Безсървърните среди, използващи услуги като AWS Lambda, предлагат невероятни предимства по отношение на мащабируемостта, ефективността и намалените оперативни разходи. Защитата на тези среди обаче е изключително предизвикателство. Ядрото на настоящите практики за сигурност на безсървърни среди често се върти около два ключови компонента: мониторинг на логове и статичен анализ на кода или конфигурацията на системата. Но тук е проблемът с това.

1. Дневниците разказват само част от историята

Журналите могат да проследяват дейности, насочени към външни потребители, но не осигуряват видимост към вътрешното изпълнение на функциите. Например, ако нападател инжектира злонамерен код в безсървърна функция, която не взаимодейства с външни ресурси (например външни API или бази данни), традиционните инструменти, базирани на логове, няма да открият това проникване. Атакуващият може да изпълни неоторизирани процеси, да манипулира файлове или да увеличи привилегиите си – всичко това без да предизвика събития в дневника.

2. Статичното откриване на неправилна конфигурация е непълно

Статичните инструменти, които проверяват за неправилни конфигурации, са чудесни за откриване на проблеми, като например прекалено разрешаващи IAM роли или чувствителни променливи на средата, изложени на неподходящи страни. Тези инструменти обаче не могат да отчитат случващото се в реално време, да откриват експлоатиране в момента на възникването му или да откриват отклонения от очакваното поведение.

Реални последици от ограничената сигурност в облака, налична за безсървърни среди

Пример 1: Вкарване на злонамерен код в ламбда функция

Нападател успешно инжектира зловреден код в Lambda функция, като се опитва да породи неоторизиран подпроцес или да установи връзка с външен IP адрес.

• Проблем: Традиционните инструменти за сигурност, разчитащи на мониторинг на логовете, вероятно ще пропуснат тази атака. Логовете обикновено проследяват събития с външна насоченост, като API повиквания или мрежови връзки, но няма да уловят вътрешни действия, като например изпълнение на код в самата функция. В резултат на това действията на нападателя – независимо дали манипулира файлове, увеличава привилегиите си или изпълнява неоторизирани процеси – остават невидими, освен ако не предизвикат външно събитие като изходящо API повикване.
• Решение: За да открият и предотвратят ефективно тази атака, екипите по сигурността се нуждаят от инструменти, които осигуряват видимост на вътрешните операции на функцията в реално време. Сензор, който следи активността по време на изпълнение, може да идентифицира и прекрати неправомерни процеси, преди те да се разраснат, предлагайки проактивна защита в реално време.

Пример 2: Експлоатиране на уязвими библиотеки с отворен код

Функция Lambda разчита на библиотека с отворен код с известна уязвимост, която нападателят може да използва, за да изпълни отдалечен код.

• Проблем: Макар че инструментите за статичен анализ могат да маркират известни уязвимости в самата библиотека, те нямат поглед върху начина, по който библиотеката се използва в средата за изпълнение. Това означава, че дори и дадена уязвимост да бъде идентифицирана при сканиране на кода, използването на тази уязвимост в реално време може да остане неоткрито, ако не включва външно събитие (например мрежова заявка или API повикване).
• Решение: Сензор, предназначен за наблюдение на вътрешните операции на функцията, може да открие кога библиотеката се използва неправомерно или се експлоатира активно по време на изпълнение. Като анализира непрекъснато поведението на функцията, сензорът може да идентифицира аномални действия и да блокира експлойта, преди той да компрометира системата.

Промяната, която трябва да се случи за 2025 г.

Сигурността в облака се разширява бързо, предоставяйки на организациите повишена защита и мерки за откриване и реагиране срещу сложни облачни атаки. Безсървърните среди се нуждаят от същия тип защита, тъй като са изградени върху облака.

Като преминат от реактивни, базирани на логове мерки за сигурност към проактивна, фокусирана върху времето на изпълнение защита, екипите по сигурността могат да започнат да прилагат съвременни практики за облачна сигурност в своите безсървърни среди.