O Desafio
A utilização de contêineres impulsionou significativamente o crescimento de tecnologias nativas da nuvem— alterando a forma como muitos aplicativos são projetados, desenvolvidos, implementados e gerenciados. Com essa mudança evolutiva em todo o setor de tecnologia, surgem outros obstáculos de segurança significativos a serem superados. Um dos obstáculos mais importantes é a mitigação da exposição de registros de contêineres que armazenam código proprietário.
Os registros de contêineres são uma parte muito crítica da infraestrutura conteinerizada e, se deixados expostos, introduzem riscos na cadeia de suprimentos. Ataques à cadeia de suprimentos são um dos métodos mais comuns pelos quais as empresas são violadas atualmente. Voltando a SolarWinds ou Log4jEssa tendência só se intensificou, com um número crescente de violações de segurança relatadas devido a ataques à cadeia de suprimentos. Um relatório de TrendMicro, destacando pesquisas alarmantes sobre o quanto os registros de contêineres estão atualmente expostos e como os invasores podem, e eventualmente irão, explorar isso a seu favor.
Algumas das estatísticas mais chocantes relacionadas aos registros de contêineres são:
- 9,31 TB de imagens baixadas
- 197 registros únicos descartados
- 20.503 imagens despejadas
A BigID enfrentou um desafio semelhante com várias de nossas imagens de contêiner sendo carregadas em diversos registros públicos sem nosso consentimento. Como forma de combater isso, a Equipe de Segurança da BigID tomou a iniciativa de desenvolver um processo automatizado para identificar, verificar e eliminar o risco.
Nossa abordagem
A equipe de segurança da BigID abordou esse problema usando AWS Lambda para descobrir imagens de contêiner BigID em registros de contêiner públicos como DockerHub e a galeria de imagens públicas do AWS ECR. Abaixo, segue um diagrama da arquitetura da nossa abordagem:
Essas lambdas são acionadas em uma cadência diária pelo AWS EventBridge e então consultam um registro de contêiner público (1).
Se uma imagem de contêiner BigID for encontrada, as funções lambda leem de uma tabela compartilhada do DynamoDB os resultados históricos das imagens descobertas anteriormente (2). Se a imagem e o editor forem únicos, as funções lambda gravam indicadores importantes no banco de dados, que serão então passados para o nosso sistema. DISPARAR plataforma para gerenciamento de casos (3). É importante observar que existe um tempo de vida (TTL) em cada entrada gravada na tabela DynamoDB, dessa forma as lambdas podem notificar um membro da equipe de que os contêineres ainda estão hospedados no registro de contêiner público em que foram acionados.
Assim que a parte de gerenciamento de casos do fluxo de trabalho começa, nossa plataforma SOAR consulta nosso CSPM interno para o resumo de hash da imagem encontrado no registro (4). Se o resumo de hash for encontrado em nosso CSPM, a equipe é alertada no Slack sobre um verdadeiro positivo — e, caso contrário, ainda alerta para validação manual adicional (5).
Assim que a equipe validar que a imagem é de fato uma imagem de contêiner BigID e foi carregada sem o nosso consentimento, enviaremos uma solicitação de remoção por e-mail, de acordo com a legislação dos Estados Unidos. Lei de Direitos Autorais do Milênio Digital (“Notificações DMCA”). A DMCA é uma lei federal criada para proteger os detentores de direitos autorais, como a BigID, da reprodução ou distribuição ilegal de suas obras.
Fornecemos as seguintes informações ao suporte do DockerHub (dmca@docker[.]com), à AWS (ec2-abuse@amazon[.]com), entre outros, quando emitimos uma solicitação de remoção, que exigirá o seguinte:
- Assinatura eletrônica ou física de uma pessoa autorizada a agir em nome do detentor dos direitos autorais.
- Identificação da obra protegida por direitos autorais que você alega estar sendo infringida.
- Identificação do material que supostamente infringe direitos autorais e sua localização no Serviço.
- Informações razoavelmente suficientes para que possamos entrar em contato com você, como seu endereço, número de telefone e endereço de e-mail.
- Uma declaração de que você acredita de boa-fé que o uso do material da maneira reclamada não é autorizado pelo proprietário dos direitos autorais, seu agente ou pela lei.
- Uma declaração, feita sob pena de perjúrio, de que as informações acima são precisas e de que você é o proprietário dos direitos autorais ou está autorizado a agir em nome do proprietário.
Esses são os passos BigID Adotamos essa medida não apenas para aprimorar a segurança geral da organização, mas também para nos proporcionar a capacidade de sermos proativos por meio da automação, eliminando riscos externos. Com isso implementado, podemos operar com mais eficácia e eficiência, garantindo que o código e as imagens do BigID não sejam acessíveis publicamente e reduzindo ainda mais os riscos em nossa cadeia de suprimentos.
O que vem a seguir?
Nossa automação está longe de ser totalmente automatizada. Ainda existem etapas manuais que um engenheiro de segurança precisa executar após uma imagem ser encontrada publicamente disponível na internet. Há notificações de remoção que precisam ser enviadas e esperamos poder automatizar completamente esse processo usando o recurso de gerenciamento de casos e automação da nossa plataforma SOAR.
Autor
