⚠️ Про переоценённую безопасность кластеров или как вы сами даёте новые вектора атак

Подготовка к PHDays, работа, проекты, личная жизнь, Hades 2 забирают у меня почти всё время. Я начал замечать, что перестал пить воду, потому что забываю. Думаю, к лету будет проще дарить вам не только смех с мемов, но также продолжить заставлять ваш мозг работать.

🤨 Про что сегодня поговорим

Пост старый, ему уже около пары месяцев, но я так его и не опубликовал. Пора бы уже. Но немного теории не помешает, особенно тем, кто готовится к собесам или хочет вспомнить что-то. Пост будет немного депрессивный или злой, я сам не понял.

❕ Сначала про eBPF

eBPF (extended Berkeley Packet Filter) — это технология в ядре Linux, которая позволяет выполнять безопасный, изолированный код внутри ядра, не изменяя его исходники или загружая модули. eBPF изначально был разработан для фильтрации пакетов, но его возможности значительно расширились со временем и теперь он умеет в:

➖ Сетевой мониторинг и фильтрацию;
➖ Трассировку и отладку системы;
➖ Мониторинг приложений;
➖ Предотвращение атак.

eBPF позволяет писать программы, которые могут перехватывать и анализировать события в ядре Linux, что делает его идеальным инструментом для задач безопасности и мониторинга (либо слежки, но про это мы тут не говорим🥺). Некая грань между стандартными безопасниками и соковцами (может пора их начать записывать в отдельную категорию? 👮‍♂️)

Знакомьтесь, ваш новый папа — Tetragon

💻 Ссылка — ТЫК

Инструмент использующий eBPF для обеспечения безопасности и мониторинга в реальном времени за контейнеризованными приложениями.

Да, не зря упоминал про eBPF 🤗

😜 Основные возможности Tetragon

Всё то, что и так все знают, но немного больше.

💩 Мониторинг событий в реальном времени

💩 Политики безопасности
"Ага, поверил... Ну и бредятина!" — Шрек понимает меня. А теперь о том, как его использовать так, чтобы было интересно.

✅ Блокируем легитимные вызовы

Каспер, сорри, но ты будешь примером плохого использования. тоже самое можете сделать со всеми ненужными процессами:

apiVersion: cilium.io/v2
kind: TetragonPolicy
metadata:
  name: block-kaspersky
spec:
  policyName: "Block Kaspersky Processes"
  policy: |
    trace:
      - syscalls:
          matchArgs:
            - name: "execve"
              args:
                - index: 0
                  value: "/opt/kaspersky/kesl/bin/kesl"
          action: "deny"
      - syscalls:
          matchArgs:
            - name: "execve"
              args:
                - index: 0
                  value: "/opt/kaspersky/kesl/bin/kesl-supervisor"
          action: "deny"

😑 А что ещё можем?
Места в посте нет, но вы держитесь. Я могу отдельно написать и выложить правила.

➖ Обход существующих политик безопасности (политика позволяющая обойти политики)
➖ Саботаж системных процессов (может кто-то помнит мультик "Валиант" — теперь мы та самая мышь)
➖ Кража учетных данных (ssh делает бррррр)

💬 Итоги поста

Ну вот, вы только что узнали о Tetragon — инструменте, который, вероятно, знает о вашем кластере больше, чем вы сами (а может и не только о кластере, но и о вас 😈). Да, потому что мониторинг в реальном времени, отслеживание системных вызовов и контроль сетевых соединений — это, конечно, то, о чем вы всегда мечтали. Забудьте о спокойных ночах и расслабленных выходных, теперь вы будете наслаждаться бесконечными отчетами и политиками безопасности. Впрочем, что ещё делать людям из SOC-а.

А если серьезно, то давайте посмотрим правде в глаза: вам придется разбираться с кучей конфигураций и политик, чтобы получить ту самую защиту, которую обещают разработчики.

Думайте, прежде чем ставить)
#devsecops #blueteam #redteam #бредниавтора