El desafío
El uso de contenedores ha impulsado en gran medida el crecimiento de tecnologías nativas de la nube— cambiando la forma en que se diseñan, desarrollan, implementan y gestionan muchas aplicaciones. Con este cambio evolutivo en la industria tecnológica, existen otros obstáculos de seguridad importantes que superar. Uno de los más importantes es mitigar los registros de contenedores expuestos que contienen código propietario.
Los registros de contenedores son una parte muy importante de la infraestructura en contenedores y, al quedar expuestos, se introducen riesgos en la cadena de suministro. Ataques a la cadena de suministro son uno de los métodos más comunes de vulneración de datos en las empresas hoy en día. Volviendo a Vientos solares o Log4jEsta tendencia se ha intensificado con cada vez más infracciones reportadas debido a ataques a la cadena de suministro. Un informe de TrendMicro, destacando una investigación impactante sobre la cantidad de registros de contenedores que están expuestos actualmente y cómo los atacantes pueden aprovechar esto para su beneficio.
Algunas de las estadísticas más impactantes relacionadas con los registros de contenedores son:
- 9,31 TB de imágenes descargadas
- 197 registros únicos volcados
- 20.503 imágenes volcadas
BigID se ha enfrentado a un desafío similar, ya que varias de nuestras imágenes de contenedores se han subido a diversos registros públicos sin nuestro consentimiento. Para combatirlo, el equipo de seguridad de BigID tomó las riendas y desarrolló un proceso automatizado para identificar, verificar y eliminar el riesgo.
Nuestro enfoque
El equipo de seguridad de BigID abordó este problema utilizando AWS Lambda para descubrir imágenes de contenedores BigID en registros de contenedores públicos como DockerHub y la galería de imágenes públicas de AWS ECR. A continuación, se muestra un diagrama de arquitectura de nuestro enfoque:
AWS EventBridge activa estas lambdas a una cadencia diaria y luego consultan un registro de contenedores público (1).
Si se encuentra una imagen de contenedor BigID, las lambdas leen de una tabla compartida de DynamoDB los hallazgos históricos de las imágenes descubiertas previamente (2). Si la imagen y el publicador son únicos, las lambdas escriben indicadores importantes en la base de datos que luego se enviarán a nuestro... SOAR Plataforma para la gestión de casos (3). Es importante tener en cuenta que existe un tiempo de vida (TTL) para cada entrada escrita en la tabla de DynamoDB. De esta manera, las lambdas pueden notificar a un miembro del equipo que los contenedores aún están alojados en el registro público de contenedores en el que se activaron.
Una vez iniciada la gestión de casos del flujo de trabajo, nuestra plataforma SOAR consulta a nuestro CSPM interno para obtener el resumen del hash de la imagen encontrado en el registro (4). Si se encuentra el resumen del hash en nuestro CSPM, el equipo recibe una alerta sobre la falta de un verdadero positivo; de lo contrario, solicita una validación manual adicional (5).
Una vez que el equipo haya validado que la imagen es de hecho una imagen de contenedor BigID y que se ha cargado sin nuestro consentimiento, enviamos por correo electrónico una solicitud de eliminación de conformidad con la legislación de los Estados Unidos. Ley de Derechos de Autor del Milenio Digital (“Avisos DMCA”). La DMCA es una ley federal diseñada para proteger a los titulares de derechos de autor, como BigID, de la reproducción o distribución ilegal de sus obras.
Proporcionamos la siguiente información al soporte de DockerHub dmca@docker[.]com, para AWS ec2-abuse@amazon[.]com, entre otros, cuando emitimos una solicitud de eliminación que requerirá lo siguiente:
- Una firma electrónica o física de una persona autorizada para actuar en nombre del propietario de los derechos de autor.
- Identificación de la obra protegida por derechos de autor que usted reclama que está siendo infringida
- Identificación del material que se alega que infringe los derechos de autor y dónde se encuentra en el Servicio
- Información razonablemente suficiente para comunicarnos con usted, como su dirección, número de teléfono y dirección de correo electrónico.
- Una declaración de que usted cree de buena fe que el uso del material en la forma denunciada no está autorizado por el propietario de los derechos de autor, su agente o la ley.
- Una declaración, hecha bajo pena de perjurio, de que la información anterior es precisa y que usted es el propietario de los derechos de autor o está autorizado para actuar en nombre del propietario.
Estos son los pasos BigID Se ha implementado no solo para mejorar la seguridad general de la organización, sino también para brindarnos la capacidad de ser proactivos mediante la automatización para eliminar riesgos externos. Con esto, podemos operar de forma más eficaz y eficiente para garantizar que el código y las imágenes de BigID no sean de acceso público y reducir aún más el riesgo en nuestra cadena de suministro.
¿Qué sigue?
Nuestra automatización está lejos de estar completamente automatizada. Aún existen pasos manuales que un ingeniero de seguridad debe realizar después de que una imagen se encuentra públicamente disponible en internet. Hay avisos de eliminación que deben enviarse y esperamos poder automatizarlos por completo mediante la función de gestión de casos y la automatización de nuestra plataforma SOAR.
Autor
