SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Темные стороны контейнеров: риски и меры безопасности

Темные стороны контейнеров: риски и меры безопасности
22.08.2024

Екатерина Гайнуллина, Security Vision

 

Введение


Контейнеры Docker давно стали неотъемлемой частью современных IT-инфраструктур благодаря своей легкости и гибкости. Однако, несмотря на все их преимущества, они обладают и серьезными недостатками в плане безопасности. Одним из таких недостатков является отсутствие надежной изоляции между хостом и контейнером. Security Vision, понимая критическую важность защиты контейнерных сред, внедряет строгие меры безопасности для минимизации рисков. Комплексные меры позволяют Security Vision эффективно защищать контейнерные среды, обеспечивая высокий уровень безопасности для своих клиентов и минимизируя потенциальные риски.


Представьте себе контейнер с root-доступом. Это, как если бы у вас была дверь с замком, но ключ от неё подходил бы ко всем замкам в доме. Злоумышленники, получив доступ к такому контейнеру, могут легко добраться до ресурсов хостовой системы. Использование привилегированных контейнеров даёт им полный доступ к системе, позволяя обойти многие механизмы безопасности. Это открывает огромные возможности для атакующих, позволяя им совершать действия, которые ранее казались невозможными.


Эксплуатация Docker Socket для Повышения Привилегий: Подробный Обзор


Злоумышленник осуществляет доступ к Docker Socket (/var/run/docker.sock). Этот сокет является интерфейсом для управления Docker API, что позволяет выполнять различные операции с контейнерами и образами Docker. Это все равно, что дать им пульт дистанционного управления, с которым они могут запускать и останавливать контейнеры, изменять их конфигурации и даже запускать контейнеры с root-доступом. Такой доступ позволяет злоумышленникам перехватить контроль над всей системой, включая возможность выполнения произвольного кода на хосте. Используя возможность монтирования файловой системы хоста в контейнер с помощью опции -v /:/host, атакующий получает доступ к файлам и директориям хоста прямо из контейнера. Это важный шаг для изучения и манипулирования файлами, которые могут содержать конфиденциальную информацию или данные, включая /etc/shadow для возможности поднятия привилегий.


Далее для устранения ограничений, накладываемых на контейнеры, используются различные опции и флаги:

  • --privileged: Этот флаг удаляет все изоляционные меры и ограничения, предоставляя контейнеру полный доступ к хост-системе. Это очень опасная практика, так как контейнер теряет все преимущества изоляции и безопасности, предоставляемые Docker.

  • --cap-add=ALL: Добавление всех возможностей Linux к контейнеру, что может позволить атакующему выполнять привилегированные операции.

  • --security-opt apparmor=unconfined и --security-opt seccomp=unconfined: Отключение профилей безопасности AppArmor и Seccomp для контейнера, что уменьшает уровень защиты, предоставляемый Docker. Часто атакующие пытаются получить доступ к файловой системе хоста, монтируя устройства диска напрямую в контейнер. Например, с помощью комбинации опций --device=/dev/sda1 --cap-add=SYS_ADMIN --security-opt apparmor=unconfined можно монтировать конкретное устройство диска в контейнер. После этого атакующий может использовать команду mount /dev/sda1 /mnt в контейнере для доступа к содержимому диска хоста через точку монтирования /mnt.


Часто атакующие находят writable директории на хосте, которые можно монтировать в контейнер. Например, с помощью -v /tmp:/host можно монтировать директорию /tmp хоста в контейнер. Затем атакующий может создать исполняемый файл с SUID в смонтированной директории, что позволит ему выполнить его с повышенными привилегиями на хосте. В случае получения root-прав в контейнере, атакующий может изменять конфигурационные файлы хост-системы, например, /etc, что может привести к серьезному повышению привилегий на хосте. Например, изменение /etc/shadow может открыть доступ к аккаунтам пользователей хост-системы. Для побега из контейнера атакующие используют флаг --privileged или добавление соответствующих возможностей с отключением других защитных мер. Это позволяет атакующему выйти из изоляции контейнера и получить полный доступ к хост-системе.


Краткое руководство по безопасности Docker от OWASP


Обновляйте хост и Docker

Для защиты от известных уязвимостей, таких как "Leaky Vessels", которые обычно позволяют злоумышленнику получить root-доступ к хосту, критически важно регулярно обновлять как сам хост, так и Docker. Это включает в себя регулярное обновление ядра хоста и движка Docker.


Не выставляйте сокет Docker daemon

Сокет Docker /var/run/docker.sock — это UNIX-сокет, на который Docker подписывается и через который доступна Docker API. Владелец этого сокета - root. Предоставление доступа к нему эквивалентно предоставлению неограниченного root-доступа к вашему хосту. Если вы запускаете свой Docker образ с параметром -v /var/run/docker.sock:/var/run/docker.sock или аналогичным, вам следует изменить это. Помните, что монтирование сокета только для чтения не является решением, а лишь усложняет его эксплуатацию. Эквивалентное объявление в файле docker-compose может выглядеть так:

volumes:

- "/var/run/docker.sock:/var/run/docker.sock"


Установите пользователя

Настройка контейнера для использования непривилегированным пользователем - лучший способ предотвратить атаки с повышением привилегий. В Kubernetes это можно настроить в контексте безопасности, используя поле runAsUser с идентификатором пользователя, например:


apiVersion: v1

kind: Pod

metadata:

name: example

spec:

containers:

- name: example

image: gcr.io/google-samples/node-hello:1.0

securityContext:

runAsUser: 4000 # <-- Это идентификатор пользователя пода

 

Как администратор кластера Kubernetes, вы можете настроить усиленную конфигурацию, используя уровень Restricted с встроенным контроллером допуска безопасности Pod, и, если требуется большая настройка, рассмотрите использование Admission Webhooks или альтернативных решений от сторонних поставщиков.


Ограничьте возможности

Ограничьте привилегии контейнера, предоставляя только необходимые возможности.


Не запускайте контейнеры с флагом --privileged!!! В Kubernetes это можно настроить в контексте безопасности, используя поле возможностей, например:


apiVersion: v1

kind: Pod

metadata:

name: example

spec:

containers:

- name: example

    image: gcr.io/google-samples/node-hello:1.0

    securityContext:

        capabilities:

            drop:

                - ALL

            add: ["CHOWN"]


Предотвратите эскалацию привилегий внутри контейнера

Запускайте ваши образы Docker с флагом --security-opt=no-new-privileges, чтобы предотвратить эскалацию привилегий.


В Kubernetes это можно настроить в контексте безопасности, используя поле «разрешить повышение привилегий», например:


apiVersion: v1

kind: Pod

metadata:

name: example

spec:

containers:

- name: example

    image: gcr.io/google-samples/node-hello:1.0

    securityContext:

      allowPrivilegeEscalation: false


Ограничьте ресурсы (память, CPU, файловые дескрипторыпроцессыперезапуски)

Лучший способ избежать DoS-атак — это ограничение ресурсов.


Установите файловую систему и тома в режим только для чтения

Запускайте контейнеры с файловой системой в режиме только для чтения.


Интегрируйте инструменты сканирования контейнеров в свой CI/CD пайплайн

CI/CD пайплайны являются важной частью жизненного цикла разработки ПО и должны включать различные проверки безопасности, например, такие как сканирование контейнеров.


Вывод


Контроль доступа к Docker Socket критически важен, так как он может стать инструментом в руках злоумышленников. В Security Vision строго ограничивают доступ к нему, предотвращая несанкционированное управление контейнерами и хостами. Запуск контейнеров от имени непривилегированных пользователей помогает минимизировать риск повышения привилегий. Для предотвращения DoS-атак вводятся ограничения на ресурсы контейнеров, такие как память и CPU. Контейнеры запускаются с файловой системой в режиме только для чтения, что ограничивает возможности злоумышленников по изменению данных. Security Vision интегрирует инструменты сканирования контейнеров в свои CI/CD пайплайны, обеспечивая безопасность на всех этапах разработки. Эти меры позволяют Security Vision эффективно защищать контейнерные среды, минимизируя риски и обеспечивая высокий уровень безопасности для своих клиентов.

Практика ИБ Управление уязвимостями Киберриски (Cyber Risk, CRS)

Рекомендуем

Как устроены вредоносные программы
Как устроены вредоносные программы
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2

Рекомендуем

Как устроены вредоносные программы
Как устроены вредоносные программы
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2

Похожие статьи

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Геймификация и управление персоналом
Геймификация и управление персоналом
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре

Похожие статьи

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Геймификация и управление персоналом
Геймификация и управление персоналом
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре