کمتر از نیمی از آسیب‌پذیری‌های موجود در تصاویر Docker container خطرناک هستند

شرکت امنیت ابر Rezilion برخی از محبوب‌ترین تصاویر Docker container را تجزیه و تحلیل کرده و کشف کرده است که با این‌که آن‌ها دارای آسیب‌پذیری‌های بسیاری هستند، اما کمتر از نیمی از این آسیب‌پذیری‌ها خطر واقعی دارند.

پژوهش‌گران Rezilion حدود ۲۰ مورد از محبوب‌ترین تصاویر container میزبانی‌شده در DockerHub، بزرگ‌ترین کتابخانه‌ی تصاویر container، را تجزیه و تحلیل کرده‌اند. تصاویری که آن‌ها بررسی کرده‌اند بین ۵۰ میلیون تا یک میلیارد بار بارگیری شده‌اند.

هر container با استفاده از اسکنر آسیب‌پذیری Vuls که در مجموع ۱۸۰۰ حفره‌ی امنیتی شناخته‌شده را کشف کرد، اسکن شد. پس از شناسایی بسته‌های حاوی هر کدام از این آسیب‌پذیری‌ها، برای تعیین این‌که کدام فایل‌ها در حافظه بارگذاری شده‌اند، اجرا شدند.

این تجزیه و تحلیل نشان داد که بسته‌های حاوی ۶۰ درصد از آسیب‌پذیری‌های شناسایی‌شده هرگز بارگیری نشدند بنابراین خطری ایجاد نکردند.

مدیر ارشد فناوری Rezilion بیان کرد که از دستورات اجرایی پیشنهادشده برای هر container استفاده شد و بسته به نوع پیکربندی تعداد مؤلفه‌های آسیب‌پذیر بارگذاری‌شده در حافظه ممکن است بالاتر یا پایین‌تر باشد. بااین‌حال وی بیان کرد که اطلاعاتی که آن‌ها با استفاده از پیکربندی‌های غیر پیش‌فرض از مشتریان خود جمع‌آوری کرده‌اند نشان می‌دهد که در بسیاری از موارد، میزان کدی که بارگذاری نشده است بالاتر از چیزی است که آن‌ها در مطالعه‌ی خود یافته‌اند.

Rezilion تجزیه و تحلیل خود را دوبار انجام داد، یک بار در ماه نوامبر سال ۲۰۱۹ میلادی و یک بار در ماه فوریه‌ی ۲۰۲۰ میلادی. بررسی انجام‌شده در ماه فوریه نشان داد که ۶۷ درصد از آسیب‌پذیری‌هایی که براساس امتیازهای CVSS با شدت بالا ارزیابی شدند، هرگز در حافظه بارگذاری نشدند و در ماه نوامبر این رقم ۷۵ درصد بود.

Rezilion تشریح کرد که شناسایی مؤلفه‌های آسیب‌پذیر نصب‌شده مشخص نمی‌کند که کدام بخش‌های کدها از آن‌ها استفاده می‌کند. نظارت بر این‌که کدام کتابخانه‌ها واقعاً در زمان اجرا بارگذاری می‌شوند، رویکرد درستی برای اولویت‌بندی موفقیت‌آمیز آسیب‌پذیری‌ها است.

به‌گفته‌ی Rezilion رویکرد صحیح درباره‌ی مدیریت آسیب‌پذیری‌ها، استفاده از استراتژی Continuous Adaptive Risk and Trust Assessment (CARTA) گارتنر است که در آن تصمیم‌ها و پاسخ‌های امنیتی براساس خطر و اعتماد اتخاذ می‌شود و به‌طور مداوم با آموخته‌های حاصل‌شده از هر تعامل تطبیق می‌یابد.

Rezilion در مورد containerها بیان می‌کند که یک استراتژی CARTA شامل تشخیص اهمیت و حساسیت کسب‌وکار برای خدمات استفاده‌شده در تولید، شناسایی آسیب‌پذیری‌هایی که در آن‌ها اجرا می‌شوند، اولویت‌بندی آسیب‌پذیری‌هایی که هیچ دفاع یا کنترلی ندارند و اولویت‌بندی آسیب‌پذیری‌هایی است که معمولاً توسط نفوذگران و بدافزارها هدف قرار می‌گیرند.

مدیرعامل Rezilion بیان کرد که مسأله جمع‌آوری داده نیست، زیرا چندین ابزار رایگان در دسترس است که می‌توان از آن‌ها برای این هدف استفاده کرد. وی تشریح کرد که برای هر سیستم عاملی انواع مختلفی از فناوری‌های دقیق مانند tracepoints، ftrace، SystemTap، Dtrace وجود دارد. مشکل موجود جمع‌آوری داده نیست، بلکه ادغام بین سرعت زیاد داده‌های زمان اجرا با آن چیزی است که توسط توسعه‌دهندگان جلو برده می‌شود و انجام این کار بدون خودکارسازی بسیار خسته‌کننده‌ی و پیچیده است.

منبع

پست‌های مشابه

Leave a Comment