Занимательные данные подметил в выступлении про
И так в выплатах за
-
Как я надеюсь вы уже догадались, во вторую категорию попадают
С очень нехитрой математикой по крайней мере на данном частном примере можно представить себе какой выигрыш для ИБ дает
Но также хочу отметить, что при слабой конфигурации
P.S.
Почти аналогичный подход можно встретить и в BugBounty Google Chrome, где есть разделение:
-
BugBounty программу у моего хорошего товарища, руководителя группы безопасности бизнес-юнита MailRu. Особенно это будет интересно тем, кто все риски и угрозы хочет сразу привести в денежный эквивалент (ну, то есть всем).И так в выплатах за
RCE уязвимости можно увидеть 2 строчки:-
Remote code execution (RCE) ценой $40000
- RCE in standalone isolated/virtualized single-purpose process (e.g. image conversion) ценой $7500
Разница очень ощутимая - в 5,3 раза меньше! Как я надеюсь вы уже догадались, во вторую категорию попадают
RCE, которые проводит атакующий внутри контейнеров (Pod'ов Kubernetes) в случае корректно настроенных контролей. Все это по той логике, что навесить разных механизмы харденинга, изоляции, мониторинга в среде k8s заметно проще, чем на bare metal. В совокупности с микросервсисной архитектурой и использованием малых доменов доверия это позволяет строить инфраструктуру по принципам близким к идеям Zero Trust.С очень нехитрой математикой по крайней мере на данном частном примере можно представить себе какой выигрыш для ИБ дает
k8s с его NetworkPolicy, seccomp/AppArmor/SeLinux профилями, Admission Controllers (тут вспоминаем про policy engines) и т.д.Но также хочу отметить, что при слабой конфигурации
workload в K8s сделать container escape можно и вообще без уязвимостей - так что внимательно следите за их ресурсами.P.S.
Почти аналогичный подход можно встретить и в BugBounty Google Chrome, где есть разделение:
-
Sandbox escape / Memory corruption in a non-sandboxed process
- Renderer RCE / memory corruption in a sandboxed process