网络攻击者利用持续集成(CI)/持续交付(CD))管道和开发工具的弱点需要提高开发基础设施的安全性。值得注意的是,无论环境多么安全,对于软件审计师来说Codecov公司供应链的网络攻击警告人们不要继续集成(CI)/持续交付(CD)机密数据存储在环境变量中。
破坏数千名开发人员的使用Bash上传程序,针对Codecov该公司的网络攻击者试图从客户环境中窃取凭证、密钥和API该命令在入侵两个月后未被发现。据报道,该攻击还破坏了数百个有限的客户网络。Jenkins、GitHub Actions对云原生容器化环境等自动化工具的攻击进一步促进了企业探索和部署这些工具的有效防御措施。
以下是确保持续集成(CI)/持续交付(CD))一些保持管道安全的最佳实践。
1.停止持续集成(CI)/持续交付(CD)机密储存在环境中
对Codecov公司供应链网络攻击成功背后的原因仍然是网络攻击者泄露的环境变量包含硬编码的秘密,包括密码、令牌和密钥。因为一些证书允许网络攻击者访问企业的私人GitHub因此,这些私有存储库可能会发生进一步的数据泄露,包括机密数据。
尽管包括HashiCorp、Twilio、Rapid7和Monday.com在内的Codecov公司多个客户披露了供应链攻击的影响,但迄今为止曝光的最严重的数据泄露事件发生在日本电子商务巨头Mercari公司。在Codecov公司遭遇网络攻击后,Mercari客户、商户、业务伙伴、员工、承包商等组织泄露的总记录超过2.7万份。
的确,这些网络攻击中的每一个都可能从Codecov有些人质疑为什么个人身份信息,如客户财务记录(PII)存储在私有GitHub存储库中。
连续集成存储(CI)/持续交付(CD)环境中的HashiCorp的GPG私钥也引起了类似的担忧。用于签字和验证HashiCorp发布的软件版本的密钥。在取消密钥之前,网络攻击者可能滥用密钥伪造恶意软件版本HashiCorp的签名。一位开发者在推特上写道,“为什么没人谈?Vault的制造商HashiCorp将他们的签名密钥存储为ENV的事实?”
企业需要重新考虑哪些机密数据可以连续集成存储(CI)/持续交付(CD)工具、环境变量和私有GitHub存储库。如果应用程序需要在这些地方存储凭证或令牌,最好将凭证存储在最低权限的账户或资源中,这是完成任务所必需的——它通常被称为最小权限原则。这样,即使机密数据在前所未有的网络攻击中泄露,损坏也会得到控制。
2.审查自动提取请求和计划任务
GitHub Actions等持续集成(CI)/持续交付(CD)自动化工具允许开发人员为其代码存储库设置计划任务,如自动审查和处理输入的提取请求。但是,如果向开源项目提出提取请求的人是恶意的,会发生什么呢?
2021年4月,GitHub Actions被网络攻击者滥用,他们向数百个存储库发出自动拉索,目的是使用GitHub挖掘加密货币的基础设施。今年2月初,大规模网络攻击报告GitHub Actions的“缺陷”后来发生了。
这些提取请求可以滥用GitHub服务器挖掘加密货币或执行网络攻击者的恶意代码。如果项目所有者忽略并合并了这些提取请求,他们现在将恶意代码引入存储库和更广泛的软件供应链。今年5月,GitLab报告称,网络攻击者滥用分配给新账户“空闲时间”(配额)在其平台上进行类似的加密货币挖掘攻击。
因为像GitHub Actions和GitLab这种持续集成(CI)/持续交付(CD)自动化工具的本质是为自动化关键任务提供便利,因此网关安全成为一个挑战。在被威胁行为者滥用后,故意设计的功能很快就会成为安全漏洞。
GitHub该公司最近发布了防止加密攻击者滥用其新功能的新功能Actions平台。GitHub产品经理Chris Patterson博客文章中说,“在任何Actions在工作流程运行前,提取请求将需要有访问权限的仓库合作伙伴的手动批准。当申请人打开提取请求时,他们会看到一条消息,表明维护人员必须在运行前批准他们Actions工作流。”
行业领先的持续集成(CI)/持续交付(CD决方案和DevOps平台可以效仿GitHub,为防止恶意行为者滥用基础设施,增加一些安全检查。
3.加强并定期审核云原生容器
没有什么比遵循标准的最佳实践更好的了,比如确保容器正确配置,加强对常见攻击向量的预防。这包括保护管道配置。
然而,员工有时很难发现简单的配置错误。然后就会出现问题,企业是基于Docker环境没有漏洞吗?这就是为什么定期审计容器的弱点,扫描容器镜像和列表文件,以发现常见的安全问题仍然很有帮助。
建议采用可靠的云原生容器安全解决方案,实现大部分自动化。每年报告的大量安全漏洞使人类几乎无法跟踪。
此外,随着越来越多的企业被采用Kubernetes框架和Docker内置容器部署其应用程序Web应用防火墙的容器安全解决方案可以尽快检测和防止可疑的网络流量。这有助于防止更大的伤害,即使网络攻击者可以入侵容器并获得初始访问权限。
4.集成深度代码扫描,实现代码质量检验的自动化
在代码提交到生产环境之前,需要从一开始就保护代码质量问题、安全漏洞、内存泄漏或竞争条件等错误(CI)/持续交付(CD)有效的管道策略。虽然它的重点似乎是防止网络攻击,但无害的错误也可能产生大规模的影响。最近,人们Fastly 公司CDN这一点在全球中断中看到,中断使该公司在世界各地的主要站点脱机。
GitHub代码扫描器或Sonatype的Lift解决方案无缝集成到企业现有的编码工作流程中,并免费为开发人员提供基本的保护措施。最后,企业的目标应该是支持开发人员的工作,并尽可能防止在应用程序中引入错误或安全漏洞。这需要开发团队和安全团队之间的合作。在此,实时通知提醒开发人员在编写代码时可能存在的疏忽,可以节省开发人员的时间,并从一开始就保护持续集成(CI)/持续交付(CD)工作流程。
5.尽快修复最新的持续集成(CI)/持续交付(CD)工具漏洞
20212003年3月,网络攻击者使用名称z0Miner的加密挖掘僵尸网络在易受攻击的Jenkins和ElasticSearch在服务器上挖掘加密货币门罗币(XMR)。在面向互联网的服务器中使用远程代码执行(RCE)漏洞,网络攻击者试图攻击并接管自动化基础设施以进行他们的恶意活动。
正如去年媒体报道的那样,网络攻击者可以使用它Jenkins服务器迅速导致分布式拒绝服务(DDoS)。这是由UDP放大反射DoS漏洞引起的漏洞叫做CVE-2020-2100,它影响低于Jenkins v2.219版本和低于Jenkins LTS的2.204.1的版本。
一旦发现这些严重漏洞,应立即修复,以确保持续集成(CI)/持续交付(CD)基础设施的安全仍然至关重要。
6.验证应用更新前更新的完整性
最新的更新和补丁是合理的建议,但是你能确定收到的更新没有被篡改吗?SolarWinds供应链被网络攻击后,几十年来一直是安全专业人士的口头禅“更新最新版本”挑战建议。
在SolarWinds在数据泄露事件中,对Orion IT恶意更新产品使网络攻击者能够将恶意代码分发给下游1.8万多个客户。Passwordstate密码管理器“本地升级功能”遭到破坏,以向Passwordstate恶意更新用户分发。因此,盲目使用更新补丁并不是一个好主意。
在Codecov在公司的案例中,简单的完整性检查发现了两个月的数据泄露。客户注意到服务器上的托管Bash上传器的校准、哈希值和Codecov的GitHub存储库中列出的法律验证之间存在差异,因此立即联系Codecov公司致力于解决数据泄露问题。
深度防御方法可以确保验证任何更新、补丁和下载的完整性,从而消除来自复杂供应链攻击的风险。