Компоненты и инструменты с открытым кодом получили широкое распространение в корпоративной среде разработки. По оценке компании RiskSense, на текущий год порядка 80-90% современных приложений содержат в себе Open Source компоненты. Этому способствует активная трансформация цифровой среды и миграция части сервисов в облака, развитие концепции микросервисов в коммерческих и не только компаниях.
С ростом популярности усиливается также внимание к Open Source Software (OSS) решениям, что ведет к активной деятельности по хакингу данного типа ПО. Так, обнаруженная в 2014 году уязвимость OpenSSL библиотеки Heartbleed детектировалась на практически 17% всех интернет-ресурсов мира.
В результате анализа компанией RiskSense более 50 000 проектов c открытым кодом, эксперты обнаружили, что в 2019 году число обнаруженных уязвимостей более чем удвоилось по сравнению с 2018 годом.
Одними из наиболее уязвимых ПО, по мнению аналитиков RiskSense, являются Jenkins и MySQL, причем многие уязвимости этих проектов имеют активные эксплоиты. Также отличились Apache Tomcat, Magento, Kubernetes, Elasticsearch, JBoss. А HashiCorp’s Vagrant оказался одним из наиболее «вооруженных» злоумышленниками проектов – из девяти известных уязвимостей шесть имеют эксплоиты.
Из существующих на текущий момент 2694 уязвимостей для рассмотренных OSS продуктов распределение следующее:
-
89 имеют активные эксплоиты (Weaponized CVE),
-
18 из них ведут к удаленному выполнению кода или эскалации привилегий (RCE/PE),
-
шесть в данный момент атакуют открытые ресурсы (Trending).
Уязвимости Open Source компонент, если они не являются частью платного коробочного решения, услуги по обновлению которого включены в его поддержку, чаще всего качественно не отслеживаются. Так часто происходит с разработкой микросервисов в организации и использовании при этом готовых библиотек и пакетов с открытым кодом. Проблема усложняется гибридной средой с использованием виртуализации и контейнеризации.
Решения класса Cloud Workload Protection Platforms предоставляют функции защиты облачных приложений, PaaS, CaaS и других вариантов реализаций микросервисов. В зависимости от конкретного производителя и варианта исполнения (агентский или безагентский (привилегированный контейнер в рамках облака) решения CWPP выполняют следующие основные функции:
-
Анализ на появление вредоносного ПО внутри контейнера. Причем акцент идет на поведенческий анализ как более оперативный, чем полное сканирование системы.
-
Сканирование образа контейнера на уязвимости и проблемы конфигурации до его публикации. Выявление проблем до применения контейнера, поиск по базе CVE и формирование предложений по устранению проблем.
-
Harderning OS – процесс выявления и устранения излишних сервисов или привилегий в ОС и в пакетах приложений (отключение Telnet, FTP, root ssh и др.).
-
Защита сетевых взаимодействий: межсетевое экранирование и микросегментация, шифрование трафика. Deep Packet Inspection для сетевого трафика.
-
Контроль целостности системы (в режимах preboot или postboot) и контроль приложений, вплоть до режима «белого» списка (whitelist). Защита среды исполнения Runtime и системных вызовов.
-
Непрерывный мониторинг и аудит.
Решения CWPP поддерживают гибридные варианты облачной среды исполнения, включая и контейнеры, и виртуальные среды, и аппаратные реализации.
Группа компаний Angara активно развивает направление защиты микросервисов как в локальной инфраструктуре продуктива и «QA», так и в случае миграции сервисов в приватное или публичное облако. Также в рамках проработки комплексного подхода по защите DevOps окружения, интеграции с инструментами оркестрации платформы контейнеризации и мониторинга межконтейнерного сетевого взаимодействия, сформировано тестовое окружение, на котором проводится тестирование техник эксплуатации уязвимостей как самих сервисов, так и их окружения.
Группа компаний Angara рекомендует следующие решения CWPP класса:
-
Trend Micro Deep Security Smart Check,
-
Palo Alto Networks Container Security Suit (former Twistlock).