Журнал "Information Security/ Информационная безопасность" #2, 2025

Вы определяете единый стандарт для платформенных и пользовательских конфигураций, фиксируете его в виде набора политик и согласуете со всеми заинтересованными сторонами, после чего загружаете во все кластеры. Это обеспечивает консистентное и ста- бильное состояние мультиоблачных средств. Михаил Бессараб, Positive Technologies Контейнеры позволяют реализовать гибридные инфраструктуры с использо- ванием единого стека средств монито- ринга, логирования, управления досту- пом и ресурсами таким образом, что это во многом упрощает процесс управ- ления инфраструктурой с использова- нием IaC (Infrastructure as Сode) и GitOps (Continuous Delivery). Дмитрий Евдокимов, Luntry Это возможно, если использовать пра- вильные подходы и инструменты, бази- рующиеся на специфике как самих кон- тейнеров, так и их файловой системы. Благодаря этому можно получить даже бо' льший результат, чем в классической инфраструктуре на базе Windows или Linux. Это также позволит детектировать неизвестные атаки или атаки с исполь- зованием легитимных программ двой- ного назначения. Игорь Душа, НОТА Современные инструменты позволяют проводить эффективный анализ даже в таких динамичных средах, но для этого нужна подготовка инфраструктуры. Осо- бенно важно сквозное журналирование всех системных событий с использова- нием таких инструментов, как Falco или Sysdig. Собранные данные должны направляться в SIEM-систему, где про- исходит их корреляция в реальном вре- мени. Для критичных нагрузок важно сохранять снимки памяти ключевых подов – это помогает зафиксировать доказательства даже после удаления контейнера. Необходима также изоляция скомпрометированных ресурсов через Admission Controller с автоматическим переводом подов в карантин. Максим Чудновский, СберТех Ключевым в этом вопросе становится тот объем телеметрии, который мы соби- раем в процессе работы системы, – от eBPF-аналитики до метрик и журналов приложений. Современные системы Observability позволяют собирать данные в широчайших пределах, а методы авто- матизированных исследований (в том числе с использованием ИИ) – находить в них интересующие корреляции. Важны также интеграция средств обеспечения контейнерной безопасности с EDR/XDR- системами и управление жизненным циклом контейнеров. Алексей Рыбалко, Лаборатория Касперского В процессе создания Kaspersky Con- tainer Security мы сделали упор как раз на форензику: именно поэтому атако- ванный контейнер не удаляется целиком. Реализована тесная интеграция с SIEM, в частности с Kaspersky Unified Monitoring and Analysis, для оперативной выгрузки событий, создания инцидентов и быстрой реакции на них. Без расследования при- чин и источников атаки, инциденты будут повторяться, поэтому расследование делать необходимо, инструментарий пре- доставляет для этого все возможности. Михаил Бессараб, Positive Technologies Форензика возможна, если она опи- рается на контекстные данные об окру- жении контейнеров и шагах эксплуата- ции. Например, в продукте PT Container Security мы собираем данные из трех категорий: относящиеся к контейнери- зации (о ноде, поде, контейнере, образе, в котором произошло событие), процессу (идентификатор процесса, родительский процесс, используемые capabilities, права и пр.), функции ядра (функция, перечень аргументов в зависимости от функции). При помощи политик мониторинга (у нас девять политик для сети, файлового мониторинга, запуска процессов, загруз- ки модулей ядра, повышения привиле- гий, монтирования устройств) мы покры- ваем большую часть активности, так что практически ни одно действие не остается незамеченным. Игорь Душа, НОТА Безусловным приоритетом является контроль цепочки поставок. Статистика последних лет однозначно показывает: 90% успешных атак начинаются с экс- плуатации уязвимостей в зависимостях, о чем свидетельствуют инциденты с Log4j и XZ Utils. Главное преимущество способа – его комплексность, так как он охватывает как статические компоненты, так и динамические аспекты. В отличие от других направлений, инвестиции в безопасность цепочки поставок дают максимальный охват угроз при мини- мальных эксплуатационных издержках, что делает их оптимальным выбором при ограниченном бюджете. Михаил Бессараб, Positive Technologies Стоит начать с защиты рантайма, так как она может быть компенсирующей мерой для всех остальных этапов. Опять же, мониторинг рантайма не заменяет на 100% защиту контейнерных сред, но все действия атакующих по большей части сводятся к выполнению действий внутри контейнеров. Дмитрий Евдокимов, Luntry Наш многолетний опыт защиты кон- тейнерных сред показывает, что все инфраструктуры разные и на них влияет специфика бизнеса, приложений, назначения и т.п. В итоге универсального ответа нет. У каждого – уникальная модель нарушителя, своя модель угроз. И только с их учетом нужно выстраивать приоритеты. При этом все равно без- опасность – это вопрос комплексного подхода. Ломается обычно там, где слабее всего. Атакующие всегда идут по пути наименьшего сопротивления. Алексей Рыбалко, Лаборатория Касперского Воплощения разных направлений без- опасности контейнеров характерно для продуктов Open Source, разрабатывае- мых в идеологии Unix-way, когда каждый инструмент решает конкретную задачу. Далее специалист собирает гирлянду таких продуктов для достижения все- объемлющей защиты. В случае Kaspersky Container Security цель – предоставить один инструмент для решения комплекса всех основных задач, при работе с кото- рым специалист избавлен от изучения глубочайших нюансов работы разных платформ, интеграции разных инстру- ментов и выбора лишь отдельных направлений. Он может потратить бюд- жет на один инструмент и решить все свои задачи сразу. Максим Чудновский, СберТех Безопасность – всегда комплексный процесс, и контейнеры не являются исключением. В данном случае я бы посоветовал двигаться комплексно, но итерационно, начиная от совсем базовых практик, средств и технологий, посте- пенно расширяя функционал и возмож- ности за счет новых инвестиций и потребностей. l если бы заказчику можно было вложить бюджет только в одно направление безопасно- сти контейнеров в 2025 г., что бы вы рекомендова- ли: харденинг окруже- ния, runtime-защиту, контроль цепочки поста- вок, что-то еще? контейнеры живут мину- ты, а инцидент – секун- ды. реальна ли эффек- тивная форензика и рет- роспективное расследо- вание в таких условиях? • 45 Защита контейнерных сред www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru