Репортаж с PHDays Fest 2: как обеспечить мониторинг инцидентов в микросервисной архитектуре

24 мая на международном киберфестивале Positive Hack Days директор USSC-SOC Константин Мушовец выступил с докладом «Безопасность в кубе. Как обеспечить мониторинг инцидентов в микросервисной архитектуре». Тема мониторинга инцидентов в контейнерных средах становится все более актуальной

Наверное, ни одна компания-разработчик не обходится без применения контейнерных технологий, особенно при разработке приложений, когда нужно постоянно совершенствовать, развивать программный продукт, добавлять в него новые функции и модули. Ключевая особенность микросервисной архитектуры заключается в том, что она очень динамичная, постоянно находится в состоянии изменений.

Соответственно, становятся все более актуальными вопросы защиты инфраструктур с микросервисной архитектурой. Несмотря на то, что контейнерные технологии применяются в России с 2018 года, в них все еще достаточно много темных мест и нерешенных задач. Одна из них – это как раз задача организации оптимального по трудозатратам и эффективного мониторинга инцидентов.

Статистика показывает, что, как и в случае с развитием любых новых технологий, срабатывает типовой сценарий: развитие компетенций по обеспечению информационной безопасности отстает от темпов масштабирования этой технологии. 

И относительная новизна этой технологии, и ее особенности способствуют тому, что остается высокий процент вероятности пропустить какую-то критичную уязвимость и дать злоумышленнику шанс начать атаку на инфраструктуру.

«Конечно, в связи с повышенным риском мониторинг инцидентов в микросервисной архитектуре нужен — рекомендации и инструменты для его настройки есть. Есть два основных подхода к мониторингу: можно собирать события встроенным функционалом, отправлять их на SIEM и уже там выявлять алерты, либо использовать специализированные средства мониторинга и отправлять на SIEM уже не события, а алерты, тем самым снизив поток. При этом специализированные средства основаны на опыте профессионального сообщества, у них уже есть свои преднастроенные правила корреляции для выявления инцидентов», — рассказал Константин Мушовец.

 С помощью специализированных средств мониторинга можно, например, контролировать целостность образов, которые используются в инфраструктуре, чтобы не допустить добавления вредоносного кода, контролировать трафик на публичные сервисы и выявлять взаимодействие с вредоносными ресурсам, поставить задачу по сканированию уязвимостей и анализировать результаты, чтобы своевременно работать с уязвимостями, а также контролировать запуск терминалов и выявлять в них аномальную активность.

20 июня на конференции о трендах в ИТ и ИБ IT IS conf также будет раскрыта тема вопросов организации процесса безопасной разработки и мониторинга инцидентов.

Регистрация на мероприятие открыта, все подробности на сайте.