SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Безопасность контейнеров на новом уровне: погружение в Trivy

Безопасность контейнеров на новом уровне: погружение в Trivy
08.08.2024

Екатерина Гайнуллина, инженер по информационной безопасности отдела развития Security Vision


Введение

 

С ростом популярности контейнеров появилось множество преимуществ. Контейнеры являются основой архитектуры микросервисов, которые позволяют создавать облачные приложения любого размера. Однако из-за своей популярности контейнеры также являются главной мишенью для программ-вымогателей, хакеров и других угроз.


В результате предприятия, которым важна надежная система безопасности, должны иметь возможность решать общие проблемы безопасности контейнеров. Хотя не существует единого способа решения, применение комплексного подхода и использование правильных инструментов может принести большую пользу.

 

С какими задачами безопасности сталкиваются предприятия?

 

Прежде всего, в контексте использования контейнеров предприятия сталкиваются с проблемой выявления и устранения уязвимостей в образах контейнеров. Несмотря на изолирующий эффект, который контейнеры предоставляют для приложений, устаревшие или неправильно настроенные образы могут стать уязвимыми к атакам. Такие уязвимости создают потенциальные точки входа для кибератак и могут привести к утечке конфиденциальной информации. В 2023 году более 80% утечек данных были связаны с данными, хранящимися в облаке.


Дополнительным вызовом для предприятий при использовании контейнеров является потенциальная угроза атаки на цепочку поставок (supply chain attack). В контексте контейнеризации, атака на цепочку поставок может произойти в результате компрометации или внедрения вредоносного кода в образы контейнеров или их зависимости во время сборки или развертывания.


Эта форма атаки может быть особенно опасной, поскольку вредоносный код может быть распространен через официальные репозитории образов контейнеров, что делает его трудно обнаружимым. Когда организация использует такие образы, она не только подвергает свои собственные системы риску, но и распространяет угрозу на другие организации, которые могут использовать те же образы.

 

Уязвимые docker-хосты для майнинга

 

Исследователи Cado Security Labs заметили новую кампанию, нацеленную на уязвимые службы Docker. Это первый задокументированный случай использования вредоносным ПО приложения 9hits в качестве полезной нагрузки.


Злоумышленники устанавливают приложение 9hits на скомпрометированные Docker-хосты, чтобы использовать ресурсы этих систем для генерации трафика в рамках системы 9hits и получения кредитов для себя. Контейнер XMRig добывает криптовалюту, используя частный пул майнинга, связанный с динамическим DNS-доменом злоумышленника.


Результатом взлома хостов является истощение ресурсов, поскольку майнер XMRig потребляет доступные ресурсы процессора, а приложение 9hits использует значительную пропускную способность, память и все оставшиеся ресурсы процессора. Это может препятствовать нормальной работе зараженных серверов и потенциально привести к более серьезным нарушениям.


По словам исследователя безопасности Cado Нейта Билла, это открытие подчеркивает непрерывную эволюцию стратегий злоумышленников, направленных на получение прибыли от взломанных хостов. Это также подчеркивает постоянную уязвимость незащищенных хостов Docker как точки входа.

 

Как в данном контексте может помочь Trivy?

 

Trivy - это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:


·  Безопасность образов контейнеров: Trivy специализируется на сканировании образов контейнеров на наличие уязвимостей. Это помогает выявить проблемы безопасности в образе, такие как устаревшие пакеты, известные уязвимости и неправильные настройки.


·  Безопасность базового образа: Trivy может обнаруживать уязвимости в базовых образах, используемых для создания других образов. Это важно, поскольку уязвимости в базовых образах могут распространяться на зависимые образы, влияя на безопасность всего контейнерного приложения.


·  Обнаружение уязвимостей пакетов: Trivy анализирует пакеты программного обеспечения, установленные в образе контейнера, и сопоставляет их с известными базами данных уязвимостей. Он предоставляет информацию о конкретных уязвимостях, связанных с каждым пакетом, что позволяет пользователям принимать соответствующие меры по устранению.


·  Всесторонняя поддержка баз данных об уязвимостях: Trivy поддерживает множество баз данных об уязвимостях, включая Национальную базу данных об уязвимостях (NVD), Red Hat Security Data API и другие. Такая широкая поддержка баз данных повышает точность и охват обнаружения уязвимостей.


·  Интеграция с контейнерной оркестровкой: Trivy интегрируется с платформами для оркестровки контейнеров, такими как Kubernetes и Docker. Это позволяет пользователям легко внедрять сканирование уязвимостей в свои конвейеры CI/CD, реестры контейнеров и рабочие процессы развертывания.


·  Интеграция с конвейером CI/CD: Trivy может быть интегрирован в конвейеры непрерывной интеграции и непрерывной доставки (CI/CD) для автоматического сканирования образов контейнеров в процессе сборки и развертывания. Это помогает гарантировать, что в производственных средах будут развертываться только защищенные образы.


·  Обнаружение неправильной конфигурации: Trivy выходит за рамки уязвимостей пакетов и может обнаруживать распространенные ошибки в настройках образов контейнеров. Это включает в себя такие проблемы, как чрезмерно жесткие права доступа к файлам, доступ к конфиденциальной информации и небезопасные настройки, которые могут представлять угрозу безопасности.


·  Сканирование на нескольких уровнях: Trivy анализирует уязвимости на всех уровнях образа контейнера, включая базовый образ, зависимости и уровни, относящиеся к конкретному приложению. Этот комплексный подход обеспечивает целостное представление о состоянии безопасности всего образа.


·  Быстрое сканирование: Trivy разработан для повышения скорости и обеспечивает быстрое сканирование уязвимостей. Это особенно важно в средах CI/CD, где быстрая обратная связь об уязвимостях безопасности необходима для поддержания безопасного жизненного цикла разработки программного обеспечения.



Кроме перечисленных выше возможностей, стоит отметить, что Trivy также способен создавать файлы SBOM (Software Bill of Materials) в формате SPDX (Software Package Data Exchange). Эти файлы представляют собой структурированный список всех компонентов программного обеспечения, включая зависимости и уязвимости, используемых в контейнерных образах.


SBOM файлы играют важную роль в цифровом процессе поставки программного обеспечения, так как они обеспечивают прозрачность и четкость в отношении состава и безопасности программного обеспечения. Они помогают организациям соблюдать правила и стандарты в области безопасности и регулирования, а также упрощают анализ и управление уязвимостями в процессе разработки и эксплуатации приложений.


Создание SBOM файлов с помощью Trivy обеспечивает прозрачность и доверие в цифровом процессе поставки программного обеспечения, что является ключевым аспектом в современной среде разработки и развертывания приложений.


Итоги


В контексте обеспечения безопасности контейнерных сред проект Trivy представляет собой инструмент, обладающий широким спектром функций и возможностей. Результаты анализа подчеркивают важность использования таких инструментов для обнаружения и устранения уязвимостей в образах контейнеров, обеспечивая тем самым высокий уровень безопасности в цифровом пространстве.  Однако необходимо учитывать, что его использование должно дополняться рекомендациями и практиками безопасности, предложенными профессиональными аналитиками и индустриальными стандартами. Это включает в себя регулярное обновление образов контейнеров, строгий контроль доступа к контейнерам и сетевым ресурсам, а также мониторинг и реагирование на аномальные события в контейнерной среде.


Кроме того, важно принимать во внимание особенности каждой конкретной среды и приложения при использовании Trivy, а также учитывать специфические требования безопасности и комплаенса, применимые к конкретной отрасли или регулирующие нормы. Только комплексный подход к обеспечению безопасности контейнеров, включающий в себя не только использование инструментов, но и осознанные практики и стратегии, позволит организациям эффективно защищать свои контейнерные среды от угроз и атак.

Управление уязвимостями СЗИ Практика ИБ

Рекомендуем

Управление мобильными устройствами
Управление мобильными устройствами
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Модель зрелости SOAR
Модель зрелости SOAR
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Рекомендуем

Управление мобильными устройствами
Управление мобильными устройствами
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Модель зрелости SOAR
Модель зрелости SOAR
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Похожие статьи

Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Динамические плейбуки
Динамические плейбуки
Визуализация: лучшие практики
Визуализация: лучшие практики
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Динамические плейбуки
Динамические плейбуки
Визуализация: лучшие практики
Визуализация: лучшие практики
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных