Журнал "Information Security/ Информационная безопасность" #2, 2025

и другие инструменты в контейнерной среде позволяют генерировать акту- альные SBOM-файлы прямо на этапах CI/CD. Аудит занимает всего несколь- ко минут и помогает вовремя забло- кировать уязвимые артефакты до попадания в продакшен. Михаил Бессараб, Positive Technologies Инвентаризация – одна из ключевых практик по обеспечению устойчивости инфраструктуры, причем не только контейнеров. Без нее многие компании до сих пор не могут даже определить причину атак. SBOM позволяет выявить плоскость атаки не только приложения, но и инфраструктуры. Например, в продукте PT Container Security мы даем возможность выво- дить в SBOM (CycloneDX) результат сканирования конфигураций кластера Kubernetes с уязвимостями конфигу- раций (встроенный VEX-стандарт), что позволяет легко интегрировать его в системы дефект-менеджмента и дру- гие решения по контролю состояния инфраструктуры. Руслан Субхангулов, CrossTech Solutions Group: Важно сделать SBOM действитель- но полезным. Существует возмож- ность встраивать инструменты, опре- деляющие компонентный состав, напрямую в пайплайны сборки, чтобы автоматически создавать SBOM и проверять используемые зависимости на наличие уязвимостей перед рели- зом. С помощью eBPF или агентских компонентов решений по безопасно- сти можно отслеживать, какие зави- симости реально используются при выполнении. Интеграция с базами данных уязвимостей обеспечивает автоматическое реагирование на появление угроз в библиотеках, при- сутствующих в SBOM. Использова- ние инструментов Policy Engine поз- воляет применять SBOM-проверки как часть Admission-политик. Напри- мер, запретить развертывание арте- фактов с неподтвержденным SBOM или известными критическими уязви- мостями. Максим Чудновский, СберТех SBOM – это часть общего процесса управления уязвимостями, а если точ- нее – подпроцесса по инвентаризации активов. Полезность и актуальность SBOM – это все те же преимущества и проблемы, как у инвентаризации любых активов в целом. При этом с учетом объема SBOM важно применять автоматизацию для сбора и анализа везде, где это возможно, включая самые современные системы с исполь- зованием ИИ. Тогда работа с SBOM станет полезной практикой в вашем периметре безопасности. Михаил Бессараб, Positive Technologies Встроенные средства безопасности Linux и Kubernetes позволяют обеспечить значительный уровень безопасности, однако eBPF дает возможность увидеть сервисы и инфраструктуру на низком уровне и значительно повысить их наблюдаемость, что, в том числе, поз- воляет доработать и встроенные инстру- менты, такие как AppArmour и Seccomp. Технология eBPF работает вместе с остальными инструментами, обогащая их и дополняя, но не заменяя. Алексей Рыбалко, Лаборатория Касперского eBPF – удобный способ централизации фильтрации запросов в ядре. Есть и другой метод – с помощью собственного kernel module. Такой метод не столь удо- бен на старте, так как требует учитывать отличия всех версий ядра Linux, однако задача решаема, и в этом направлении активно работают специалисты из Kaspersky Endpoint Security for Linux. Зато такой подход позволяет работать с ядрами Linux, где слой eBPF отсутствует: например в популярном Astra Linux ("Смо- ленск"). Runtime-аналитика – это про анализ и защиту уже запущенных кон- тейнеров. Без этого нынче никуда. Игорь Душа, НОТА Статический анализ и сетевые поли- тики не способны выявлять 0-day уязви- мости и отклонения в поведении кон- тейнеров во время выполнения. eBPF предлагает мониторинг на уровне системных вызовов без существенной нагрузки на ядро, что позволяет обнару- живать атаки, которые остаются неза- меченными при использовании класси- ческих подходов. Дмитрий Евдокимов, Luntry Я люблю говорить, что: "нельзя защи- тить, то, что вы не видите". Ведь ата- кующий всегда в процессе атаки поль- зуется слепыми зонами. А если к этому еще прибавить атаки с использованием 0-day или неизвестного инструментария и вредоносного кода, то задача кратно усложняется. Сам eBPF – это лишь получение информации с помощью тех- нологии, которая хорошо себя зареко- мендовала. Наверное, без этого можно было бы обойтись, если бы каждое при- ложение представляло из себя описан- ный четкий конечный автомат. Но кто такие делает? Максим Чудновский, СберТех eBPF – действительно один из самых эффективных на сегодняшний день под- ходов для сбора runtime-аналитики в UNIX-подобных окружениях. Но эта меха- ника не является единственной и в неко- торых случаях может быть не так эффек- тивна, например в высокоуровневом сетевом процессинге. Поэтому можно сказать, что наибольшая эффективность достигается комплексом технических средств, например, когда низкоуровне- вая аналитика поступает с уровня ядра через механизмы eBPF, а высокоуров- невая собирается на уровне Service Mesh. Алексей Рыбалко, Лаборатория Касперского В общем случае, инструментарий для таких задач имеется. Kaspersky Cloud Workload Security закрывает защиту вир- туальных машин, облачных систем, отдельно запущенных контейнеров Doc- ker и кластеров Kubernetes – фактически, все варианты сред. Далее уже нужно смотреть настройки и особенности интег- рации в каждом конкретном случае. Игорь Душа, НОТА Специализированные платформы, например, Aqua Security и Prisma Cloud, предлагают принципиально новый под- ход к управлению безопасностью. Их ключевое преимущество – возможность интеграции разрозненных кластеров от различных вендоров в единую систему мониторинга и управления. При этом важное свойство таких решений – сохра- нение гибкости работы с каждым облач- ным провайдером. Дмитрий Евдокимов, Luntry К сожалению, подобных инструментов, подходов мы не встречали ни у нас на рынке, ни на Западе. Точнее, на Западе решения есть, но широкого применения они так и не получили. Думаю, что если бы данный вопрос стоял действительно остро, то подобные системы бы активно использовалось. Максим Чудновский, СберТех На помощь могут прийти единый стандарт API и централизованные сред- ства управления кластерами через политики – Policy Engines. Например, можно взять отечественное решение KubeLatte с открытым исходным кодом. Может ли контейнерная безопасность обойтись без eBPF и глубокой runtime-аналитики в бли- жайшие годы, или это уже неотъемлемая реальность? Мультиоблачные и гиб- ридные среды растут. Есть ли сегодня реаль- ный способ централизо- ванно управлять без- опасностью в кластерах разных облаков без потерь в гибкости? 44 • СПЕЦПРОЕКТ