Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware

O Kubernetes não está imune ao ransomware — e como o Illumio pode ajudar

Christer Swartz
,
Diretor de marketing de soluções
September 5, 2023
5 leitura mínima

Ransomware não é um problema no Kubernetes, certo? Contentores as construções são tão dinâmicas e efêmeras que há pouco risco de que o ransomware tenha tempo de roubar um pod, por exemplo, e depois tentar propagar lateralmente cargas maliciosas entre namespaces. Os pods giram e diminuem de forma tão dinâmica que o ransomware é pouco preocupante no Kubernetes, portanto, meu cluster está protegido contra essa ameaça específica de segurança cibernética, certo?

Infelizmente, essa suposição foi provada errada muitas vezes. O ransomware tende a funcionar de forma diferente no Kubernetes do que fora dos clusters de contêineres, mas é um risco de cibersegurança muito real que os arquitetos do DevSecOps não podem se dar ao luxo de ignorar. O ransomware pode causar danos muito reais em um cluster Kubernetes, e a melhor forma de remediação é a prevenção.

O Illumio pode impedir que o ransomware sequestre seu cluster Kubernetes, impedindo que sua organização seja a próxima vítima de ataque cibernético a aparecer nas notícias.

Como o ransomware se propaga no Kubernetes

Em cargas de trabalho que não são de contêineres, o ransomware sequestra um host e depois procura portas abertas. As portas comuns que estão abertas por padrão em muitas cargas de trabalho são RDP, SSH e SMB. É trivial que o ransomware falsifique as conexões por essas portas e estabeleça uma conexão com um host vizinho. Depois que a conexão é aberta, o ransomware pode ser entregue rapidamente carga maliciosa para o próximo host, assuma o controle dele e procure portas abertas, repetindo esse processo em todos os hosts vizinhos muito rapidamente.

O ransomware adora se mover. Depois que o ransomware entra na rede, ele pode se espalhar lateralmente rapidamente.

Essa propagação entre hosts pode acontecer mais rápido do que a maioria das soluções de proteção de detecção e resposta a malware consegue identificar e responder. Em pouco tempo, toda a infraestrutura pode ser tomada como refém.

No Kubernetes, os hosts — também conhecidos como “nós” — são máquinas virtuais (VMs) ou hosts bare-metal que executam código de contêineres. Eles criam uma camada de abstração acima do sistema operacional (SO) subjacente do nó. Um cluster é criado quando pods e serviços são associados a um namespace, e esse namespace contém todo o código e as bibliotecas exigidos pelo aplicativo executado nele. As construções em um namespace são dinâmicas: à medida que os recursos de computação são dimensionados horizontalmente, os pods são ativados e executados pelo código e, em seguida, podem ser rapidamente desativados novamente, apenas para serem reativados posteriormente com um endereço IP diferente.

A vida útil de um pod pode ser muito breve, e a maioria dos pods não executa portas abertas, como RDP ou SSH. Isso ocorre porque os pods não tendem a usar esses protocolos para se comunicar com outros pods. Assim, o ransomware é frequentemente percebido como sendo de pouca relevância dentro de um cluster.

O ransomware é uma grande ameaça no Kubernetes

No entanto, ransomware pode rapidamente se tornar um desastre cibernético em um cluster Kubernetes. Códigos maliciosos podem ser introduzidos no início do ciclo de vida de desenvolvimento do código, mas não podem ser detectados porque ainda não estão em execução. Cargas maliciosas também podem ser introduzidas em um cluster Kubernetes por meio de APIs expostas, configurações de autenticação fracas, software não corrigido ou talvez o risco mais comum: configurações mal configuradas.

As ameaças cibernéticas podem ser introduzidas em qualquer parte da cadeia de suprimentos de software. Por exemplo, se a imagem de um contêiner for baixada de um repositório de código aberto e executada em um cluster, essa imagem poderá conter código incorporado que pode ser executado e “escapar” de um pod para o nó subjacente. Em seguida, ele implantará o ransomware nesse nó subjacente. Nesse ponto, o ransomware pode sequestrar esse nó e estabelecer conexões por meio de portas abertas com os nós vizinhos, permitindo que a ameaça sequestre ou criptografe rapidamente todos os nós subjacentes que hospedam o cluster Kubernetes.

Isso pode fazer com que os aplicativos em execução nos nós de trabalho fiquem “bloqueados” — efetivamente desligados. Se o código escapar para um nó principal subjacente, o plano de controle do cluster Kubernetes poderá ser sequestrado e correrá o risco de bloquear todo o cluster. Um pequeno problema introduzido no início do ciclo de vida de desenvolvimento do código pode rapidamente se tornar um grande desastre.

Um exemplo desse tipo de malware é Paisagem de silos, descoberto em março de 2021. Ele usa vulnerabilidades em processos de thread pouco documentados para acessar o nó subjacente e, em seguida, é capaz de acessar o kubectl para executar comandos que se espalharão para os nós vizinhos. Esse é um exemplo claro de por que o plano de controle dos nós do Kubernetes precisa ser protegido e o acesso limitado por outros processos. O Illumio é capaz de impor o acesso a processos específicos em um host, limitando quem tem acesso a eles.

O Illumio pode se proteger proativamente contra ransomware no Kubernetes

Illumio impõe a comunicação da carga de trabalho dentro de um cluster Kubernetes e do nó subjacente.

Dentro de um cluster Kubernetes, O Illumio reforçará a comunicação entre namespaces ou entre namespaces e cargas de trabalho fora de um controlador de entrada, evitando a comunicação desnecessária entre cargas de trabalho. Ao contrário de outros fornecedores, a visibilidade e a fiscalização da Illumio se estendem por toda a superfície de ataque híbrida, não apenas aos contêineres, permitindo que as equipes de SecOps eliminem os silos de políticas e estendam as operações existentes em contêineres, melhorando a resiliência cibernética.


O mapa de dependência de aplicativos da Illumio fornece visibilidade em clusters e ambientes de nuvem.

Entre os nós subjacentes, O Illumio também reforçará a comunicação para que, se um código malicioso desconhecido escapar do cluster Kubernetes e descer para o nó, esse código malicioso seja impedido de se propagar para qualquer nó vizinho. Isso é possível porque o Illumio impede que sessões sejam estabelecidas entre esses nós. Como a Illumio presume que as violações são inevitáveis, mesmo com ameaças introduzidas no início da cadeia de suprimentos de software, os clusters Kubernetes são protegidos contra ransomware com a intenção de interromper a infraestrutura subjacente.

Como segurança shift-left no Kubernetes com Illumio

Em cibersegurança, shift-left se refere à introdução de soluções de segurança no início do ciclo de vida de desenvolvimento de código:

  • O lado direito do ciclo de vida representa hospedar o código como um aplicativo e implantar um firewall na frente dele.
  • O lado esquerdo representa o nascimento desse código à medida que ele é desenvolvido.

Se alguma carga de trabalho gerenciada contiver uma ameaça desconhecida incorporada ao código que posteriormente é iniciada e tenta se espalhar para os hosts vizinhos, a Illumio evitará que essa ameaça se espalhe.

Isso é verdade mesmo sem que Illumio saiba a intenção dessa ameaça. A maioria das soluções de segurança de detecção e resposta tenta entender a natureza de uma ameaça antes de tomar uma decisão. Mas a Illumio não perde tempo tentando entender isso antes de tomar uma decisão. A quantidade de comunicação lateral exigida pela maioria das cargas de trabalho é limitada, e a maioria das portas abertas deve ser fechada ou monitorada continuamente. Os dispositivos podem ser colocados em quarentena e o Illumio pode impedir toda comunicação lateral sem precisar saber que tipo de dano está sendo tentado.

O Kubernetes nunca deve ser considerado imune ao ransomware. A prevenção é a melhor forma de remediação, e o Illumio impede que o ransomware infecte todas as cargas de trabalho, mesmo no Kubernetes.

Quer saber mais sobre como a Illumio pode proteger o Kubernetes da disseminação do ransomware? Entre em contato conosco hoje para uma consulta e demonstração gratuitas.

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware
Contenção de ransomware

Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware

Obtenha informações sobre a criação de redes seguras contra a propagação de ataques de ransomware.

Leia mais
Os ataques de serviços públicos estão se tornando mais disruptivos: o que as operadoras podem fazer
Contenção de ransomware

Os ataques de serviços públicos estão se tornando mais disruptivos: o que as operadoras podem fazer

Saiba como os ataques às concessionárias estão mudando e as cinco estratégias que as operadoras podem usar para mitigar as ameaças atuais.

Leia mais
Contenha o ransomware em sua origem com a segmentação Zero Trust
Contenção de ransomware

Contenha o ransomware em sua origem com a segmentação Zero Trust

Saiba por que a ameaça do ransomware é tão crítica e como conseguir a contenção do ransomware com a segmentação Zero Trust.

Leia mais
Como a Illumio cria segurança coesa para contêineres
Segmentação Zero Trust

Como a Illumio cria segurança coesa para contêineres

Saiba como a Illumio aplica políticas de segurança e oferece visibilidade completa em todos os ambientes, tudo em uma única plataforma.

Leia mais
A E/S do cluster Kubernetes é uma grande bagunça, mas a ajuda está a caminho
Resiliência cibernética

A E/S do cluster Kubernetes é uma grande bagunça, mas a ajuda está a caminho

Saiba mais sobre a proliferação de E/S do cluster Kubernetes e os esforços que estão sendo feitos para simplificar o cenário.

Leia mais
100% na nuvem? Você ainda precisa da segmentação Zero Trust
Segmentação Zero Trust

100% na nuvem? Você ainda precisa da segmentação Zero Trust

Saiba por que estar 100% na nuvem não nega a necessidade de contenção de violações com a segmentação Zero Trust e como a Illumio pode ajudar.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais