Ingeblikte ransomware: waarom containers een beveiligingsrisico vertegenwoordigen

Het tempo waarmee mensen data genereren, opslaan en gebruiken blijft stijgen. Dit zorgt op alle fronten voor een dramatische toename van het aantal beveiligingslekken en gevaren voor de integriteit van data.

IDC voerde afgelopen jaar een onderzoek uit naar manieren waarop organisaties voorbereidingen treffen op calamiteiten en cybercrime, zoals ransomware-aanvallen. Het bleek dat bijna 80 procent van hen zich in 2022 gedwongen zag om beroep te doen op disaster recovery. Daarnaast kreeg 83 procent te maken met datacorruptie. Nog het meest in het oog springende was dat bijna twee derde van alle organisaties er niet in slaagde om hun data na een ransomware-aanval volledig te herstellen.

Tegenwoordig lijkt geen enkel type applicatie meer volledig veilig voor ransomware. Een van de nieuwere beveiligingsrisico’s hangt samen met refactoring. Dit is een techniek voor het herschrijven van applicaties om ze geschikt te maken voor Kubernetes. Hierbij worden applicaties onderverdeeld in een reeks van microservices die onafhankelijk van elkaar functioneren. Een van de belangrijkste voordelen is dat de onderliggende hardware zo efficiënter kan worden gebruikt. Bovendien kan elke service naar behoefte worden opgeschaald, zonder nadelige gevolgen voor andere IT-diensten en -activa.

Het gebruik van Kubernetes en containers in het algemeen vertegenwoordigt een populaire en in de praktijk bewezen aanpak voor het inrichten van een krachtig presterende software-infrastructuur. Tegelijkertijd merken organisaties dat de bescherming van data en de beveiligingsrisico’s, die bij refactoring om de hoek komen kijken, hen voor forse uitdagingen stellen.

Om deze problemen in een context te plaatsen: IDC constateerde dat de meeste gecontaineriseerde applicaties gerefactored zijn op basis van legacy code. Ze zijn daarom al operationeel op bare metal servers of virtuele machines. Een veel voorkomend obstakel bij het refactoring-proces is dat applicatie-onderdelen moeten worden aangepast om containerisatie mogelijk te maken. Dit maakt het soms lastig om de beoogde voordelen van containerisatie te realiseren. Organisaties die containers implementeren verwachten dat de beveiliging daardoor zal verbeteren. In de praktijk blijkt dat nu juist één van de doelstellingen die het lastigst te realiseren valt.

Deze problemen kunnen de beveiliging op allerhande manieren beïnvloeden. Neem bijvoorbeeld pods. Dit zijn kerncomponenten van Kubernetes-implementaties die worden gebruikt voor het hosten van de containers voor elk applicatieproces. Elke pod heeft een IP-adres en kan rechtstreeks met andere pods communiceren. De aanbevolen methode is echter om gebruik te maken van services: een reeks van pods die toegankelijk zijn via één vaste DNS-naam of één vast IP-adres. De meeste applicaties in Kubernetes-omgevingen gebruiken services voor de communicatie. Dit kan de pod blootstellen aan toegang door onbevoegden. Er kunnen ook netwerkproblemen binnen het cluster ontstaan als gevolg van de noodzaak om services en applicaties regelmatig opnieuw op te starten. Dit kan cybercriminelen een ingangskanaal bieden.

Een ander punt van zorg zijn supply chain-aanvallen. Sommige gecontaineriseerde applicaties zijn ontwikkeld voor het automatiseren van processen, en het bijwerken van code in het bijzonder. Dat betekent dat sommige Kubernetes-implementaties voortdurend de laatste pod van een applicatie ophalen zonder die te controleren op wijzigingen of kwetsbaarheden. Dit vergroot het risicoprofiel van organisaties die deze technologie gebruiken.

Het huidige tekort aan kennis en vaardigheden binnen teams die zich bezighouden met het ontwerp en de uitrol van gecontaineriseerde productie-applicaties vergroot het probleem. Elke applicatie die wordt ingezet zonder integratie van databescherming en cybersecurity met de workflows van developers is met grote waarschijnlijkheid kwetsbaarder voor ransomware-aanvallen.

Compromisloze databescherming

Organisaties die de beveiligingsrisico’s en potentiële impact van cyberaanvallen op de container-infrastructuur willen minimaliseren, zouden eerst moeten nagaan welke applicaties er voor refactoring in aanmerking komen en hoe de bijbehorende data te integreren. Gewapend met deze kennis kunnen zij in een vroegtijdig stadium een evaluatie uitvoeren van oplossingen voor cybersecurity en gegevensherstel. Meer in het bijzonder zouden de mensen die verantwoordelijk zijn voor de refactoring van applicaties de belangrijkste beveiligingsrisico’s rond containers moeten aanpakken. Dit is mogelijk door gebruik te maken van speciaal voor Kubernetes ontwikkelde functionaliteit of de integratie van een oplossing voor databescherming die deze pijnpunten weg kan nemen.

Gecontaineriseerde applicaties kunnen op deze manier effectiever worden beschermd tegen ransomware en andere beveiligingsrisico’s die problemen opleveren met repatriation. Dit is de mogelijkheid om terug te keren naar de situatie waarin een applicatie zich bevond voordat er een beveiligingsincident optrad.

Organisaties die voor integrale databescherming willen zorgen doen er goed aan de technologieën die zij daarvoor gebruiken met zorg uit te kiezen. Zo kan de implementatie van een native oplossing voor Kubernetes ervoor zorgen dat databescherming een kerncomponent van de containerisatiestrategie vormt. Development- en security-teams kunnen met deze aanpak zorgen voor optimale databescherming en veerkracht. Zo kunnen alle belanghebbenden profiteren van de prestatievoordelen en flexibiliteit die containerisatie zo razend populair maken.

Egon van Dongen, system engineering manager EMEA bij Zerto, van Hewlett Packard Enterprise company