Журнал "Information Security/ Информационная безопасность" #2, 2025

Жизненный цикл контейнеров Еще одним важным следствием использования контейнеров является изменение жизненного цикла ПО. Ско- рость релизов значительно возросла: контейнеры позволяют бизнесу быстро тестировать гипотезы и оказывать услуги пользователям. Как следствие, среднее время жизни контейнера обычно не пре- вышает недели. Харденинг и соответствие политикам безопасности Первое, чему стоит уделить внимание при построении системы безопасности контейнеризации, – это харденинг. Суще- ствует множество рекомендаций как от некоммерческих организаций (Center of Information Security, Cloud Native Computing Foundation, Cloud Security Alliance), так и от вендоров и провайдеров (Docker, Google, Red Hat, VMware). И действительно, систе- му можно настроить так, чтобы решились почти все проблемы, перечисленные выше. Однако в таком случае, как правило, полезные для ИТ-специалистов и бизнеса функции контейнеров становятся недо- ступными, теряется экономический эффект их внедрения. Это почти наверняка при- ведет к конфликту интересов. Решения по безопасности рантайма в помощь специалистам SOC При внедрении практик безопасности необходимо найти компромисс между снижением уровня риска и негативным влиянием принятых мер. В последние пару лет активно развивается технология eBPF, которая позволяет выстроить мониторинг контейнерной инфраструк- туры и повысить видимость контейнеров для SOC, специалистов по ИБ и ИТ. В чем же ее преимущества? 1. Управление потребляемыми ресур- сами на единицу информации. Настроить сбор событий можно и для auditd и osque- ry, однако eBPF выводит мониторинг на новый уровень. Можно журналировать только нужные вызовы в ядре ОС с определенными аргументами. При этом потребление ресурсов (в отличие от того же auditd) значительно ниже, поскольку технология встроена в ядро ОС. 2. Безагентный мониторинг. При рабо- те с SIEM-системами заявления о без- агентном мониторинге, которые заклю- чаются исключительно в степени интег- рации агента в ОС, вызывают вопросы. Решение на базе eBPF является наибо- лее интегрированным вариантом, так как входит в состав ядра Linux и не зависит от дистрибутива. Технология позволяет реализовать мониторинг на базе универсального набора вызовов, используемых контейнерами в ядре. 3. Внедрение контекста контейнериза- ции в процессы SOC. Для того чтобы мониторинг с eBPF по-настоящему зара- ботал в вашем SOC, все еще не хватает передачи данных о контейнере (какой образ применяется, какие контейнеры, как запустили процесс, на каком узле, какие метки используют- ся). Именно этот контекст мы и реализовали в про- дукте PT Container Securi- ty 2 . А чтобы выстроить управление рисками, доба- вили к мониторингу про- изводительный движок правил для выявления ано- малий с расширяемым набором экспертизы "из коробки". Система правил реагирования позволяет интегрироваться не только с SIEM по протоколу Syslog, но и с другими решениями, такими как IRP, SOAR-платформы, инструменты для Workflow Automation, мессенджеры (через механизмWebhook). Это позволяет видеть угрозы в контейнерах и оперативно на них реагировать. Как внедрить мониторинг рантайма? Переходим к заключительной части нашей статьи. Мы в Positive Technologies уверены, что ключевыми аспектами при защите рантайма контейнеров являются: l Максимальное покрытие инфра- структуры мониторингом. Для этого мы реализовали в PT Container Security функцию мультикластерности и удобный пошаговый установщик, который позво- лит быстро сгенерировать скрипт уста- новки системы и тиражировать его на все кластеры. l Threat Hunting и поиск суще- ствующих угроз в сети. Согласно исследованиям Positive Technologies, перед активными действиями хакеры могут незаметно находиться в инфра- структуре до двух лет. Мы реализовали возможность гибкой фильтрации для удобного поиска событий в интерфейсе системы, а также добавили страницу с деревом событий, чтобы аналитик мог понять контекст и выявить атаку. l создание кастомизированной экспертизы. Например, мы включили в комплект поставки PT Container Security экспертизу в части мониторинга угроз по матрице MITRE ATT&CK для наиболее популярных сервисов и дали возможность управлять исключениями. Однако для покрытия собственных рисков часто нужна кастомизированная экспертиза, поэтому мы создали уникальный движок на базе технологии WebAssembly, подготовили SDK для ее разработки и набор примеров. l настройка глубины мониторин- га. Важно проводить мониторинг не толь- ко самих контейнеров, но и инфраструк- турных сервисов, отвечающих за управ- ление ими. Для этого в PT Container Secu- rity мы реализовали возможность защиты контейнеров на управляющих (master) узлах, а также внедрили гибкую фильтра- цию сбора событий, чтобы SOC получал только ту информацию, которая действи- тельно полезна. l • 39 Защита контейнерных сред www.itsec.ru Рис. Наиболее актуальные и опасные факторы риска Каким мы видим развитие безопасности контейнеров l Интерес к контейнерам и их защите будет только расти. Уже сейчас сообщество активно обсуждает практики в сфере защиты контейнеров, и мы будем активно участвовать в обмене экспертизой. l Атаки будут становиться сложнее. Мы видим, что с каждым релизом в средствах контейнеризации появляется все больше встроенных инструментов защиты и параметров харденинга. Процент атак, в которых используются уязвимости в кон- фигурациях, снизится. Акцент сместится в сторону эксплуатации уязвимостей в инфраструктурном и прикладном ПО. Это сделает мониторинг рантайма еще более актуальным для подразделений ИБ. l Ценность решений для безопасности будет смещаться в сторону быстрой поставки и адаптации экспертизы. Количество средств защиты и мониторинга кон- тейнеров уже сейчас значительно. Однако в сообществе ИБ не хватает обмена экспертизой, и мы планируем это исправить. К общим рекомендациям также стоит отнести повышение уровня знаний специалистов по защите контейнеров, построение мониторинга рантайма и налаживание тесного взаимодействия между подразде- лениями ИТ (инфраструктурные инженеры, специалисты DevOps) и ИБ (SOC, Red Team) для повышения видимости контейнеров. Прогнозы 2 https://ptsecurity.com/ru-ru/products/cs/ Бесплатный пилот PT CS NM Реклама