Настройка сканирования по расписанию
Уязвимости в Docker-образах: как c ними бороться
Сервис Yandex Container Registry теперь умеет сканировать Docker-образы по расписанию. Читайте о том, как автоматизировать сканирование и чем полезна новая функциональность.
26 октября 2023 г.
10 минут чтения
Злоумышленники могут использовать уязвимости в образах для атак на инфраструктуру или приложения. Результатом могут стать компрометация данных, недоступность системы, утечка конфиденциальной информации. Любой инцидент информационной безопасности (ИБ) чреват потерей доверия клиентов и пользователей, а значит, влияет на репутацию организации.
Как искать уязвимости
Обнаружить их помогает сканер уязвимостей в Yandex Container Registry. Сканер проверяет компоненты и зависимости, которые используются в образе. После распаковки Docker-образа и поиска версий установленных пакетов (deb) сканер сверяет найденные версии пакетов с базой данных известных уязвимостей.
Есть разные варианты сканирования Docker-образа: оно запускается вручную или автоматически — после настройки при загрузке образа. Теперь у пользователей Yandex Cloud появилась возможность выполнять автоматическое сканирование по расписанию.
Что нужно знать об уязвимостях в Docker-образах
Образы могут содержать уязвимости, которые в случае реализации угрозы способны негативно повлиять на работу всей организации через разные инциденты ИБ.
Если уязвимые образы используются в развёрнутых контейнерах, угрозы могут распространиться и на другие компоненты системы, что создаст опасность деградации работы и недоступности всей инфраструктуры.
С ростом популярности контейнерной разработки растут и риски, связанные с уязвимостями Docker-образов. Вот данные из разных источников:
-
ежедневно обнаруживают в среднем 85 уязвимостей;
-
в первом полугодии 2023 года выявлено более 15 тысяч уязвимостей — +20% к такому же показателю прошлого года (Национальный институт стандартов и технологий США, NIST);
-
злоумышленники берут в оборот 56% уязвимостей уже в течение семи дней после публичного раскрытия (Rapid7).
Исследование Palo Alto Networks показало, что у IT-специалистов остаётся крайне мало времени на патчинг уязвимостей. Киберпреступникам же с момента публикации очередного списка известных уязвимостей и дефектов безопасности CVE (Common Vulnerabilities and Exposures) на сканирование уязвимых узлов хватает всего 15 минут. Но это ещё не означает, что тут же произойдёт атака компании, ведь на то, чтобы найти рабочий эксплойт, преодолеть сетевой периметр и получить доступ к ключевым сегментам сети, нужно время.
Быть всегда на шаг впереди злоумышленников вполне реально. Регулярные мероприятия по защите, повышение квалификации сотрудников, алгоритмы оперативных мероприятий по срабатыванию в случае инцидентов ИБ — вот что приходит на помощь.
В чём польза регулярного сканирования
При сканировании по расписанию автоматическая проверка образов на наличие уязвимостей выполняется регулярно, что поддерживает высокий уровень безопасности. Это самый эффективный способ защиты образов в контейнерных средах.
Преимущества сканирования по расписанию:
-
Возможность охватить больше образов и компонентов, чем вручную, сканируя только новые образы. Это особенно важно для больших и динамичных инфраструктур, где образы часто обновляются или создаются разными командами.
-
Оперативное выявление новых угроз, которые появляются ежедневно, и последующее применение обновлений или патчей для минимизации рисков.
-
Оптимизация работы команды по безопасности и снижение вероятности ошибок, связанных с человеческим фактором.
Администраторам и разработчикам доступен отчёт о сканировании, который поможет им устранить уязвимости и обновить зависимости.
Пример результата сканирования
Но стоит помнить, что регулярное сканирование нужно дополнять другими мерами безопасности, такими как управление исправлениями, обнаружение вторжений, планирование реагирования на инциденты и обучение сотрудников.
Как часто нужно сканировать образы
При управлении уязвимостями используют самые разные подходы и фреймворки, разработанные, например, NIST и SANS, а также рекомендации CISA. Работают над систематизацией подходов к управлению уязвимостями и российские регуляторы.
Если обобщить все эти наработки, то варианты периодичности сканирования могут быть такими:
-
при обновлении системы;
-
регулярное «гигиеническое» сканирование;
-
согласно требованиям регулятора;
-
в зависимости от доступных ресурсов;
-
при публикации новых критичных уязвимостей.
Решение о том, как часто сканировать образы, зависит от принятой вами стратегии. Ниже мы перечислим наши рекомендации по регулярности сканирования.
Ежемесячное сканирование
Разумной отправной точкой станет хотя бы ежемесячное сканирование по расписанию или сканирование по мере возникновения изменений (автоматическое при пуше образа).
Но учитывайте, что за месяц злоумышленники и обнаружат уязвимость, и попытаются её эксплуатировать. И если ваш бизнес зависит от доступности и целостности приложения, то этот вариант вам не подходит.
Еженедельное сканирование
Как только ваши сервисы достигают зрелой стадии, мы рекомендуем перейти на еженедельное сканирование. Это хорошая периодичность для большинства ресурсов. У злоумышленников будет минимум времени на развитие атаки на вашу инфраструктуру.
Сканирование ежедневное или раз в несколько дней
Такое практически непрерывное сканирование даст преимущества критически важным репозиториям, веб-приложениям и системам, обрабатывающим конфиденциальные данные. Попробуйте оценить риски. Сканировать образы (даже ежедневно) может оказаться дешевле, чем реагировать на инциденты и возмещать репутационные и финансовые потери своим клиентам.
Подведём итоги
Внедрение сканирования образов по расписанию в CI/CD-процесс позволяет автоматически сканировать контейнерные образы до их развёртывания в окружении. Уязвимости будут обнаружены на ранних этапах разработки, что предотвратит их попадание в продакшн, а ошибки не будут иметь фатальных последствий ни для финансов, ни для репутации компании.
Полезные ссылки
Пример пайплайна со встроенным сканером уязвимости на GitHub →
Подпишитесь на наш канал в Telegram и следите за новостями Yandex Cloud.