Контакты
Подписка 2025

Один бюджет, один приоритет: как вложиться в безопасность контейнеров?

Редакция журнала "Информационная безопасность", 09/07/25

Что делать, если есть только один бюджет, а направлений – десятки? Спросили у экспертов: во что стоит инвестировать в 2025 г., если выбирать придется только одно направление – рантайм, цепочка поставок, харденинг или что-то еще?

ris2-Jul-09-2025-03-18-17-7491-PM

Цепочка поставок дает наибольший охват при ограниченном бюджете

Контроль зависимостей и компонентов считается наиболее эффективным способом защиты, охватывающим и статическую, и динамическую составляющую. Это решение, способное перекрыть большую часть атак – от Log4j до XZ Utils.

"Безусловным приоритетом является контроль цепочки поставок. Статистика последних лет однозначно показывает: 90% успешных атак начинаются с эксплуатации уязвимостей в зависимостях, о чем свидетельствуют инциденты с Log4j и XZ Utils. Главное преимущество способа – его комплексность, так как он охватывает как статические компоненты, так и динамические аспекты. В отличие от других направлений, инвестиции в безопасность цепочки поставок дают максимальный охват угроз при минимальных эксплуатационных издержках, что делает их оптимальным выбором при ограниченном бюджете", – подчеркивает Игорь Душа, НОТА.

Если бюджет только один, а рисков много – разумно вложиться туда, где можно покрыть наибольшую поверхность атаки.

Runtime-защита – универсальная точка контроля на последнем рубеже

Если атака уже происходит, фиксировать ее нужно в момент исполнения. Runtime-контроль позволяет отследить действия атакующего, даже если уязвимость прошла незамеченной на предыдущих этапах.

"Стоит начать с защиты рантайма, так как она может быть компенсирующей мерой для всех остальных этапов. Опять же, мониторинг рантайма не заменяет на 100% защиту контейнерных сред, но все действия атакующих по большей части сводятся к выполнению действий внутри контейнеров", – отмечает Михаил Бессараб, Positive Technologies.

Runtime хорош как стратегическая "запасная точка" – особенно если инфраструктура уже в бою, и менять ее архитектуру быстро не получится.

Нет универсального ответа – приоритет зависит от модели угроз

Решение должно опираться на специфику инфраструктуры: типы сервисов, требования к отказоустойчивости, профиль нарушителя. Без этого выбор лучшего направления становится тычком пальцем в небо.

"Наш многолетний опыт защиты контейнерных сред показывает, что все инфраструктуры разные, и на них влияет специфика бизнеса, приложений, назначения и т.п. В итоге универсального ответа нет. У каждого – уникальная модель нарушителя, своя модель угроз. И только с их учетом нужно выстраивать приоритеты. При этом все равно безопасность – это вопрос комплексного подхода. Ломается обычно там, где слабее всего. Атакующие всегда идут по пути наименьшего сопротивления", – подчеркивает Дмитрий Евдокимов, Luntry.

Не "что выбрать", а "от чего защищаться" – с этого начинается настоящая стратегия.

Лучше взять платформу, которая решает все сразу

Вместо того чтобы выбирать между подходами, можно воспользоваться комплексным решением, закрывающим сразу несколько направлений. Это упрощает внедрение и снижает технический порог.

"Воплощения разных направлений безопасности контейнеров характерно для продуктов Open Source, разрабатываемых в идеологии Unix-way, когда каждый инструмент решает конкретную задачу. Далее специалист собирает гирлянду таких продуктов для достижения всеобъемлющей защиты. В случае Kaspersky Container Security цель – предоставить один инструмент для решения комплекса всех основных задач, при работе с которым специалист избавлен от изучения глубочайших нюансов работы разных платформ, интеграции разных инструментов и выбора лишь отдельных направлений. Он может потратить бюджет на один инструмент и решить все свои задачи сразу", – поясняет Алексей Рыбалко, Лаборатория Касперского.

Если задача – "закрыть все с одного выстрела", разумнее выбрать не направление, а инструмент, который уже это объединил.

Двигаться поэтапно: от базового – к зрелому

Когда бюджет ограничен, ставка не столько в выборе технологии, сколько в правильной последовательности. Начинать с простого и очевидного, постепенно переходя к более сложным мерам.

"Безопасность – всегда комплексный процесс, и контейнеры не являются исключением. В данном случае я бы посоветовал двигаться комплексно, но итерационно, начиная от совсем базовых практик, средств и технологий, постепенно расширяя функционал и возможности за счет новых инвестиций и потребностей", – считает Максим Чудновский, СберТех.

Итерационная стратегия позволяет не выбирать "лучшее", а построить устойчивую эволюцию безопасности – без конфликтов и откатов.

Вывод: не существует одного правильного ответа – есть разумный первый шаг

При ограниченном бюджете решение должно быть соразмерно контексту: техническому долгу, зрелости команды, модели угроз, нагрузке и организационной культуре. Кто-то начнет с цепочки поставок, кто-то – с мониторинга, кто-то – с выбора платформы. Главное – не откладывать первый шаг, потому что в контейнерах компромиссы наступают быстро.

Контейнерная безопасность – это не выбор технологии, а выбор траектории.

Темы:Круглый столЖурнал "Информационная безопасность" №2, 2025Container Security

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Привилегии вне контроля и как с ними справиться
    После внедрения PAM в один прекрасный день выясняется, что значительная часть привилегий остается вне поля зрения системы. Почему появляются слепые зоны, кто должен их искать, и можно ли защитить сам PAM от внутренних угроз? Обсуждаем с экспертами, где пролегают границы ответственности PAM, чего не видно без интеграций, и каковы перспективы работы российских PAM-решений в облаке.
  • Как и зачем меняется PAM?
    PAM меняется вместе с инфраструктурой, рисками и ожиданиями бизнеса. Речь уже не просто о контроле привилегий, а о полноценном элементе архитектуры доверия. Редакция журнала “Информационная безопасность” спросила у экспертов, какие функции в PAM сегодня можно считать прорывными, как решаются задачи масштабирования и что помогает выявлять слепые зоны.
  • Практический DevSecOps при защите контейнерной инфраструктуры
    Максим Ксенофонтов, эксперт по защите контейнерных сред и оркестраторов, “Лаборатория Касперского”
    DevSecOps, Shift Left, Container Security – модные слова, за которыми должна стоять реальная практика. Давайте рассмотрим, что делать "в поле", чтобы повысить защищенность, а не просто следовать трендам?
  • Контейнеры уязвимы. И что теперь?
    Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    Давайте без иллюзий: образы контейнеров без проблем и уязвимостей – миф. Даже если такой момент и наступает, это либо исключение, либо временное затишье. Но это точно не повод игнорировать безопасность. Напротив, к ней нужно подходить с умом, иначе ресурсов на реальное улучшение просто не хватит.
  • Слепые зоны реагирования в АСУ ТП
    Классические подходы к реагированию, заимствованные из ИТ-среды, не работают в условиях АСУ ТП: запрет на патчинг, устаревшие устройства, разрывы между сегментами, отсутствие логирования и централизованного мониторинга создают критические слепые зоны.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...