Занимательные данные подметил в выступлении про
BugBounty программу у моего хорошего товарища, руководителя группы безопасности бизнес-юнита MailRu. Особенно это будет интересно тем, кто все риски и угрозы хочет сразу привести в денежный эквивалент (ну, то есть всем).
И так в выплатах за
RCE уязвимости можно увидеть 2 строчки:
-
Remote code execution (RCE) ценой
$40000
-
RCE in standalone isolated/virtualized single-purpose process (e.g. image conversion) ценой
$7500
Разница очень ощутимая - в
5,3 раза меньше!
Как я надеюсь вы уже догадались, во вторую категорию попадают
RCE, которые проводит атакующий внутри контейнеров (
Pod'ов
Kubernetes) в случае корректно настроенных контролей. Все это по той логике, что навесить разных механизмы харденинга, изоляции, мониторинга в среде
k8s заметно проще, чем на
bare metal. В совокупности с микросервсисной архитектурой и использованием малых доменов доверия это позволяет строить инфраструктуру по принципам близким к идеям
Zero Trust.
С очень нехитрой математикой по крайней мере на данном частном примере можно представить себе какой выигрыш для ИБ дает
k8s с его
NetworkPolicy, seccomp/AppArmor/SeLinux профилями,
Admission Controllers (тут вспоминаем про
policy engines) и т.д.
Но также хочу отметить, что при слабой конфигурации
workload в
K8s сделать
container escape можно и вообще без уязвимостей - так что внимательно следите за их ресурсами.
P.S.
Почти аналогичный подход можно встретить и в
BugBounty Google Chrome, где есть разделение:
-
Sandbox escape / Memory corruption in a non-sandboxed process
-
Renderer RCE / memory corruption in a sandboxed process
