🐳🛡️ Безопасный Kuber за один шаг. Как не слить 150 миллионов на хотфиксы

Баг в продакшене — минимум 25 тысяч рублей. Релизите раз в неделю, в каждом релизе 5-20 уязвимостей? Считайте сами: от полутора до 150 миллионов в год уходит на срочные правки. Дальше расскажу, как этого избежать.

Когда безопасники снова возвращают код

Закрыл спринт, тесты зеленые, код в мастере. Думаешь о следующей таске — приходит письмо от ИБ: «Нашли 15 критичных уязвимостей, возвращаем». Знакомо?

Еще хуже, когда жалуется клиент. Потом выясняется: дыру можно было найти месяц назад. Просто никто не проверял.

— Seriously?

Дело не в том, что кто-то плохой. У разработчиков и безопасников просто разные приоритеты. Первые живут дедлайнами: «быстрее довезти фичу». Вторые — рисками: «лучше медленнее, но без дыр».

Почему с контейнерами все сложнее

Контейнер — это не просто твой код. Это код + сотня зависимостей + базовый образ ОС + открытые порты + права доступа. Масса мест, где что-то может пойти не так.

Статистика за последний год:

• 85% компаний с контейнерами словили хотя бы один инцидент
• Треть из них: 34% — косяки в конфигурации, 32% — вредоносы в образах, 32% — проблемы во время выполнения

Последствия:

• 39% — утечка конфиденциальных данных
• 38% — финансовый ущерб
• 34% — клиенты перестали доверять

И все это можно было поймать при сборке образа.

Уязвимостей меньше не становится

За 20 лет число ежегодно регистрируемых уязвимостей выросло почти в 6 раз: с 7 до 40 тысяч. Всего в базе CVE больше 270 тысяч записей. А сколько неизвестных zero-day гуляет по сети, никто не знает.

В России тоже грустно: в российском ПО в 2024 году нашли в три раза больше уязвимостей, чем в 2023-м. 16% уязвимостей — критические.

Supply chain атаки: один пакет ломает все

Ставишь популярный npm-пакет — все работает. Потом выясняется, что там вредонос.

Примеры из 2024 года:

Январь: npm-пакеты warbeast2000 и kodiak2k. Зловред ищет SSH-ключи на машине и отправляет создателям. К моменту удаления их скачали 412 и 1281 раз. Сотни скомпрометированных разработчиков.

Апрель: Вредонос, напоминающий Keyzetsu Clipper в репозиториях на гитхабе, заменяет адреса криптокошельков в буфере обмена. Копируешь свой адрес — отправляешь деньги хакерам.

Октябрь: библиотека для анимаций LottieFiles Lottie-Player стоит на тысячах сайтов. Версии 2.0.5-2.0.7 заражены криптодрейнером.

Декабрь: популярная модель для распознавания объектов Ultralytics YOLO11 на PyPI заражена XMRig-майнером.

Это только самые громкие случаи.

Решение: Shift-left и DevSecOps

Идея Shift-left простая: не ждать конца разработки, проверять безопасность сразу. Производится все на автомате:

• Коммитишь код – по триггеру срабатывает автоскан
• Собираешь образ — проверяется на вредоносы
• Добавляешь зависимость — сканируется на уязвимости

DevSecOps — способ встроить такие проверки прямо в CI/CD и повседневные процессы: PR, сборка образа, деплой.

Уязвимости ловятся рано, когда их дешево исправить. Час на фикс сейчас или ночной хотфикс, когда хакеры уже внутри? Выбор очевиден.

Сколько стоит ошибка

Представь, что баг попал в прод. Что дальше?

Хороший расклад

Нашли быстро, на фикс ушло 20 часов. При средней зарплате ~1250₽/час — это 25 тысяч. Без учета репутации.

Плохой расклад

Нашли поздно, вся команда фиксила 120 часов в течение трех недель. Куча итераций. Итого: 150 тысяч + потеря клиентов + штрафы + компенсации.

Еще более плохой расклад (за год)

Релизы каждую неделю, в каждом 5-20 багов с уязвимостями. На хотфиксы по 20-120 часов. Годовые потери: от 1.5 до 150 миллионов рублей. Дальше — потеря клиентов, штрафы от регуляторов (1-3% от оборота), компенсации, суды, полная потеря доверия.

Shift-left экономит деньги. Ловить ошибку в начале дешевле раз в десять. Но как это реализовать на практике в контейнерной инфраструктуре?

Kaspersky Container Security: что внутри

Kaspersky Container Security (KCS) автоматизирует защиту контейнеров во время разработки, а также их запуска в виде pod-ов на Kubernetes. Не ждет, пока безопасник придет проверять вручную. Сдвигает безопасность в руки разработчика.

KCS состоит из четырех компонентов:

• KCS Агент (kube-agent) обнаруживает уязвимости на уровне контейнеров, кластера, и оркестратора, обеспечивая безопасность среды выполнения. Агент устанавливается в кластер в виде обособленного контейнера на каждую ноду.
• KCS Агент (node-agent) обнаруживает уязвимости на уровне контейнеров и кластера, обеспечивая безопасность среды выполнения. Агент может передавать журналы событий кластера напрямую в SIEM-системы.
• KCS Сканер образов и инфраструктуры проверяет репозиторий на актуальность и безопасность образов. Кроме того, сканер позволяет проверять образ в рамках CI-процесса, снижая риски на этапе сборки.
• KCS Управляющий сервер отвечает за контроль состояния и взаимодействие компонентов продукта, а также за агрегацию информации об обнаруженных событиях

Безопасность контейнеров на практике

Автосканирование в пайплайне

Собрали образ, грузите в корпоративный реестр — тут же срабатывает политика. KCS автоматически сканирует: чистый идет дальше, с вредоносами или критичными дырами — блокируется.

Это shift-left в действии: безопасность встроена в процесс. Раньше приложение собирали, а проверка шла в конце. Отсюда «тёрки» разработчиков с безопасниками: нашли ошибку — либо тратить время на исправление, либо отдавать клиентам уязвимое приложение.

Разработчик проверяет сам

Хочешь проверить контейнер до загрузки в реестр? Получаешь ролевой доступ:

• Логинишься в KCS
• Загружаешь образ
• Получаешь отчет: что где, какие уязвимости, как чинить
• Исправляешь код или меняешь базовый образ
• Пересканируешь
• Все чисто — грузишь в прод

Полный контроль: видишь проблемы, знаешь что чинить, не ждешь безопасника.

Почему не open-source?

Есть же бесплатные сканеры Trivy, Grype. Зачем платить?

1. Полнота данных

Open-source использует только открытые базы типа CVE. Это часть картины.

У «Лаборатории Касперского»:

• Anti-APT-отделы, ловящие целевые атаки
• Threat Intelligence со всего мира
• Информация о zero-day

KCS использует 30+ баз уязвимостей: собственные базы «Лаборатории Касперского», БДУ ФСТЭК, NIST, базы производителей отечественных ОС (RedOS, Astra Linux т. д.), Kaspersky Open Source Software Threats Data Feed. Плюс регулярная информация об эксплойтах, их реальной эксплуатируемости и поддержка 24/7.

Например, результаты тестов показывают, что альтернативные решения заметно уступают антивирусным технологиям «Лаборатории Касперского», которые лежат в основе всех продуктов, включая KCS. Поэтому, чтобы не оставаться в сомнениях из-за возможных слепых зон, заказчики привлекают вендорские инструменты для контрольной перепроверки.

Если инструмент проверяет с максимальной полнотой сразу, значит есть гарантия качества.

2. Контроль целостности

KCS поддерживает электронную подпись образов, совместимую с Cosign, Notary:

• Образ проверен
• Образ подписан
• Никто не подменит его между проверкой и деплоем

3. Ролевой доступ

Разработчики — своя роль с доступом к сканированию. Безопасники — администраторская роль с контролем политик. Администраторы — полный доступ.

Разработчик может сам проверить образ, не дожидаясь, когда освободится безопасник.

4. Встраивание в CI/CD

KCS встраивается в пайплайн: образ собрался и автоматом ушел на проверку. Ничего дополнительно настраивать не нужно.

5. Одна консоль вместо зоопарка инструментов

Open-source путь: собираешь решение из ClamAV + Falco + OPA + еще 5-7 инструментов. В результате десяток интерфейсов и нужен человек, который все это свяжет и будет поддерживать.

KCS — одна консоль. Все данные в одном месте. Не нужно увеличивать штат и искать специалиста, который разберется в зоопарке open-source.

Кейсы

Уже работает: энергетический сектор, Домклик, Магнит, МКБ.

Как заценить KCS?

Протестируй KCS в своей инфраструктуре и проверь, сколько проблем он найдет до деплоя. Пилот — лучший способ понять ценность без долгих обсуждений.