Автор:

Гайнуллина Екатерина, Инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision

Введение

С ростом популярности контейнеров появилось множество преимуществ. Контейнеры являются основой архитектуры микросервисов, которые позволяют создавать облачные приложения любого размера. Однако из-за своей популярности контейнеры также являются главной мишенью для программ-вымогателей, хакеров и других угроз.

В результате предприятия, которым важна надежная система безопасности, должны иметь возможность решать общие проблемы безопасности контейнеров. Хотя не существует единого способа решения, применение комплексного подхода и использование правильных инструментов может принести большую пользу.

С какими задачами безопасности сталкиваются предприятия?

Прежде всего, в контексте использования контейнеров предприятия сталкиваются с проблемой выявления и устранения уязвимостей в образах контейнеров. Несмотря на изолирующий эффект, который контейнеры предоставляют для приложений, устаревшие или неправильно настроенные образы могут стать уязвимыми к атакам. Такие уязвимости создают потенциальные точки входа для кибератак и могут привести к утечке конфиденциальной информации. В 2023 году более 80% утечек данных были связаны с данными, хранящимися в облаке.

Дополнительным вызовом для предприятий при использовании контейнеров является потенциальная угроза атаки на цепочку поставок (supply chain attack). В контексте контейнеризации, атака на цепочку поставок может произойти в результате компрометации или внедрения вредоносного кода в образы контейнеров или их зависимости во время сборки или развертывания.

Эта форма атаки может быть особенно опасной, поскольку вредоносный код может быть распространен через официальные репозитории образов контейнеров, что делает его трудно обнаружимым. Когда организация использует такие образы, она не только подвергает свои собственные системы риску, но и распространяет угрозу на другие организации, которые могут использовать те же образы.

Уязвимые docker-хосты для майнинга

Исследователи Cado Security Labs заметили новую кампанию, нацеленную на уязвимые службы Docker. Это первый задокументированный случай использования вредоносным ПО приложения 9hits в качестве полезной нагрузки.

Злоумышленники устанавливают приложение 9hits на скомпрометированные Docker-хосты, чтобы использовать ресурсы этих систем для генерации трафика в рамках системы 9hits и получения кредитов для себя. Контейнер XMRig добывает криптовалюту, используя частный пул майнинга, связанный с динамическим DNS-доменом злоумышленника.

Результатом взлома хостов является истощение ресурсов, поскольку майнер XMRig потребляет доступные ресурсы процессора, а приложение 9hits использует значительную пропускную способность, память и все оставшиеся ресурсы процессора. Это может препятствовать нормальной работе зараженных серверов, что потенциально может привести к более серьезным нарушениям.

По словам исследователя безопасности Cado Нейта Билла, это открытие подчеркивает непрерывную эволюцию стратегий злоумышленников, направленных на получение прибыли от взломанных хостов. Это также подчеркивает постоянную уязвимость незащищенных хостов Docker как точки входа.

Как в данном контексте может помочь Trivy?

Trivy - это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:

• Безопасность образов контейнеров: Trivy специализируется на сканировании образов контейнеров на наличие уязвимостей. Это помогает выявить проблемы безопасности в образе, такие как устаревшие пакеты, известные уязвимости и неправильные настройки.

• Безопасность базового образа: Trivy может обнаруживать уязвимости в базовых образах, используемых для создания других образов. Это важно, поскольку уязвимости в базовых образах могут распространяться на зависимые образы, влияя на безопасность всего контейнерного приложения.

• Обнаружение уязвимостей пакетов: Trivy анализирует пакеты программного обеспечения, установленные в образе контейнера, и сопоставляет их с известными базами данных уязвимостей. Он предоставляет информацию о конкретных уязвимостях, связанных с каждым пакетом, что позволяет пользователям принимать соответствующие меры по устранению.

• Всесторонняя поддержка баз данных об уязвимостях: Trivy поддерживает множество баз данных об уязвимостях, включая Национальную базу данных об уязвимостях (NVD), Red Hat Security Data API и другие. Такая широкая поддержка баз данных повышает точность и охват обнаружения уязвимостей.

• Интеграция с контейнерной оркестровкой: Trivy интегрируется с платформами для оркестровки контейнеров, такими как Kubernetes и Docker. Это позволяет пользователям легко внедрять сканирование уязвимостей в свои конвейеры CI/CD, реестры контейнеров и рабочие процессы развертывания.

• Интеграция с конвейером CI/CD: Trivy может быть интегрирован в конвейеры непрерывной интеграции и непрерывной доставки (CI/CD) для автоматического сканирования образов контейнеров в процессе сборки и развертывания. Это помогает гарантировать, что в производственных средах будут развертываться только защищенные образы.

• Обнаружение неправильной конфигурации: Trivy выходит за рамки уязвимостей пакетов и может обнаруживать распространенные ошибки в настройках образов контейнеров. Это включает в себя такие проблемы, как чрезмерно жесткие права доступа к файлам, доступ к конфиденциальной информации и небезопасные настройки, которые могут представлять угрозу безопасности.

• Сканирование на нескольких уровнях: Trivy анализирует уязвимости на всех уровнях образа контейнера, включая базовый образ, зависимости и уровни, относящиеся к конкретному приложению. Этот комплексный подход обеспечивает целостное представление о состоянии безопасности всего образа.

• Быстрое сканирование: Trivy разработан для повышения скорости и обеспечивает быстрое сканирование уязвимостей. Это особенно важно в средах CI/CD, где быстрая обратная связь об уязвимостях безопасности необходима для поддержания безопасного жизненного цикла разработки программного обеспечения.

Кроме перечисленных выше возможностей, стоит отметить, что Trivy также способен создавать файлы SBOM (Software Bill of Materials) в формате SPDX (Software Package Data Exchange). Эти файлы представляют собой структурированный список всех компонентов программного обеспечения, включая зависимости и уязвимости, используемых в контейнерных образах.

SBOM файлы играют важную роль в цифровом процессе поставки программного обеспечения, так как они обеспечивают прозрачность и четкость в отношении состава и безопасности программного обеспечения. Они помогают организациям соблюдать правила и стандарты в области безопасности и регулирования, а также упрощают анализ и управление уязвимостями в процессе разработки и эксплуатации приложений.

Создание SBOM файлов с помощью Trivy обеспечивает прозрачность и доверие в цифровом процессе поставки программного обеспечения, что является ключевым аспектом в современной среде разработки и развертывания приложений.

Итоги

В контексте обеспечения безопасности контейнерных сред проект Trivy представляет собой инструмент, обладающий широким спектром функций и возможностей. Результаты анализа подчеркивают важность использования таких инструментов для обнаружения и устранения уязвимостей в образах контейнеров, обеспечивая тем самым высокий уровень безопасности в цифровом пространстве.  Однако необходимо учитывать, что его использование должно дополняться рекомендациями и практиками безопасности, предложенными профессиональными аналитиками и индустриальными стандартами. Это включает в себя регулярное обновление образов контейнеров, строгий контроль доступа к контейнерам и сетевым ресурсам, а также мониторинг и реагирование на аномальные события в контейнерной среде.

Кроме того, важно принимать во внимание особенности каждой конкретной среды и приложения при использовании Trivy, а также учитывать специфические требования безопасности и комплаенса, применимые к конкретной отрасли или регулирующие нормы. Только комплексный подход к обеспечению безопасности контейнеров, включающий в себя не только использование инструментов, но и осознанные практики и стратегии, позволит организациям эффективно защищать свои контейнерные среды от угроз и атак.