Иван Пискунов, независимый эксперт: Кибербезопасность – это не конечный результат, а постоянный процесс

Иван Пискунов, специалист по информационной безопасности, автор книг, образовательных курсов и научных статей, ИБ-евангелист и блогер, рассказал порталу Cyber Media о специфике обеспечения кибербезопасности в Kubernets, особенностях карьеры в ИБ и значимости кибербезопасности в современном мире.

Валерий Иванов, Cyber Media: Расскажите, пожалуйста, о вашей биографии и о том, как вы заинтересовались областью безопасности Kubernetes?

Иван Пискунов: Я 15 лет в кибербезопасности, у меня профильное высшее образование, несколько сертификационных курсов обучения по различным технологиям и продуктам ИБ, я прошел путь от техника средств защиты информации до CISO. Также я занимался два года частной практикой – в качестве внешнего специалиста по ИБ меня привлекали российские и иностранные компании МСП. С 2020 года я занимаю пост security ops в компании-разработчике ПО с использованием технологий блокчейна. Компания использует передовые технологии, вся инфраструктура располагается в облаке, используется микросервисная архитектура, технологии контейнеризации и автоматизированного конвейера. Изначально я пришел в компанию под задачи обеспечения безопасности микросервисной архитектуры для флагманского продукта – финансовой биржи, которая потом предоставлялась для всех клиентов, юридических и физических лиц. Сейчас я активно занимаюсь обеспечением безопасности кода и продуктовой среды (production environment) Kubernetes.

Я активно погружаюсь в вопросы, связанные с безопасностью микросервисов и в частности кластера Kubernetes. Первые мои изыскания об основных атаках и средствах защиты Kubernetes вышли в мини-цикле статей в журнале Хакер. Накопив достаточно знаний в этой области, я выпустил книгу, которую назвал «Безопасность Kubernetes. Гид для начинающих от нуля до героя». В ней я собрал всю квинтэссенцию своих знаний и умений по безопасности Kubernetes, накопленную за несколько лет. Помимо этого же я периодически выкладываю свои авторские статьи в свой блог на Medium-платформе.

Валерий Иванов, Cyber Media: Что вы считаете наиболее критичными проблемами и уязвимостями в области безопасности Kubernetes на сегодняшний день?

Иван Пискунов: К сожалению, все технологии не безупречны. Всегда есть непреднамеренные ошибки в коде, всегда есть человеческий фактор. Поэтому и кластер Kubernetes с точки зрения безопасности имеет свои недостатки. Наиболее типичные проблемы связаны с:

недостаточным контролем доступа и селекцией привилегий (Access Control & Privilege Escalation);
недостаточным мониторингом аномального поведения (Insufficient Logging and Monitoring);
дефолтными конфигурациями и небезопасно сконфигурированными сервисами (Security Misconfigurations & Default Configurations).

Еще бы я выделил неэффективное управление секретами (Improper Secrets Management) и недостаточную легитимность используемых образов и связанных с ним публичных хранилищ (Compromised Container Images & Registries). И отдельно можно добавить вопросы безопасности, связанные уже с работающим приложениями в контейнерах (Runtime Threats), здесь не только про Kubernetes, площадь атаки здесь шире, но тоже очень существенно и в целом относится к нашей теме.

Валерий Иванов, Cyber Media: Как автор книги «Безопасность Kubernetes: Руководство для начинающих от нуля до героя», не могли бы вы дать нам обзор ключевых концепций и практических стратегий, освещенных в вашей книге?

Иван Пискунов: Моя книга посвящена всем ключевым аспектам и самым важным концепциям в безопасности Kubernetes. Я собрал информацию из большого количества источников, основой которых были рекомендации самого вендора (компания Google), открытого комьюнити OWASP, фонда Cloud Native Computing Foundation, а также лучших мировых практик (NIST-800 standards, CIS Benchmarks) и частных рекомендаций от компаний специализирующихся на защите облаков и Kubernetes кластера в частности – Aqua Cloud, Palo Alto, SysDig, Falco, Snyk.

В книге рассмотрены все основные домены, образующие безопасность Kubernetes, а именно авторизация и аутентификация (Authentication, Authorization) включая ролевые модели управления доступом (RBAC), управление безопасностью конфигураций (OPA), логирование и мониторинг (Audit and Logging), настройка сетевых политик (Network policy), усиления защищенности ворклодсов (Secure configuration of workloads), безопасность использования образов (Secure image development) и харденинг основных нативных опций (System hardening).

Стратегия проста – следовать best practices, внедрять в процессы разработки средства безопасности и постоянно следить за новостями в мире кибербезопасности, чтобы держать руку на пульсе и оперативно реагировать на новые вызовы и найденные уязвимости.

Валерий Иванов, Cyber Media: Как вы следите за последними событиями и новыми тенденциями в области безопасности Kubernetes? Есть ли какие-то конкретные ресурсы или сообщества, на которые вы опираетесь?

Иван Пискунов: В моих персональных закладках в браузере с десяток основных информационных сайтов и специализированных хакерских ресурсов, где я черпаю новости, узнаю тренды, читаю об уязвимостях ПО и новых технологиях защиты. На еженедельной основе я просматриваю все ресурсы, чтобы быть в курсе новостей и иметь возможность оперативно реагировать на новые вызовы. Время очень критичный фактор в ИТ-технологиях, так что нужно быть на пике и постоянно готовым к каким-то изменениям.

Среди моих закладок есть российские ресурсы, например, лента новостей Хакера, портал SecurityLab, сайты CNews, ветка ИБ в Хабре, блоги известных компаний выпускающих отечественное продукты ИБ, а также ряд иностранных англоязычных ресурсов. Отдельное место занимают тематические блоги и подкасты компаний, специализирующихся на облачной безопасности и продуктах нацеленных на Kubernetes – Aqua Cloud, SysDig, Red Hat, Snyk.

Валерий Иванов, Cyber Media: Каковы, на ваш взгляд, наиболее распространенные заблуждения или недопонимания в отношении безопасности Kubernetes, и как вы их решаете?

Иван Пискунов: Первое, многие верят, что есть абсолютная безопасность. Это миф. Всегда есть, например, уязвимости 0-дня (zero day) или угрозы, которые нельзя выявить до момента их возникновения, какие бы уровни защиты вы не создали. Второе, что безопасность – это не конечный результат, а прежде всего процесс с постоянным течением. Нельзя раз закупить средства защиты, настроить и забыть о них. Нужно постоянно повышать квалификацию, прокачивать свой скилл, быть в курсе новостей и трендов, применять передовые технологии защиты. Поэтому важна команда профессионалов – один инженер мало чего добьется, но вот коллаборация, работы команды, а безопасность как цель дают свои эффекты, продукт получается не только удобным и функциональным, но также безопасным для конечного пользователя.

Еще одно заблуждение в том, что безопасность как бы зависит от человеческого фактора. Иногда, к сожалению, предсказать, откуда придет угроза, просто невозможно. Поэтому всегда нужно работать превентивно, на шаг вперед.

Валерий Иванов, Cyber Media: Можете ли вы поделиться примерами реальных сценариев, в которых использовались уязвимости безопасности Kubernetes, и как эти ситуации можно было предотвратить?

Иван Пискунов: Да, приведу пример популярного кейса – уязвимость Dirty Cow (CVE-2016-5195). В уязвимом ядре Linux, злоумышленник мог применить exploit (код выполняющий эксплуатацию какой-либо программной уязвимости) и, соответственно, c привилегиями супер-администратора (root в Linux) сбежать из контейнера на хостовую систему, а на хостовой системе с полученными привилегиями администратора просмотреть ресурсы, внедрить какой-то бэкдор и потом удаленно подключаться к кластеру и, к примеру, перехватывать сетевой трафик, либо изменять какие-то данные, либо похищать секреты, которые там используются, передаются, возможно, не зашифровано.

На самом деле вариантов довольно много, порой даже не знаешь какой риск наиболее актуален, ведь злоумышленники никогда не спят, идет постоянное соревнование «кто – кого». В целом, могу назвать несколько типовых сценариев взлома в общих чертах:

использование небезопасных конфигураций и дефолтных профилей безопасности, например того же Etcd или Admission Controller;
компрометация образов, внедрение вредоносного ПО и модифицированных библиотек в контейнер;
эксплуатация уязвимостей ядра Linux (CVE), позволяющих выполнить DOS-атаку (отказ в обслуживании) эскалировать привилегии до уровня суперпользователя (root в Linux), «сбежать» на хост, где запущены контейнеры и т.д.

Ну, а что касается примеров взлома, их я более подробно описал в своей книге в самом первом разделе, чтобы подчеркнуть важность вопросов безопасности и актуальность темы. Если кратко, то можно сказать, что где-то с 2017 года в мире прогремело несколько брутальных инцидентов, после которых общество пристально обратило внимание на безопасность именно облачной среды и Kubernetes, в частности, а именно:

И это только верхушка айсберга, так как это самые громкие случаи, которых скрыть не удалось. А сколько взломов и утечек данных в частных облаках о которых мы просто не знаем. Если что-то случилось и это можно скрыть, то, как правило, так и поступают, ведь такие инциденты очень сильно вредят репутации больших компаний.

Валерий Иванов, Cyber Media: Вы внесли свой вклад в сообщество разработчиков открытых исходных кодов в рамках таких проектов, как инструмент аудита и усиления Kubernetes на GitHub. Не могли бы вы рассказать нам подробнее об этих проектах и их значении для повышения безопасности Kubernetes?

Иван Пискунов: Мои проекты – это личная инициатива, я начинал их, когда активно погружался в вопросы облачной безопасности, когда сам обучался, много читал и практиковался. Изначально я планировал использовать их только для себя, в рабочих целях, но потом понял, что таких, как я – может оказаться довольно много и есть смысл поделиться наработками.

Первый проект – это консольная утилита безопасности, которая проводит экспресс аудит и в текстовом режиме выводит информацию о состоянии базовых параметров безопасности Kubernetes. За базу я взял уже существующий скрипт, сделал форк – добавил функционала, внедрил псевдо-графическое меню, оставил комментарии к каждому контролю. В результате, за пару минут можно получить сведения о security level своего Kubernetes кластера и начать накидывать план по его усилению.

Второй проект – это скрипт харденинга (усиления безопасной путем включения нативных опций) для ОС Linux. Скрипт доступен здесь. Он проводит сканирование системы и переводит все небезопасно выставленные опции в состояние безопасной конфигурации. А можно просто провести аудит параметров ИБ операционной системы и ничего не менять, а просто с ними ознакомиться, выбор на эксперте.

Третий проект – это набор скриптов под разные задачи для работы c AWS инфраструктурой. Не плохо экономит время и нервы, что достигается это за счет автоматизации рутинных повседневных задач.

Валерий Иванов, Cyber Media: Как вы подходите к обучению и подготовке других людей в области безопасности Kubernetes?

Иван Пискунов: В компанию мы нанимаем инженеров, которые уже имею опыт работы с Kubernetes и инструментами безопасности. У нас есть своя библиотека свежих книг по выбранной тематике, а также подписки на различные обучающие платформы как-то Udemy, Pluralsight и тренинговые порталы, где можно выбирать необходимой обучающий курс.

Помимо этого в Confluence ведется корпоративная база знаний, куда мы складываем весь опыт решения задач, связанных с вопросами кибербезопасности. Если говорить вообще в целом о подготовке спецов в области кибербеза, то это конечно самостоятельная работа – пара десятков must have книг, бесконечное количество прочитанных статей из технического блога, просмотры демонстраций на YouTube, общение на профильных площадках типа StackOverflow, ну, и конечно же практика, практика, практика, пускай и на учебных стендах.

Валерий Иванов, Cyber Media: Есть ли какие-то конкретные стратегии или методы, которые вы считаете эффективными для того, чтобы помочь новичкам разобраться в сложностях этой области?

Иван Пискунов: Постоянно учиться – это основной совет. Много читать, прежде всего профильные книги, например от западных издательств O’Railly, No Starch Press, из русскоязычных это БХВ-Питер и ДМК Пресс, изучать тематические блоги, сайты, новостные порталы.

Общаться с коллегами по индустрии, это позволяет перенимать новый опыт и позванивать вещи, которые никогда в открытых источниках информации не найдешь. И, если ты новичок, то стартовать с домашней лаборатории, эмулятора Kubernetes что бы отработать команды, понимание взаимодействия элементов. А дальше переходить к специализированным уязвимым образам (виртуальным машинам), вроде Kubernetes Goat, и смотреть выступления хакеров на крупных эвентах из списка Black Hat USA, DefCom, RSA Conference, DevSecOps Talks и тому подобных.

Валерий Иванов, Cyber Media: Каким было ваше самое значительное достижение или вклад в индустрию информационной безопасности, особенно в области безопасности Kubernetes?

Иван Пискунов: Трудно сказать однозначно. Если говорить в целом об ИБ-индустрии, то я много лет являюсь блогером, на данный момент у меня более 8 500 подписчиков в телеграм канале w2hack, где я с 2018 года публикую авторский контент. А начинал я с площадки Blogspot еще в 2016 году, вел колонку на SecurityLab. Я Евангелист ИБ, человек, который проповедует ИБ идеи и концепты, радеет за повсеместное внедрение технологий безопасности, признает приватность данных и право на защиту своей конфиденциальности. Помимо этого у меня 2 года стажа преподавания в университетах – год в Иркутском ВУЗе, откуда я сам родом и в Московском Политехе, где я предавал знания и свой опыт студентам, молодому поколению. Студентам или просто людям, которые пришли обучаться на простых, понятных примерах. Я рассказываю о безопасности и, самое главное, даю практические знания, которые они могут применить в дальнейшем.

Многие из моих бывших учеников сейчас мои коллеги! Помимо этого на моем счету несколько авторских учебных курсов, которые я сам лично готовил, запускал и в большинстве своем вел как лектор. За несколько лет в Москве мне удалось посотрудничать с такими крупными центрами и образовательными компаниями как «Академия АйТи», платформа SkillBox, онлайн курсы в OTUS, израильская школа HackerU. Отдельную гордость составляет запуск курса «Этичных хакер для детей» в Coddy School в 2018 году для детей 10 – 14 лет в период школьных каникул.

Если говорить про Kubernetes, то конечно же, это мини-цикл статей в журнале Хакер в 2019 – 2020 годах, выход моей англоязычной книги «Безопасность Kubernetes: Руководство для начинающих от нуля до героя», в 2021 году, блог на площадке Medium, ну и личный проект на GitHub утилиты, которая проводит экспресс аудит безопасности кластера и выдает отчет. Проект хоть и давно не обновляется, у меня просто не хватает времени его развивать, но распространяется как open sources под GPL лицензией и может использоваться любыми экспертами и энтузиастами.

Валерий Иванов, Cyber Media: Заглядывая в будущее, каким вы видите будущее безопасности Kubernetes? Есть ли какие-то новые технологии или практики, которые, по вашему мнению, будут определять ландшафт?

Иван Пискунов: Наиболее вероятно предугадать какие-то тенденции только на пару кварталов или максимум год вперед. ИТ отрасль сильно меняется, появляются новые продукты, технологии, фреймворки, а вместе с ним новые угрозы, риски и вызовы безопасности. В целом, Kubernetes и его сопутствующие компоненты будут зависеть от тренда в мире разработки ПО, от того что нового может появиться. Ведь, когда-то и сам Kubernetes в начале 2010-х годов был революционной вещью, а сегодня это стандарт отрасли.

Считаю, что количество вызовов со временем будет расти, ровно, как и будут развиваться новые технологии защиты и аудита безопасности. К, примеру, активно будут стартовать продукты построенные на eBPF, а так же вижу тесную интеграцию DevSecOps инструментов с SRE подходом и продуктами.

Я думаю, будет рост уязвимости программного обеспечения, использования закладок в программном обеспечении и неправильное использование конфигурации. Это будут, наверное, ключевые проблем, которые могут представлять какой-то дискомфорт именно в плане безопасности. Чтобы всё это нивелировать и максимально защититься компании будут искать узких специалистов под облачную безопасность, под безопасность кластера Kubernetes.

Интервью взял редактор портала Cyber Media Валерий Иванов