Die Herausforderung
Die Verwendung von Containern hat das Wachstum von Cloud-native Technologien– verändert die Art und Weise, wie Anwendungen konzipiert, entwickelt, bereitgestellt und verwaltet werden. Dieser evolutionäre Wandel in der gesamten Technologiebranche bringt weitere erhebliche Sicherheitshürden mit sich, die es zu überwinden gilt. Eines der wichtigsten Hindernisse ist die Entschärfung exponierter Container-Registrys mit proprietärem Code.
Containerregister sind ein sehr wichtiger Teil der Containerinfrastruktur. Werden sie ungeschützt gelassen, entstehen Risiken für die Lieferkette. Angriffe auf die Lieferkette sind eine der häufigsten Methoden, mit denen Unternehmen heute angegriffen werden. Zurück zu SolarWinds oder Log4jDieser Trend hat sich nur noch verstärkt, da immer mehr Sicherheitsverletzungen aufgrund von Angriffen auf die Lieferkette gemeldet werden. Ein Bericht von TrendMicro, wobei schockierende Forschungsergebnisse darüber hervorgehoben werden, in welchem Ausmaß Container-Registries derzeit offengelegt werden und wie Angreifer dies zu ihrem Vorteil ausnutzen können und letztendlich auch ausnutzen werden.
Zu den schockierendsten Statistiken zu Containerregistern zählen:
- 9,31 TB an heruntergeladenen Bildern
- 197 gelöschte einzigartige Register
- 20.503 gedumpte Bilder
BigID stand vor einer ähnlichen Herausforderung: Mehrere unserer Container-Images wurden ohne unsere Zustimmung in verschiedene öffentliche Register hochgeladen. Um dem entgegenzuwirken, entwickelte das BigID-Sicherheitsteam einen automatisierten Prozess zur Identifizierung, Überprüfung und Beseitigung des Risikos.
Unser Ansatz
Das BigID Security Team ging dieses Problem an, indem es AWS Lambda um BigID-Container-Images in öffentlichen Container-Registrierungen zu entdecken, wie DockerHub und die öffentliche AWS ECR-Bildergalerie. Unten sehen Sie ein Architekturdiagramm unseres Ansatzes:
Diese Lambdas werden täglich von AWS EventBridge ausgelöst und fragen dann ein öffentliches Container-Register ab (1).
Wird ein BigID-Container-Image gefunden, lesen die Lambdas aus einer freigegebenen DynamoDB-Tabelle die historischen Ergebnisse der zuvor gefundenen Images (2). Sind Image und Herausgeber eindeutig, schreiben die Lambdas wichtige Indikatoren in die Datenbank, die dann an unsere SOAR Plattform für das Fallmanagement (3). Wichtig ist, dass für jeden Eintrag in der DynamoDB-Tabelle eine Gültigkeitsdauer (TTL) gilt. So können die Lambdas ein Teammitglied darüber informieren, dass die Container weiterhin in der öffentlichen Containerregistrierung gehostet werden, die sie ausgelöst haben.
Sobald der Fallmanagement-Teil des Workflows beginnt, fragt unsere SOAR-Plattform unser internes CSPM nach dem im Register gefundenen Bild-Hash-Digest ab (4). Wird der Hash-Digest in unserem CSPM gefunden, wird das Team über einen positiven Wert informiert. Andernfalls wird eine weitere manuelle Validierung erforderlich (5).
Sobald das Team bestätigt hat, dass es sich bei dem Bild tatsächlich um ein BigID-Containerbild handelt und es ohne unsere Zustimmung hochgeladen wurde, senden wir per E-Mail eine Anfrage zur Entfernung gemäß den US-amerikanischen Digital Millennium Copyright Act („DMCA-Hinweise“). DMCA ist ein Bundesgesetz, das Urheberrechtsinhaber wie BigID vor der unrechtmäßigen Vervielfältigung oder Verbreitung ihrer Werke schützen soll.
Wir stellen dem DockerHub-Support dmca@docker[.]com und AWS ec2-abuse@amazon[.]com unter anderem die folgenden Informationen zur Verfügung, wenn wir eine Takedown-Anforderung stellen, die Folgendes erfordert:
- Eine elektronische oder physische Unterschrift einer Person, die befugt ist, im Namen des Urheberrechtsinhabers zu handeln
- Identifizierung des urheberrechtlich geschützten Werks, von dem Sie behaupten, dass es verletzt wird
- Identifizierung des Materials, das angeblich gegen das Urheberrecht verstößt, und wo es sich auf dem Dienst befindet
- Informationen, die ausreichen, um Sie zu kontaktieren, wie Ihre Adresse, Telefonnummer und E-Mail-Adresse
- Eine Erklärung, dass Sie nach bestem Wissen davon ausgehen, dass die Verwendung des Materials in der beanstandeten Weise nicht vom Urheberrechtsinhaber, seinem Vertreter oder dem Gesetz autorisiert ist.
- Eine eidesstattliche Erklärung, dass die oben genannten Informationen korrekt sind und dass Sie der Urheberrechtsinhaber sind oder befugt sind, im Namen des Inhabers zu handeln.
Dies sind die Schritte BigID Die Maßnahmen haben nicht nur die allgemeine Sicherheitslage des Unternehmens verbessert, sondern ermöglichen uns auch, durch Automatisierung proaktiv zu handeln und externe Risiken zu eliminieren. Dadurch können wir effektiver und effizienter arbeiten, um sicherzustellen, dass BigID-Code und -Bilder nicht öffentlich zugänglich sind, und so unser Lieferkettenrisiko weiter minimieren.
Was kommt als nächstes
Unsere Automatisierung ist noch lange nicht vollständig automatisiert. Sicherheitsingenieure müssen weiterhin manuelle Schritte durchführen, nachdem ein Bild öffentlich im Internet gefunden wurde. Es müssen Abmahnungen verschickt werden, und wir hoffen, dies mithilfe der Fallmanagement- und Automatisierungsfunktion unserer SOAR-Plattform vollständig automatisieren zu können.
Autor
