Le défi
L’utilisation de conteneurs a grandement stimulé la croissance de technologies cloud natives— modifier la manière dont de nombreuses applications sont conçues, développées, déployées et gérées. Cette évolution du secteur technologique entraîne d'autres obstacles majeurs à surmonter en matière de sécurité. L'un des plus importants est la réduction de l'exposition des registres de conteneurs contenant du code propriétaire.
Les registres de conteneurs sont un élément très critique de l'infrastructure conteneurisée et, lorsqu'ils sont laissés exposés, ils introduisent des risques pour la chaîne d'approvisionnement. Attaques contre la chaîne d'approvisionnement sont l'une des méthodes les plus répandues de piratage informatique des entreprises aujourd'hui. Pour en revenir à SolarWinds ou Log4j, cette tendance n'a fait que s'accentuer avec de plus en plus de violations signalées en raison d'attaques de la chaîne d'approvisionnement. Un rapport de TrendMicro, mettant en lumière des recherches choquantes sur la quantité de registres de conteneurs actuellement exposés, et sur la manière dont les attaquants peuvent et finiront par exploiter cela à leur avantage.
Certaines des statistiques les plus choquantes concernant les registres de conteneurs sont les suivantes :
- 9,31 To d'images téléchargées
- 197 registres uniques supprimés
- 20 503 images vidées
BigID a été confronté à un problème similaire : plusieurs de nos images de conteneurs ont été téléchargées dans divers registres publics sans notre consentement. Pour y remédier, l'équipe de sécurité de BigID a pris les choses en main et a développé un processus automatisé permettant d'identifier, de vérifier et d'éliminer ce risque.
Notre approche
L'équipe de sécurité de BigID a abordé ce problème en utilisant AWS Lambda pour découvrir les images de conteneurs BigID dans les registres de conteneurs publics comme DockerHub et la galerie d'images publiques AWS ECR. Voici un schéma d'architecture de notre approche :
Ces lambdas sont déclenchés quotidiennement par AWS EventBridge, puis interrogent un registre de conteneurs public (1).
Si une image de conteneur BigID est trouvée, les lambdas lisent l'historique des images précédemment découvertes dans une table DynamoDB partagée (2). Si l'image et l'éditeur sont uniques, les lambdas écrivent des indicateurs importants dans la base de données, qui seront ensuite transmis à notre SOAR Plateforme de gestion des cas (3). Il est important de noter qu'une durée de vie (TTL) est associée à chaque entrée écrite dans la table DynamoDB. Ainsi, les lambdas peuvent informer un membre de l'équipe que les conteneurs sont toujours hébergés dans le registre de conteneurs public sur lequel ils ont été déclenchés.
Une fois la gestion des cas lancée, notre plateforme SOAR interroge notre CSPM interne pour obtenir le condensé de hachage d'image trouvé dans le registre (4). Si le condensé de hachage est découvert dans notre CSPM, l'équipe est alertée en cas de vrai positif sur Slack ; dans le cas contraire, elle demande une validation manuelle supplémentaire (5).
Une fois que l'équipe a validé que l'image est bien une image de conteneur BigID et qu'elle a été téléchargée sans notre consentement, nous envoyons par courrier électronique une demande de retrait en vertu de la loi américaine sur les droits des consommateurs. Loi sur le droit d'auteur du millénaire numérique (« Avis DMCA »). Le DMCA est une loi fédérale visant à protéger les titulaires de droits d'auteur, tels que BigID, contre la reproduction ou la distribution illégale de leurs œuvres.
Nous fournissons les informations suivantes au support DockerHub dmca@docker[.]com, pour AWS ec2-abuse@amazon[.]com, entre autres, lorsque nous émettons une demande de retrait qui nécessitera les éléments suivants :
- Une signature électronique ou physique d'une personne autorisée à agir au nom du titulaire du droit d'auteur
- Identification de l'œuvre protégée par le droit d'auteur dont vous prétendez qu'elle est violée
- Identification du matériel qui est prétendument contrefait et où il se trouve sur le Service
- Des informations raisonnablement suffisantes pour vous contacter, telles que votre adresse, votre numéro de téléphone et votre adresse e-mail
- Une déclaration selon laquelle vous croyez de bonne foi que l'utilisation du matériel de la manière faisant l'objet de la plainte n'est pas autorisée par le titulaire du droit d'auteur, son agent ou la loi.
- Une déclaration, faite sous peine de parjure, selon laquelle les informations ci-dessus sont exactes et que vous êtes le titulaire du droit d'auteur ou êtes autorisé à agir au nom du titulaire.
Voici les étapes BigID Cette mesure a non seulement renforcé la sécurité globale de l'organisation, mais nous a également permis d'être proactifs grâce à l'automatisation afin d'éliminer les risques externes. Grâce à cette mise en place, nous pouvons opérer plus efficacement et garantir que le code et les images BigID ne soient pas accessibles au public, réduisant ainsi les risques liés à notre chaîne d'approvisionnement.
Et ensuite?
Notre automatisation est loin d'être complète. Un ingénieur sécurité doit encore effectuer des étapes manuelles après la découverte d'une image en ligne. Des avis de retrait doivent être envoyés, et nous espérons pouvoir automatiser entièrement cette tâche grâce à la gestion des dossiers et à l'automatisation de notre plateforme SOAR.
Auteur
