O Desafio
O uso de contêineres impulsionou muito o crescimento de tecnologias nativas da nuvem— mudando a forma como muitos aplicativos são projetados, desenvolvidos, implantados e gerenciados. Com essa mudança evolutiva no setor de tecnologia, há outros obstáculos significativos de segurança a serem superados. Um dos obstáculos mais importantes é a mitigação de registros de contêineres expostos que contêm código proprietário.
Os registros de contêineres são uma parte muito crítica da infraestrutura em contêineres e, se deixados expostos, eles introduzem riscos na cadeia de suprimentos. Ataques à cadeia de suprimentos são um dos métodos mais proeminentes de violação de dados empresariais hoje em dia. Voltando a SolarWinds ou Log4j, essa tendência só se intensificou com cada vez mais violações sendo relatadas devido a ataques à cadeia de suprimentos. Um relatório da TrendMicro, destacando pesquisas chocantes sobre o quanto os registros de contêineres estão atualmente expostos e como os invasores podem e eventualmente irão aproveitar isso em seu benefício.
Algumas das estatísticas mais chocantes relacionadas aos registros de contêineres são:
- 9,31 TB de imagens baixadas
- 197 registros exclusivos descartados
- 20.503 imagens despejadas
A BigID enfrentou um desafio semelhante, com várias de nossas imagens de contêineres sendo carregadas em diversos registros públicos sem o nosso consentimento. Para combater isso, a Equipe de Segurança da BigID decidiu desenvolver um processo automatizado para identificar, verificar e eliminar o risco.
Nossa Abordagem
A equipe de segurança do BigID abordou esse problema usando AWS Lambda para descobrir imagens de contêineres BigID em registros de contêineres públicos como DockerHub e a galeria de imagens públicas do AWS ECR. Abaixo, um diagrama de arquitetura da nossa abordagem:
Essas lambdas são acionadas diariamente pelo AWS EventBridge e, em seguida, consultam um registro de contêiner público (1).
Se uma imagem de contêiner BigID for encontrada, os lambdas leem de uma tabela compartilhada do DynamoDB os achados históricos das imagens descobertas anteriormente (2). Se a imagem e o publicador forem únicos, os lambdas gravam indicadores importantes no banco de dados, que serão então passados para o nosso DISPARAR plataforma para gerenciamento de casos (3). É importante observar que há um tempo de vida (TTL) para cada entrada gravada na tabela do DynamoDB. Dessa forma, os lambdas podem notificar um membro da equipe de que os contêineres ainda estão hospedados no registro público de contêineres que os acionou.
Assim que a parte de gerenciamento de casos do fluxo de trabalho começa, nossa plataforma SOAR consulta nosso CSPM interno em busca do resumo de hash da imagem encontrado no registro (4). Se o resumo de hash for descoberto em nosso CSPM, a equipe fica em alerta caso haja um verdadeiro positivo — e, caso contrário, ainda emite um alerta para validação manual adicional (5).
Assim que a equipe validar que a imagem é de fato uma imagem de contêiner BigID e foi carregada sem nosso consentimento, enviaremos um e-mail com uma solicitação de remoção de acordo com a Lei dos Estados Unidos. Lei de Direitos Autorais do Milênio Digital (“Avisos DMCA”). DMCA é uma lei federal criada para proteger detentores de direitos autorais, como a BigID, da reprodução ou distribuição ilegal de suas obras.
Fornecemos as seguintes informações ao suporte do DockerHub dmca@docker[.]com, para AWS ec2-abuse@amazon[.]com, entre outros, quando emitimos uma solicitação de remoção que exigirá o seguinte:
- Uma assinatura eletrônica ou física de uma pessoa autorizada a agir em nome do proprietário dos direitos autorais
- Identificação do trabalho protegido por direitos autorais que você alega estar sendo violado
- Identificação do material que se alega estar infringindo direitos autorais e onde ele está localizado no Serviço
- Informações razoavelmente suficientes para entrar em contato com você, como seu endereço, número de telefone e endereço de e-mail
- Uma declaração de que você acredita de boa-fé que o uso do material da maneira reclamada não está autorizado pelo proprietário dos direitos autorais, seu agente ou pela lei
- Uma declaração, feita sob pena de perjúrio, de que as informações acima são precisas e que você é o proprietário dos direitos autorais ou está autorizado a agir em nome do proprietário
Estes são os passos BigID foi adotada não apenas para aprimorar a postura geral de segurança da organização, mas também para nos proporcionar a capacidade de sermos proativos por meio da automação para eliminar riscos externos. Com isso, podemos operar de forma mais eficaz e eficiente para garantir que o código e as imagens do BigID não sejam acessíveis publicamente, eliminando ainda mais os riscos para a nossa cadeia de suprimentos.
O que vem a seguir
Nossa automação está longe de ser automatizada 100% do início ao fim. Ainda há etapas manuais que um engenheiro de segurança precisa realizar após uma imagem ser encontrada publicamente disponível na internet. Há notificações de remoção que precisam ser enviadas e esperamos poder automatizá-las totalmente usando o recurso de gerenciamento de casos e a automação da nossa plataforma SOAR.
Autor
