Контроль зависимостей и компонентов считается наиболее эффективным способом защиты, охватывающим и статическую, и динамическую составляющую. Это решение, способное перекрыть большую часть атак – от Log4j до XZ Utils.
"Безусловным приоритетом является контроль цепочки поставок. Статистика последних лет однозначно показывает: 90% успешных атак начинаются с эксплуатации уязвимостей в зависимостях, о чем свидетельствуют инциденты с Log4j и XZ Utils. Главное преимущество способа – его комплексность, так как он охватывает как статические компоненты, так и динамические аспекты. В отличие от других направлений, инвестиции в безопасность цепочки поставок дают максимальный охват угроз при минимальных эксплуатационных издержках, что делает их оптимальным выбором при ограниченном бюджете", – подчеркивает Игорь Душа, НОТА.
Если бюджет только один, а рисков много – разумно вложиться туда, где можно покрыть наибольшую поверхность атаки.
Если атака уже происходит, фиксировать ее нужно в момент исполнения. Runtime-контроль позволяет отследить действия атакующего, даже если уязвимость прошла незамеченной на предыдущих этапах.
"Стоит начать с защиты рантайма, так как она может быть компенсирующей мерой для всех остальных этапов. Опять же, мониторинг рантайма не заменяет на 100% защиту контейнерных сред, но все действия атакующих по большей части сводятся к выполнению действий внутри контейнеров", – отмечает Михаил Бессараб, Positive Technologies.
Runtime хорош как стратегическая "запасная точка" – особенно если инфраструктура уже в бою, и менять ее архитектуру быстро не получится.
Решение должно опираться на специфику инфраструктуры: типы сервисов, требования к отказоустойчивости, профиль нарушителя. Без этого выбор лучшего направления становится тычком пальцем в небо.
"Наш многолетний опыт защиты контейнерных сред показывает, что все инфраструктуры разные, и на них влияет специфика бизнеса, приложений, назначения и т.п. В итоге универсального ответа нет. У каждого – уникальная модель нарушителя, своя модель угроз. И только с их учетом нужно выстраивать приоритеты. При этом все равно безопасность – это вопрос комплексного подхода. Ломается обычно там, где слабее всего. Атакующие всегда идут по пути наименьшего сопротивления", – подчеркивает Дмитрий Евдокимов, Luntry.
Не "что выбрать", а "от чего защищаться" – с этого начинается настоящая стратегия.
Вместо того чтобы выбирать между подходами, можно воспользоваться комплексным решением, закрывающим сразу несколько направлений. Это упрощает внедрение и снижает технический порог.
"Воплощения разных направлений безопасности контейнеров характерно для продуктов Open Source, разрабатываемых в идеологии Unix-way, когда каждый инструмент решает конкретную задачу. Далее специалист собирает гирлянду таких продуктов для достижения всеобъемлющей защиты. В случае Kaspersky Container Security цель – предоставить один инструмент для решения комплекса всех основных задач, при работе с которым специалист избавлен от изучения глубочайших нюансов работы разных платформ, интеграции разных инструментов и выбора лишь отдельных направлений. Он может потратить бюджет на один инструмент и решить все свои задачи сразу", – поясняет Алексей Рыбалко, Лаборатория Касперского.
Если задача – "закрыть все с одного выстрела", разумнее выбрать не направление, а инструмент, который уже это объединил.
Когда бюджет ограничен, ставка не столько в выборе технологии, сколько в правильной последовательности. Начинать с простого и очевидного, постепенно переходя к более сложным мерам.
"Безопасность – всегда комплексный процесс, и контейнеры не являются исключением. В данном случае я бы посоветовал двигаться комплексно, но итерационно, начиная от совсем базовых практик, средств и технологий, постепенно расширяя функционал и возможности за счет новых инвестиций и потребностей", – считает Максим Чудновский, СберТех.
Итерационная стратегия позволяет не выбирать "лучшее", а построить устойчивую эволюцию безопасности – без конфликтов и откатов.
При ограниченном бюджете решение должно быть соразмерно контексту: техническому долгу, зрелости команды, модели угроз, нагрузке и организационной культуре. Кто-то начнет с цепочки поставок, кто-то – с мониторинга, кто-то – с выбора платформы. Главное – не откладывать первый шаг, потому что в контейнерах компромиссы наступают быстро.
Контейнерная безопасность – это не выбор технологии, а выбор траектории.