בפוסט קודם בסדרת הבלוגים שלנו בנושא DevSecOps, דיברנו על הפוטנציאל של תוכנות זדוניות הקיימות בקוד המקור ובארטיפקטים של בנייה, וכיצד צוותים יכולים לאבטח את צינור בניית התוכנה שלהם באמצעות... MetaDefender עבור ג'נקינס. בהמשך לנושא אבטחת DevOps בבלוג זה, אדגים כיצד להשתמש MetaDefender כדי ש-Jenkins יוכל לזהות תוכנות זדוניות ופגיעויות בתמונות של Docker.
Container תשתיות: הרחבת שטח עבור Supply Chain התקפות
מיקרו-שירותים ומכולות חוו צמיחה אדירה. הודות לאופי הקל והמהיר לפריסה שלהן, טכנולוגיית המכולות רק תמשיך להתרחב בעתיד. עם זאת, מכולות מכילות גם תוכנות מיושנות ופגיעה לעתים קרובות יותר. גורמים זדוניים מינפו את פלטפורמת הבנייה האוטומטית הזו כדי ליצור קמפיינים של תקיפה בשרשרת האספקה, תוך סיכון לארגוני היעד ולצדדים הקשורים אליהם.
ניתוח של 4 מיליון תמונות ציבוריות ב-Docker Hub חשף את הסיכונים הסמויים לעין בקונטיינרים. מחצית מהתמונות הללו (51%) הכילו לפחות פגיעות קריטית אחת ו-13% הכילו פגיעויות בדרגת חומרה גבוהה. יותר מ-6,400 תמונות נחשבו זדוניות מכיוון שהן מכילות כורי מטבעות קריפטוגרפיים, חבילות Node Package Manager (NPM) זדוניות, כלי פריצה ותוכנות זדוניות.
במקרה אחר, תוקפים השתמשו בתמונות Docker לכריית קריפטו. חמש תמונות זדוניות נשלפו יותר מ-120,000 פעמים בשנת 2021. הקמפיין כלל typosquatting - טכניקת ערפול המשתמשת בכותרות שגויות או מטעות כמו "openjdk" ו-"golang" במקום התמונות הרשמיות "OpenJDK" ו-"Golang" ב-Docker Hub. הכוונה הייתה להערים על הקורבן להפעיל את הקובץ הבינארי xmrig - כורה קריפטוגרפי של Monero שניתן לנצל לרעה כדי לחטוף משאבים של ארגונים.
Docker היא אחת מפלטפורמות הקונטיינריזציה הפופולריות ביותר, שאומצו על ידי 7 מיליון משתמשים, עם 7 מיליון מאגרים ו-242 מיליארד משיכות שנוצרו בשנת 2020. הגיע הזמן שארגונים ישקלו ברצינות את הגנה על תשתיות הקונטיינרים כאחת משיטות העבודה המומלצות שלהם בתחום אבטחת הסייבר.
התגברות על סיכונים בתמונות Docker
הגישה הטובה ביותר למניעת שליפה מקרית של תמונות לא לגיטימיות היא לאמץ את מודל האבטחה של אפס אמון. יש להתייחס לכל הקבצים כסיכונים פוטנציאליים ולסרוק אותם ביסודיות כדי לזהות איומים מלכתחילה.
דרך אחת לעשות זאת היא באמצעות כלי סריקת פגיעויות כמו Docker Scan המקורי או אלטרנטיבה דומה. אבל אם אין לכם פתרונות כאלה זמינים, תוכלו לשמור את תמונת ה-Docker שלכם כקובץ ארכיון, ולאחר מכן לשלוח אותה לשירות ניתוח נתונים.
שיטה קלה נוספת היא לסרוק את תמונות ה-Docker שלך באמצעות MetaDefender עבור תוסף ג'נקינס.
זיהוי תוכנות זדוניות ופגיעויות בעזרת MetaDefender עבור ג'נקינס
כצעד ראשון, יצרתי תצורת סריקת בנייה עם שלב בנייה משורת פקודה כפי שמוצג להלן. הבנייה תבדוק תמונת Docker ותשמור אותה כקובץ TAR. למטרות הדגמה, השתמשתי בתמונת Docker שהכילה קובץ EICAR.
לאחר מכן, הוספתי שלב בנייה כדי לסרוק את התמונה השמורה באמצעות MetaDefender Core , ואז התחלתי את הבנייה.
ברגע שהבנייה הושלמה, MetaDefender זיהתה תוכנה זדונית בתמונת Docker.
לחצתי על כתובת האתר כדי לצפות בתוצאות המפורטות ב MetaDefender Core .
צפו בסרטון הזה להדגמה המלאה:
אוֹדוֹת OPSWAT MetaDefender עבור ג'נקינס
OPSWAT MetaDefender תוסף Jenkins מסייע לארגונים לאבטח את מחזור חיי פיתוח Software (SDLC) שלהם . התוסף בודק את ה-builds שלך לאיתור תוכנות זדוניות וסודות לפני שחרור האפליקציה לציבור כדי למנוע התקפות על שרשראות אספקה של תוכנה. MetaDefender עבור ג'נקינס מופעל על ידי מלוא היכולות של MetaDefender פלטפורמה - כולל Metascan , Deep CDR , Proactive DLP ו-Vulnerability Assessment - לסריקת כל קוד המקור, הממצאים והתלויות לאיתור איומים ופגיעויות. למידע נוסף על MetaDefender עבור Jenkins וכלים חינמיים אחרים OPSWAT .
למידע נוסף, אנא צרו קשר עם מומחי אבטחת הסייבר שלנו .
