NetRise’a göre konteynerler yazılım tedarik zincirlerinde en hızlı büyüyen ve en zayıf siber güvenlik halkasıdır.
Şirketler konteyner güvenliğini doğru şekilde sağlamakta zorlanıyor. Yanlış yapılandırılmış bulutlar, konteynerler ve ağlardan, konteyner güvenliğinin kime ait olduğu konusundaki belirsizliğe kadar sorunlar, yazılımın yaşam döngüsü boyunca devam ediyor. Yine de 2022 Anchore raporuna göre işletmeler önümüzdeki 24 ay içinde konteynerlerin benimsenmesini genişletmeyi planlıyor; %88’i konteyner kullanımını artırmayı, %31’i ise konteyner kullanımını önemli ölçüde artırmayı planlıyor.
Ancak 2024 itibarıyla konteyner güvenliği sorunlarının fark edildiğini görmeye başlıyoruz; Red Hat’in yakın tarihli bir raporu, kuruluşların %67’sinin konteynerler ve Kubernetes ile ilgili güvenlik endişeleri nedeniyle uygulama dağıtımını geciktirdiğini veya yavaşlattığını gösteriyor.
Konteynerli uygulamalara güvenmek siber güvenlik zorluklarını da beraberinde getiriyor
Konteynerli uygulamalara artan güven, iki siber güvenlik sorununu beraberinde getiriyor:
- Konteynerlerdeki ayrıntılı yazılım bileşenlerinin ve bunların menşeinin görünürlüğünü koruma ihtiyacı ve
- Konteynerlerin bileşenlerindeki güvenlik açıklarını ve riskleri belirlemek ve önceliklendirmek.
NetRise araştırmacıları, Docker Hub’ın en sık indirilen 250 görüntüsünden rastgele seçilen 70 konteyner görüntüsünü analiz etti ve ayrıntılı bir Yazılım Malzeme Listesi (SBOM) oluşturdu. Ortalama olarak her konteyner görüntüsünün 389 yazılım bileşeni içerdiğini buldular.
Araştırmacılar, 8 bileşenden 1’inin yazılım bildirimi olmadığını, genellikle bildirimlerde bulunan resmi meta verilerin yanı sıra bağımlılıklar, sürüm numaraları veya paketin kaynağı hakkındaki ayrıntılardan yoksun olduğunu buldu. Bu, analiz için bildirimlere dayanan geleneksel konteyner tarama araçlarının, ilgili riskleri uygun şekilde azaltmak için yeni süreçler ve araçlar gerektirecek şekilde önemli görünürlük boşluklarına sahip olacağı anlamına gelir.
Ortalama bir konteynerin temel yazılım bileşenlerinde bilinen 604 güvenlik açığı bulunuyordu ve bunların %45’inden fazlası 2 ila 10 yaş arasıydı. NetRise tehdit istihbaratı, Kritik veya Yüksek CVSS Önem derecesine sahip 16.557 tanımlanmış CVE’nin %4’ünden fazlasının, botnet’ler tarafından fidye yazılımını yaymak için bilinen, tehdit aktörleri tarafından kullanılan veya bilinen saldırılarda kullanılan silah haline getirilmiş güvenlik açıkları olduğunu buldu.
Ek olarak, konteyner başına 146 “tmp dışında yazılabilir ve okunabilir dizin” de dahil olmak üzere konteyner başına 4,8 yanlış yapılandırma buldular; konteynerler, konteyner başına ortalama 19,5 kullanıcı adı ile aşırı izin veren kimlik kontrollerine sahipti.
Yazılım risklerini anlamak tam görünürlükle başlar
Yazılım tedarik zincirinde şeffaflığın olmaması, dünya çapındaki kuruluşlar için iş açısından kritik öneme sahiptir. Sonuç olarak, konteynerli yazılımlar da dahil olmak üzere ticari yazılımların içeriğine ilişkin şeffaflığın esas olduğudur.
Başlangıç noktası olarak kuruluşların kapsamı, ölçeği ve ilgili riskleri anlamak için yazılımlarında kapsamlı görünürlüğe ihtiyaçları vardır. Gelişmiş teknoloji, tüm yazılımlar için ayrıntılı SBOM geliştirme, güvenlik açıklarının ve CVE dışı risklerin tespit edilmesi ve belirlenen tüm risklerin önceliklendirilmesi ile güvenlik operasyonlarında kullanılan varlık keşfi, güvenlik açığı yönetimi ve izinsiz giriş tespit araçlarını zenginleştirmek ve beslemek için kuruluşlara çok ihtiyaç duyulan içgörüleri sağlayabilir. yazılım tedarik zinciri riskleri.
“Konteyner teknolojisinin benimsenmesi, büyük ölçüde hafif olması ve yönetiminin kolay olması nedeniyle hızla artıyor. Ancak konteynerler birçok modern uygulamanın tasarlandığını, devreye alındığını ve yönetildiğini değiştirse de, yazılım tedarik zincirindeki en zayıf siber güvenlik halkaları arasında yer alıyorlar” dedi NetRise CEO’su Thomas Pace.