24 мая на международном киберфестивале Positive Hack Days директор USSC-SOC Константин Мушовец выступил с докладом «Безопасность в кубе. Как обеспечить мониторинг инцидентов в микросервисной архитектуре». Тема мониторинга инцидентов в контейнерных средах становится все более актуальной
Соответственно, становятся все более актуальными вопросы защиты инфраструктур с микросервисной архитектурой. Несмотря на то, что контейнерные технологии применяются в России с 2018 года, в них все еще достаточно много темных мест и нерешенных задач. Одна из них – это как раз задача организации оптимального по трудозатратам и эффективного мониторинга инцидентов.
Статистика показывает, что, как и в случае с развитием любых новых технологий, срабатывает типовой сценарий: развитие компетенций по обеспечению информационной безопасности отстает от темпов масштабирования этой технологии.
И относительная новизна этой технологии, и ее особенности способствуют тому, что остается высокий процент вероятности пропустить какую-то критичную уязвимость и дать злоумышленнику шанс начать атаку на инфраструктуру.
«Конечно, в связи с повышенным риском мониторинг инцидентов в микросервисной архитектуре нужен — рекомендации и инструменты для его настройки есть. Есть два основных подхода к мониторингу: можно собирать события встроенным функционалом, отправлять их на SIEM и уже там выявлять алерты, либо использовать специализированные средства мониторинга и отправлять на SIEM уже не события, а алерты, тем самым снизив поток. При этом специализированные средства основаны на опыте профессионального сообщества, у них уже есть свои преднастроенные правила корреляции для выявления инцидентов», — рассказал Константин Мушовец.
С помощью специализированных средств мониторинга можно, например, контролировать целостность образов, которые используются в инфраструктуре, чтобы не допустить добавления вредоносного кода, контролировать трафик на публичные сервисы и выявлять взаимодействие с вредоносными ресурсам, поставить задачу по сканированию уязвимостей и анализировать результаты, чтобы своевременно работать с уязвимостями, а также контролировать запуск терминалов и выявлять в них аномальную активность.
20 июня на конференции о трендах в ИТ и ИБ IT IS conf также будет раскрыта тема вопросов организации процесса безопасной разработки и мониторинга инцидентов.
Регистрация на мероприятие открыта, все подробности на сайте.