Sysdig, start-up spécialisée le monitoring des containers , a annoncé l’ajout de la fonction Drift Control, conçue pour détecter et bloquer les attaques de conteneurs au moment de l'exécution. Drift Control fonctionnera dans le cadre de Sysdig Secure, conçu pour détecter les vulnérabilités des containers. Sysdig Secure est un composant de la plateforme d'intelligence des conteneurs de l'entreprise, qui comprend plusieurs applications de sécurité orientées containers. Visant à détecter, prévenir et accélérer la réponse aux incidents pour les containers qui ont été modifiés en production, Drift Control offre la possibilité de combler les « failles de sécurité dangereuses » créées en raison des déviations par rapport au conteneur original de confiance.
« Drift Control détecte et empêche l'exécution de paquets ou de binaires ajoutés ou modifiés après le déploiement d'un conteneur en production », explique Daniella Pontes, responsable marketing des produits de sécurité chez Sysdig. « En empêchant l'exécution d'exécutables ajoutés ou modifiés en production, Drift Control garantit que le logiciel du conteneur n'est pas modifié pendant sa durée de vie, renforçant son immuabilité, préservant la cohérence de la source à l'exécution, et empêchant les actions qui pourraient faire partie d'une attaque ». De plus, la start-up a annoncé une détection améliorée des logiciels malveillants et des crypto-mineurs, grâce à des flux de renseignements sur les menaces provenant de Proofpoint Emerging Threats (ET) Intelligence et de la propre équipe de recherche sur les menaces de Sysdig. Le rapprochement avec Proofpoint est logique. La société fournit en effet une détection des logiciels malveillants avec un contexte et une catégorisation, une mise à jour constante des renseignements sur les logiciels et domaines malveillants, et suit un système de notation robuste pour les menaces, selon un article de blog de Sysdig. Les clients actuels et futurs de Secure ont accès à Drift Control et aux nouveaux flux de menaces sans frais supplémentaires.
Les cas potentiels de dérive
Selon Daniella Pontes, un déploiement typique de containers subit une dérive en cours de production dans les situations suivantes :
- Tentative d'exécution d'un paquet qui a été téléchargé ou mis à jour avec le gestionnaire de paquets
- Tentative d'exécution d'un exécutable intégré à partir d'un fichier malveillant téléchargé, par exemple un logiciel malveillant
- Tentative d'exécution d'un fichier dont l'autorisation/attribut a été modifié en exécutable.
Drift Control détecte et bloque ces exécutables nouveaux ou modifiés, ajoute Mme Pontes. Sysdig suit ces exécutables tout au long du cycle de vie du conteneur et, lorsqu'ils tentent de s'exécuter, refuse ou arrête les exécutables.
S'il est en mode prévention, Drift Control bloque l'exécution des nouveaux exécutables détectés. (Crédit : Sysdig)
Drift Control applique le principe d'immuabilité des environnements
En outre, Drift Control a été conçu pour permettre aux entreprises d'éviter la « pratique héritée risquée » consistant à effectuer des modifications ad hoc qui sont difficiles à suivre et à sécuriser, explique Daniella Pontes. « Compte tenu de la nature dynamique des environnements cloud natifs et des pratiques héritées qui sont transférées dans les environnements cloud, les équipes négligent souvent ou ne sont pas en mesure d'appliquer les meilleures pratiques en matière d'immuabilité, ce qui laisse des failles de sécurité causées par la dérive. Drift Control permet d'appliquer automatiquement le principe d'immuabilité des environnements cloud native de Kubernetes ».
« Bien qu'elle ne figure probablement pas sur la liste des attaques « les plus courantes », elle constitue une véritable cible pour un attaquant sophistiqué qui a obtenu un accès sans entrave à l'environnement de production d'une entreprise. À moins que votre conteneur ne soit configuré correctement, il peut être modifié, par exemple avec une escalade de privilèges, ce qui peut faire des dégâts dans un environnement d'exécution », explique Gary McAlum, analyste chez Tag Cyber. En outre, comme les containers communiquent entre eux dans un environnement Kubernetes, il y a un danger supplémentaire pour le mouvement latéral d'une menace dans le cluster.
La plateforme Sysdig est basée sur Falco
Drift Control est une « amélioration très importante » de la plateforme de sécurité des conteneurs de Sysdig, déclare M. McAlum, ajoutant que le fait que Sysdig ait basé sa plateforme et sa fonctionnalité de sécurité sur la norme Falco est un énorme avantage. Falco est un outil standard open source créé par Sysdig en 2016 pour la détection continue des risques et des menaces sur Kubernetes, les conteneurs et le cloud. En octobre 2018, Falco a été accepté comme projet de niveau incubation de la Cloud Native Computing Foundation (CNCF). Il s’agit d’une fondation logicielle open-source qui encourage l'adoption de l'informatique native du cloud.
Sysdig Secure, outre les capacités de Drift Control et les flux de menaces nouvellement ajoutés, offre la possibilité aux équipes de sécurité de creuser dans des conteneurs compromis ou suspects via un accès shell sécurisé à la demande, afin d'enquêter sur les exécutables bloqués et les communications système connexes. Récemment, Sysdig a lancé Risk Spotlight, un outil de hiérarchisation des vulnérabilités basé sur l'intelligence d'exécution, conçu pour aider les équipes de sécurité à hiérarchiser les mesures correctives.