контейнеры
Современная разработка программного обеспечения завязана на контейнеры и использование сторонних модулей. С одной стороны, это значительно облегчает создание нового софта, а с другой, дает злоумышленникам дополнительные возможности для компрометации среды разработки. Новости об атаках на цепочку поставок путем распространения зловредов через разнообразные репозитории появляются с завидной регулярностью. Незакрытые уязвимости в компонентах и ошибки в конфигурациях также порой становятся причиной серьезных инцидентов. Поэтому инструменты, позволяющие сканировать образы, давно стали обязательной частью создания безопасного ПО.
Среди наших предложений уже несколько лет есть решение для защиты контейнерных сред. Оно позволяет сканировать образ на разных этапах разработки и эксплуатации контейнерных инфраструктур и выявлять вредоносное ПО, известные уязвимости, ошибки конфигурации, наличие в коде конфиденциальных данных и так далее. На основании предоставляемой решением информации опытный ИБ-эксперт, управляющий Kaspersky Container Security, сможет понять и ликвидировать большую часть проблем. К сожалению, профессионалов на рынке не хватает. А менее опытный специалист не всегда может действовать на основании одних результатов сканирования, ему может не хватать контекста. Кроме того, в силу недостаточного опыта он может просто не заметить неоптимальные или потенциально опасные решения в образе. Контекст, конечно, можно собрать и самостоятельно, но каждый раз проводить тщательное исследование вручную невозможно. Поэтому наши эксперты решили добавить возможность взглянуть на образ свежим взглядом. Разумеется, не человеческим — сейчас без ИИ никуда.
Интеграция с LLM
Теперь у пользователей Kaspersky Container Security есть возможность использовать технологию Kaspersky Investigation and Response Assistant (KIRA). Она уже достаточно давно помогает аналитикам, использующим нашу SIEM-систему KUMA, оперативно реагировать на возникающие угрозы. KIRA активно внедряется и в другие продукты, и теперь она доступна для пользователей Kaspersky Container Security в качестве ИИ-ассистента.
ИИ выдаст описание, в котором четко объясняется, для чего данный образ создан, что в нем за приложение, что конкретно оно делает и так далее. Кроме того, ассистент проведет анализ рисков использования этого образа и подсветит набор мер по минимизации этих рисков. Причем объяснения проблем он выдаст в более понятном малоопытному человеку формате, чем просто результаты сканирования на уязвимости и мисконфигурации.
В качестве LLM можно использовать как предоставляемую нами модель (на данный момент доступна только в России), так и стороннюю. В ходе недавнего обновления решение Kaspersky Container Security было снабжено программным интерфейсом для подключения больших языковых моделей.
Если в компании развернута локальная LLM, поддерживающая OpenAI API (или имеется возможность подключить стороннюю модель), то для получения дополнительного контекста о загруженных образах и независимой оценки рисков появляется возможность подключить LLM к нашему решению и получить ИИ-ассистента, способного быстро собрать нужную информацию об образе.
Данная функциональность доступна на новом уровне лицензирования решения KCS: Advanced Pro. На этом уровне также будет доступна функциональность кастомных бенчмарков — возможности создания собственных правил и адаптации логики проверок под собственные требования ИБ (запланировано на второй квартал 2026 года).
Об этом и других обновлениях можно узнать на стриме о защите контейнеров, который пройдет 28 мая в 11:00 по московскому времени. Зарегистрироваться на него можно по этой ссылке.
Как это будет работать
Приведем типичную ситуацию из рабочего дня разработчиков — запуск веб-сайтов в docker-образах. Рассмотрим как пример разворачивание веб-сервера с приложением на PHP.
В этом случае docker-образ может иметь такой вид:
Анализ образа с помощью ИИ-ассистента в KCS может выглядеть вот так:
В данном случае результат подсвечивает несколько проблем безопасности разной степени серьезности. Во-первых, загрузка файла по незащищенному протоколу HTTP без какой-либо верификации его содержимого делает процесс сборки контейнера уязвимым к MitM-атакам.
Во-вторых, использование слабого пароля по умолчанию, записанного непосредственно в Dockerfile, и небезопасную конфигурацию SSH, делающую сам контейнер уязвимым к его перебору.
Здесь анализ с помощью ИИ позволяет выявить довольно серьезные потенциальные проблемы, которые могут не сразу броситься в глаза. Решение сразу подсвечивает выдачу небезопасных прав на директорию с логами веб-сервера. Подобная конфигурация может привести к реализации следующего негативного сценария: если атакующий получит возможность выполнять код от имени веб-сервера, например в результате атаки на веб-приложение, то он потенциально сможет не только удалить логи для сокрытия следов своей активности, но и повысить свои права до уровня root, используя особенности работы механизма ротации логов.
Для этой проблемы ИИ-ассистент предлагает вариант решения с установкой корректных прав доступа.
Вот наглядное видео с ИИ-анализом разных сценариев и утенком.
Что еще обновилось в Cloud Workload Security
Кроме добавления ИИ-ассистента наши разработчики внесли еще ряд изменений в продукты, входящие в предложение Kaspersky Cloud Workload Security.
Kaspersky Container Security, теперь поддерживает механизм единого входа (SSO) и многодоменный вариант Active Directory, что облегчает развертывание решений в распределенных средах. Кроме того, в нем оптимизирована логика обработки крупных контейнерных образов. Систему можно настроить так, чтобы она не сканировала уже проверенный образ повторно, если его хеш не изменился в течение заданного периода. Это значительно снижает нагрузку на инфраструктуру и ускоряет общий процесс проверки. Узнать больше о продукте по защите контейнерных сред можно на его официальной странице [KCS placeholder].
Что касается специализированного решения Kaspersky Security для виртуальных и облачных сред, его обновления касаются в первую очередь полезных для российского рынка интеграций с отечественными гипервизорами и другими инструментами, а также усиления функциональности легкого агента.
Узнать больше о комплексном предложении Cloud Workload Security можно на его официальной странице.
Советы