคลาวด์ การผสมผสานระหว่างแรงจูงใจและยุทธวิธียังไม่สร้างแรงบันดาลใจมากนัก

วิธีเก่า ๆ

ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) เป็นปัญหาหลักในการรักษาความปลอดภัยคอมพิวเตอร์มาเป็นเวลานาน ยังคงอยู่ แต่วิธีคิดนี้นำไปใช้กับคอนเทนเนอร์ได้อย่างไร เป็นเรื่องง่ายที่จะข้ามไปที่ RCE ทันทีซึ่งเป็นภัยคุกคามหลัก แต่ดูเหมือนจะไม่ใช่วิธีที่ถูกต้องในการเข้าถึงคอนเทนเนอร์ ประการหนึ่ง ตู้คอนเทนเนอร์มักมีอายุสั้นมาก – 44% ของตู้คอนเทนเนอร์มีอายุน้อยกว่าห้านาที – ดังนั้นผู้บุกรุกจะต้องรวดเร็ว

วิธีการนี้ยังถือว่าคอนเทนเนอร์นั้นถูกเปิดเผยต่ออินเทอร์เน็ต แน่นอนว่าบางคอนเทนเนอร์ได้รับการตั้งค่าด้วยวิธีนี้ แต่มักจะเรียบง่ายมากและใช้เทคโนโลยีที่ผ่านการทดสอบมาอย่างดี เช่น NGINX แอปพลิเคชันเหล่านี้อาจมีวันหยุดเป็นศูนย์ แต่จะมีคุณค่าอย่างยิ่งและหาได้ยาก ประสบการณ์ของฉันแสดงให้ฉันเห็นว่ามีการใช้คอนเทนเนอร์จำนวนมากเป็นการภายในและไม่ได้เชื่อมต่อกับอินเทอร์เน็ตโดยตรง สถานการณ์ RCE จะยากขึ้นมากในกรณีนี้ ฉันควรจะพูดถึง log4jแม้ว่าช่องโหว่ประเภทนี้มีศักยภาพในการถูกโจมตีจากระยะไกล แม้ว่าระบบที่มีช่องโหว่จะไม่ได้อยู่บนขอบก็ตาม

วิธีการใหม่

หาก RCE ไม่ใช่ภัยคุกคามที่ใหญ่ที่สุดที่ตู้คอนเทนเนอร์ต้องเผชิญ แล้วอะไรจะเกิดขึ้น? ตู้คอนเทนเนอร์ยังอยู่ในเรดาร์ของผู้แสดงภัยคุกคามหรือไม่? ใช่ คอนเทนเนอร์และโครงสร้างพื้นฐานที่รองรับมีความสำคัญเกินกว่าจะเพิกเฉยได้ ซอฟต์แวร์การจัดการคอนเทนเนอร์ช่วยให้สามารถปรับขนาดปริมาณงานในคอนเทนเนอร์ให้เป็นจำนวนที่ไม่สามารถจินตนาการได้ แนวโน้มการใช้งานก็เพิ่มขึ้นเช่นกัน ดังนั้นคุณจึงมั่นใจได้ว่าจะเป็นเป้าหมาย ไม่สามารถคิดได้ว่าเหมือนกับเซิร์ฟเวอร์ที่คุณได้รับจากช่องโหว่ RCE

แต่สิ่งที่ตรงกันข้ามกลับเป็นจริง แทนที่จะโจมตีตู้คอนเทนเนอร์จากภายนอกสู่ภายใน กลับต้องถูกโจมตีจากภายในสู่ภายนอก นี่คือสิ่งที่การโจมตีห่วงโซ่อุปทานทำเป็นหลัก ห่วงโซ่อุปทานเป็นเวกเตอร์การโจมตีตู้คอนเทนเนอร์ที่มีประสิทธิภาพอย่างยิ่ง เมื่อคุณเริ่มเข้าใจวิธีการสร้างตู้คอนเทนเนอร์ คอนเทนเนอร์เริ่มต้นด้วยไฟล์คำจำกัดความ เช่น Dockerfile ซึ่งกำหนดทุกสิ่งที่จะอยู่ในคอนเทนเนอร์เมื่อทำงาน มันจะกลายเป็นภาพที่สร้างขึ้นครั้งเดียว และภาพนั้นคือสิ่งที่สามารถปั่นป่วนเป็นภาระงานจำนวนนับไม่ถ้วน หากมีสิ่งใดในไฟล์คำจำกัดความนั้นถูกบุกรุก ปริมาณงานทั้งหมดที่ทำงานจะถูกบุกรุก

คอนเทนเนอร์มักจะถูกสร้างขึ้นตามจุดประสงค์ด้วยแอปพลิเคชันที่ทำบางสิ่งและออก แต่ก็ไม่เสมอไป แอปพลิเคชันเหล่านี้สามารถเป็นได้เกือบทุกอย่าง สิ่งสำคัญที่ต้องทำความเข้าใจคือจำนวนเท่าใดที่ถูกสร้างขึ้นโดยใช้ไลบรารี ไม่ว่าจะเป็นโอเพ่นซอร์สหรือโอเพ่นซอร์สที่เขียนโดยบุคคลอื่น GitHub มีโปรเจ็กต์หลายล้านโปรเจ็กต์ และนั่นไม่ใช่แหล่งรวมโค้ดเพียงแห่งเดียว ดังที่เราเห็นใน SolarWinds แหล่งที่มาแบบปิดก็มีความเสี่ยงที่จะถูกโจมตีจากห่วงโซ่อุปทานเช่นกัน

การโจมตีห่วงโซ่อุปทานเป็นวิธีที่ดีเยี่ยมสำหรับผู้คุกคามในการเข้าสู่สภาพแวดล้อมคอนเทนเนอร์ของเป้าหมาย พวกเขายังสามารถปล่อยให้โครงสร้างพื้นฐานของลูกค้าขยายการโจมตีให้พวกเขาได้ หากไม่มีใครสังเกตเห็นการประนีประนอม สถานการณ์ประเภทนี้กำลังเกิดขึ้นแล้ว ดังที่เราเห็นใน การละเมิด Codecov. แต่เป็นการยากที่จะตรวจพบเนื่องจากทั้งหมดนี้เป็นเรื่องใหม่เพียงใด และความคิดของเรายังคงมีรากฐานมาจากปัญหาในอดีตอย่างไร

ทางข้างหน้า

เช่นเดียวกับการแก้ไขปัญหาส่วนใหญ่ การมองเห็นมักเป็นจุดเริ่มต้นที่ดี มันยากที่จะแก้ไขสิ่งที่คุณมองไม่เห็น เพื่อรักษาความปลอดภัยตู้คอนเทนเนอร์ของคุณ คุณต้องมองเห็นตู้คอนเทนเนอร์ได้เอง รวมถึงไปป์ไลน์ทั้งหมดที่สร้างตู้คอนเทนเนอร์เหล่านั้น การจัดการช่องโหว่เป็นการมองเห็นประเภทหนึ่งที่ต้องรวมเข้ากับไปป์ไลน์การสร้าง ฉันยังจะรวมเครื่องมือวิเคราะห์แบบคงที่อื่น ๆ ไว้ด้วย เช่น เครื่องมือที่ค้นหาความลับที่รั่วไหลออกมาด้วยเช่นกัน เนื่องจากไม่สามารถคาดเดาลักษณะของการโจมตีในห่วงโซ่อุปทานได้ การตรวจสอบรันไทม์จึงมีความสำคัญ เพื่อให้คุณทราบได้อย่างแน่ชัดว่าคอนเทนเนอร์ของคุณกำลังทำอะไรอยู่