Securing supply chain components : an offensive approach on containerization technology

Abstract

Η ταχεία υιοθέτηση περιβαλλόντων σε κοντέινερ, η ανάπτυξη και η διαθεσιμότητα περιεχομένου λογισμικού στην παραγωγή, έγιναν ευκολότερες από ποτέ, με υψηλή διαθεσιμότητα και επεκτασιμότητα, χωρίς ουσιαστικά καθόλου χρόνο διακοπής λειτουργίας. Οι εταιρείες, είτε πρόκειται για μεγάλες εταιρείες είτε για μικρές νεοσύστατες επιχειρήσεις, έχουν υιοθετήσει αγωγούς ανάπτυξης που έχουν σχεδιαστεί για να λειτουργούν σε ένα σταθερό πρόγραμμα κατ' απαίτηση. Ως αποτέλεσμα, αυτές οι τεχνολογίες ανοίγουν νέους φορείς επίθεσης, καθώς η αλυσίδα προμήθειας κλιμακώνεται. Αυτές οι επιθέσεις εκμεταλλεύονται λανθασμένες διαμορφώσεις είτε από ανθρώπινα είτε από σφάλματα μηχανής κατά την ανάπτυξη, ευάλωτες και μη ενημερωμένες εξαρτήσεις ή υπηρεσίες, παραβιασμένα μητρώα που επιτρέπουν στους αντιπάλους να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση, να περιστρέψουν, να κλιμακώσουν και να εξαγάγουν δεδομένα ή αποκαλυφθείσες πληροφορίες, να εισάγουν κακόβουλα αρχεία σε αγωγούς παραγωγής. Μια τεχνολογία που χρησιμοποιείται συνήθως είναι το Kubernetes (k8s), ένα διαδεδομένο εργαλείο για κλιμάκωση σχεδόν επ' αόριστόν, όσο το επιτρέπουν οι πόροι. Επομένως, ο υπεύθυνος και σωστός χειρισμός της ανάπτυξης θα πρέπει να είναι υποχρεωτικός από όλους τους χειριστές. Αυτή η διατριβή θα επικεντρωθεί σε αυτό το συγκεκριμένο εργαλείο, θα αναλύσει τους πιθανούς φορείς επίθεσης ανιχνεύοντας πιθανές λανθασμένες διαμορφώσεις κατά την ανάπτυξη. Η χρήση εργαλείων ανίχνευσης απαιτείται σε κάθε φάση της ανάπτυξης, στο παρελθόν, στο μέλλον και στο μέλλον. Θα αναπτύξουμε ένα εργαλείο CLI σε Python που χειρίζεται μερικές από τις πιο συνηθισμένες λανθασμένες διαμορφώσεις. Το εργαλείο αναλύει τις αναπτύξεις Kubernetes για κοινά τρωτά σημεία, όπως υπερβολικά επιτρεπτικούς ρόλους RBAC, εκτεθειμένα μυστικά, προνομιούχα κοντέινερ και μη ασφαλείς πολιτικές δικτύου — όλα εκ των οποίων αποτελούν βασικούς φορείς επίθεσης σε παραβιάσεις της εφοδιαστικής αλυσίδας. Αυτοματοποιώντας την ανίχνευση αυτών των λανθασμένων διαμορφώσεων, αυτή η έρευνα παρέχει μια προληπτική προσέγγιση ασφάλειας, βοηθώντας τους οργανισμούς να ενισχύσουν τα συμπλέγματά τους έναντι τεχνικών ανταγωνισμού στον πραγματικό κόσμο, όπως περιγράφεται σε πλαίσια όπως το MITRE ATT&CK.