Tehdit aktörleri konteynerlere nasıl saldırıp bunları nasıl kullanacak? Bu sürekli düşündüğüm bir soru. Yirmi yılı aşkın bir süredir bu alanda çalışıyorum ve bir cevabım olması gerektiğini hissediyorum. Ama yapmıyorum.
Bunun yerine pek çok farklı fikrim var ve bunların hiçbirinin doğruluğunu tam olarak belirleyemiyorum. Bu kararsızlığın bir kısmı "eski" dünyada güvenliği öğrenmek için harcadığım zamandan kaynaklanıyor. Konteynerlerin gerçekte bir analogu yoktur. Elbette, sanal makineler (VM'ler) genellikle konteynerlerle birleştirilir, ancak hiçbir zaman konteynerler gibi ölçeklenemediler. Ayrıca konteynerlerden tamamen farklı amaçlar için kullanılırlar. Düşüncelerimi düzeltmem ve konteynerlerin saldırı yüzeyinde gerçekte nereye uyduğunu anlamam biraz zaman aldı.
Konteynerli ortamlara yönelik halka açık saldırı örnekleri çok sınırlıdır. İhlaller neredeyse her zaman kripto madencilikle ilgili, bunlar ciddi saldırılar, ancak olaya müdahale eden kişi bunları yetersiz buluyor. Diğer bir ortak nokta da bunların çoğunlukla Kubernetes'te veya bulut hesabında olsun, yanlış yapılandırmanın sonucu olmasıdır. Güdülerin ve taktiklerin birleşimi şu ana kadar pek ilham verici olmadı.
Eski yol
Uzaktan kod yürütme (RCE) güvenlik açıkları, uzun süredir bilgisayar güvenliğinin ana endişe kaynağı olmuştur. Hâlâ öyleler ama bu düşünce tarzı konteynerlere nasıl uygulanıyor? Hemen birincil tehdit olarak RCE'ye atlamak kolaydır ancak konteynerlere yaklaşmanın doğru yolu gibi görünmemektedir. Öncelikle konteynerlerin ömrü genellikle çok kısadır. Konteynerlerin %44'ü beş dakikadan az yaşıyor – yani davetsiz misafirin hızlı olması gerekir.
Bu yaklaşım aynı zamanda konteynerin internete açık olduğunu da varsayar. Elbette bazı kapsayıcılar bu şekilde kurulur, ancak bunlar genellikle çok basittir ve NGINX gibi iyi test edilmiş teknolojiler kullanır. Bu başvurular için sıfır gün süresi olabilir, ancak bunlar son derece değerli ve elde edilmesi zor olacaktır. Deneyimlerim bana birçok konteynerin dahili olarak kullanıldığını ve doğrudan İnternet'e bağlanmadığını gösterdi. Bu durumda RCE senaryosu çok daha zorlaşıyor. şunu belirtmeliyim log4jancak bu tür güvenlik açıklarının, savunmasız sistem sınırda olmasa bile uzaktan istismar edilme potansiyeli vardır.
Yeni yol
Konteynerlerin karşı karşıya olduğu en büyük tehdit RCE değilse nedir? Konteynerler tehdit aktörlerinin radarında mı? Evet, konteynerler ve onları destekleyen altyapılar göz ardı edilemeyecek kadar önemlidir. Konteyner düzenleme yazılımı, konteynerleştirilmiş iş yüklerinin hayal edilemeyecek sayılara ölçeklendirilmesine olanak tanıdı. Kullanım eğilimi de artıyor, bu yüzden hedef olacaklarından emin olabilirsiniz. Bunlar, RCE güvenlik açıkları aracılığıyla eriştiğiniz sunucular gibi düşünülemez.
Bunun yerine aslında tam tersi doğrudur. Konteynerlere dışarıdan içeriye saldırmak yerine içeriden dışarıya saldırılması gerekiyor. Tedarik zinciri saldırılarının yaptığı aslında budur. Tedarik zinciri, konteynerlerin nasıl oluşturulduğunu anlamaya başladığınızda konteynerlere karşı son derece etkili bir saldırı vektörüdür. Bir kapsayıcı, çalıştırıldığında kapsayıcıda olacak her şeyi tanımlayan Dockerfile gibi bir tanım dosyasıyla başlar. Bir kez oluşturulduktan sonra bir görüntüye dönüştürülür ve bu görüntü, sayısız kez bir iş yüküne dönüştürülebilen şeydir. Bu tanım dosyasındaki herhangi bir şeyin güvenliği ihlal edilirse, çalışan her iş yükünün güvenliği ihlal edilir.
Konteynerler her zaman olmasa da çoğu zaman bir şeyler yapan ve çıkan bir uygulamayla amaca yönelik olarak oluşturulur. Bu uygulamalar neredeyse her şey olabilir; önemli olan, ne kadarının başkaları tarafından yazılan kapalı kaynak veya açık kaynak kitaplıklar kullanılarak oluşturulduğudur. GitHub'un milyonlarca projesi var ve buradaki tek kod deposu bu değil. SolarWinds'te gördüğümüz gibi kapalı kaynak, tedarik zinciri saldırılarına karşı da savunmasızdır.
Tedarik zinciri saldırısı, tehdit aktörlerinin hedefin konteyner ortamına girmesinin harika bir yoludur. Uzlaşmanın fark edilmemesi durumunda müşterinin altyapısının saldırılarını onlar için ölçeklendirmesine bile izin verebilirler. Bu tür bir senaryo, daha önce de gördüğümüz gibi, halihazırda kendini gösteriyor. Codecov ihlali. Ancak tüm bunların ne kadar yeni olduğu ve düşüncelerimizin hala geçmişin sorunlarına dayandığı için bunu tespit etmek zordur.
A Way Forward
Çoğu sorunun çözümünde olduğu gibi görünürlük de genellikle başlamak için harika bir yerdir. Göremediğiniz şeyi düzeltmek zordur. Konteynerlerinizi güvence altına almak için konteynerlerin kendilerinin yanı sıra onları oluşturan tüm boru hattını da görebilmeniz gerekir. Güvenlik açığı yönetimi, derleme hattına entegre edilmesi gereken bir görünürlük türüdür. Ayrıca sızdırılmış sırları arayanlar gibi diğer statik analiz araçlarını da dahil edeceğim. Tedarik zinciri saldırısının neye benzeyeceği gerçekten tahmin edilemediğinden, çalışma zamanı izleme kritik hale gelir; böylece konteynerlerinizin tam olarak ne yaptığını bilirsiniz.
