Uno dei fenomeni in crescita nelle tecnologie cloud è quella dei software container. Una tecnologia che consente di gestire con la massima efficienza e versatilità qualsiasi tipo di servizio cloud e che, di conseguenza, è diventato un vero e proprio standard per le aziende. Come accade spesso, però, le nuove tecnologie aprono la strada a nuovi rischi a livello di cybersecurity. Ecco quali sono i principali rischi e le strategie per contrastare gli attacchi che prendono di mira i software container.
Versatili, autonomi e… vulnerabili
Un software container, in pratica, è uno strumento di virtualizzazione estremamente semplificato. A differenza delle macchine virtuali, che richiedono la presenza di un intero sistema operativo per funzionare, i container creano un ambiente isolato ed estremamente “leggero” che permette di impacchettare un’applicazione e caricarla su un server per utilizzarla in qualsiasi ambito.
Come tutte le tecnologie cloud, i container offrono innumerevoli vantaggi, a partire dalla possibilità di duplicarli per finire con la facilità di gestione attraverso strumenti di controllo remoti. Come tutte le tecnologie cloud, però, questa facilità di utilizzo si riverbera su un aumento del rischio che le impostazioni dei container stessi non rispettino i canoni che permettono di garantirne la sicurezza.
In particolare, la cronaca recente ha riportato numerosi casi di attacchi informatici che hanno sfruttato errori nelle impostazioni di accesso, utilizzando i servizi esposti su Internet per iniettare codice malevolo nei container stessi. In altre parole: stiamo assistendo a una fase in cui gli strumenti di virtualizzazione vengono usati con una “leggerezza” che mette a rischio sia la continuità dei servizi, sia l’integrità dei dati aziendali.
Un bersaglio perfetto per i pirati
Oltre a offrire la possibilità di “alleggerire” i sistemi cloud, i software container possiedono un’altra caratteristica: hanno un livello di compatibilità decisamente più elevato rispetto alle tradizionali applicazioni inserite nelle macchine virtuali. Questo consente a sviluppatori e amministratori IT di utilizzare pacchetti già pronti e implementarli con estrema facilità in qualsiasi ecosistema.
La loro standardizzazione, però, rappresenta un vantaggio anche per i pirati informatici, che possono sfruttare eventuali vulnerabilità per portare attacchi “in serie” o mettere a punto worm (malware in grado di diffondersi autonomamente) per attaccare intere piattaforme. La cronaca recente ha visto attacchi di questo genere prendere di mira piattaforme di virtualizzazione come Docker e Kubernetes, sfruttando vulnerabilità nelle piattaforme stesse che hanno consentito ai cyber criminali di colpire migliaia di bersagli con il minimo sforzo.
L’estrema granularità dei container, che spesso vengono utilizzati per eseguire microservizi attraverso una logica che permette di creare le applicazioni in maniera modulare, rappresenta poi un perfetto paravento per le attività del codice malevolo installato, che ha molte più probabilità di passare inosservato ai sistemi di controllo tradizionali.
Attenzione alla gestione degli accessi
Al di là delle vulnerabilità a livello software, che possono essere mitigate attraverso rigorose policy di patch management, una delle falle più comuni riguarda la gestione degli accessi e, in particolare, l’utilizzo di credenziali deboli o di chiavi private non conformi agli standard.
Un problema che è spesso generato da semplici errori umani o dall’inadeguatezza delle policy nella gestione degli accessi e che apre la strada alla possibilità che i pirati informatici possano compromettere i container anche attraverso semplici attacchi basati su tecniche di brute forcing. Allo stesso modo, gli esperti di sicurezza hanno recentemente lanciato l’allarme sulla disinvoltura con cui vengono realizzate le API (Application Programming Interface) utilizzate per far dialogare i container. In particolare, molte delle API utilizzate dalle aziende trasmettono troppe informazioni rispetto a quanto sarebbe necessario e consentirebbero ai cyber criminali di avvantaggiarsene nella pianificazione degli attacchi. In questo scenario, uno degli strumenti più efficaci per contrastare eventuali attacchi, al di là di uno sviluppo ispirato al principio della security by design, è quello di implementare sistemi di monitoraggio del traffico laterali e orizzontali tra i container e i livelli della piattaforma.
Il rischio degli attacchi supply chain
Se la disponibilità di container pronti per l’uso rappresenta una grande comodità, questa forma di “condivisione” apre la strada ai cosiddetti attacchi supply chain che prendono cioè di mira la filiera di sviluppo delle applicazioni per massimizzare l’effetto dell’attacco. Un fenomeno in crescita, che vede i pirati informatici puntare a compromettere i repository o gli stessi strumenti software utilizzati dagli sviluppatori dei container per colpire, a cascata, tutte le installazioni che utilizzano il container compromesso. La soluzione, in questo caso, richiede un controllo granulare dei container utilizzati e l’adozione di un team delegato alla cyber security che, oltre a gestire il monitoraggio attraverso sistemi SIEM (Security Information and Event Management) utilizzi strumenti di threat intelligence in grado di individuare tempestivamente eventuali campagne malware a livello supply chain.
