Death by Doki: Eine neue Docker-Schwachstelle mit ernstem Biss (und was du dagegen tun kannst)
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
Cyberangriffe werden immer häufiger und Bedrohungen, die Linux-basierte Infrastrukturen betreffen, werden immer häufiger. Das Endziel ist die Gelegenheit, eine Beutekiste mit sensiblen Daten, die in der Cloud gespeichert sind, zu öffnen.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
目次
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード入門リソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
