2017年,网络攻击者植入了一个金融软件包NotPetya恶意蠕虫。许多企业在更新软件时都会被感染。NotPetya因此,蠕虫病毒传播迅速,给世界各地的企业带来了数十亿美元的损失。美国政府称之为历史上最具破坏性和最昂贵的网络攻击。
三年后,网络攻击者入侵SolarWinds公司的Orion网络监控工具集软件升级过程。它也带来了广泛的破坏性。
全球网络安全咨询机构NCC集团高级安全顾问Viktor Gazdag访问软件开发管道可能会给网络攻击者接触网络基础设施并获得知识产权的机会。
对DevOps管道网络攻击正在增加
可以说,网络攻击通常是孤立的,依赖于高度积极和熟练的攻击者。事实上,DevOps管道是犯罪团伙的主要目标。
根据安全服务提供商Argon与2020年相比,网络攻击者在2021年对软件供应链的攻击量增加了300%以上。常见的策略包括在流行的开源软件包中植入恶意代码或使用现有的漏洞,损害持续集成(CI)/持续交付(CD)使用硬编码凭证等错误配置和安全问题的管道工具。开源组件通道是网络攻击者的热门目标。
根据Sonatype与2020年相比,公司去年9月发布的一份研究报告去年对开源软件供应链的攻击增加了650%。它的攻击面很大。Sonatype公司数据显示,前四大开源生态系统中有3700多万个组件和软件包。去年开源软件下载量达到2.2与2020年相比,万亿次增长73%。
为什么DevOps管道易受攻击
Gazdag软件开发人员通常有更高的权限级别和访问权限。如果正在生产的软件是为外部使用而设计的,那么影响可能会大得多。网络攻击者也有机会在最终应用程序中站稳脚跟,他说
因此,DevOps管道应该具有更高级别的安全性。但与其相反,他们有很多薄弱的安全实践和暴露的基础设施和凭据。GazDag说,如果用Shodan并搜索开发工具‘Jenkins',就会在互联网上看到很多可用和可访问的Jenkins基础设施。
Gazdag说,持续集成(CI)/持续交付(CD)与企业其他领域相比,基础设施通常不受同等程度的关注。随着现代发展的实践,情况越来越糟。
Gartner公司分析师Dale Gardner说:随着企业的转向DevOps,我们在发展中采取的一些控制措施有放松的趋势。我们希望变得灵活,DevOps我们正试图快速发布代码。限制和控制阻碍了这一点。
对DevOps管道攻击类型
Linux基金会开源供应链安全主管David Wheeler三种最常见的攻击类型是依靠混淆、误植域名和恶意代码注入。
依赖混淆也被称为名称空间混淆,是指网络攻击者找到专有企业软件包的名称,并创建具有相同名称和较晚发布日期的开源软件包。一些管道工具会自动尝试下载最新版本的软件包,并最终获得带有病毒的软件包。
误植域名是指网络攻击者创建一个名称几乎与真实软件包相同的开源软件包,希望被攻击者输入并使用错误的库。
恶意代码注入是网络攻击者在合法开源项目中添加恶意代码的地方。他们可以通过窃取项目维护人员的凭证,以他们的名义上传代码,自愿参与项目,或篡改开源开发工具来做到这一点。
开源软件中的漏洞
开源软件面临着许多漏洞,网络攻击者可以利用这些漏洞。应用程序安全测试员Synopsys去年4月,该公司审查了包括内部和商业项目在内的1500多个企业软件项目的代码,发现98%的开源软件包含一些开源代码。对于一般应用程序,75%的代码库是开源的。
更可怕的是,在Synopsys在公司分析中,84%的代码库至少有一个漏洞。Log4J在漏洞曝光之前,安全研究人员称之为多年来最危险的Java攻击。此外,过去两年91%的开源软件没有进行任何维护。
根据Flashpoint公司基于风险的安全在今年2月发布的一份调查报告,2021年有28000多个新漏洞被披露,创历史新高。其中4000多个漏洞可以远程利用,其中包括公开利用和记录的解决方案信息。
分析报告称,分析报告称,Log4j漏洞特别危险,其影响超过了所有其他漏洞。该库出现在6200多种其他软件产品中,供应商咨询的数量继续上升。
如何保护软件开发管道?
企业应该做些什么来保护他们的软件开发管道?从开发人员的教育和培训开始,制定双因素身份验证和代码审查等最佳安全实践,并安装监控工具标记可疑活动。
它从开发人员开始
托管服务提供商Ensono公司网络安全高级总监David Gochenaur表示,在代码开发和部署过程的安全性方面,内部开发人员和第三方软件商店需要以不同的方式进行监督和联系。
Ensono该公司不销售软件,但需要定制软件来维护和管理客户的门户网站。这些门户网站的安全非常重要。Gochenaur我们为许多客户管理系统,收集这些系统状态的数据,并将其放入门户。
这意味着Ensono公司的工具可以访问这些客户系统,这使得Ensono该公司已成为网络攻击者的高价值目标。
Gochenaur因为客户太多,我们应该确保客户A无法进入客户B数据。从国家安全和隐私的角度来看,我们的一些客户非常敏感。
因此,在审查供应商时,第一个挑战是非常严格的。他说:你必须非常了解他们,SolarWinds数据泄露事件个很好的例子,还有许多其他第三方的例子,它们没有很好地保护自己,并被用作威胁行为者的切入点。
Gochenaur这包括外部软件开发公司。当我们使用第三方服务时,我们将严格审查他们,以确保他们有适当的过程和控制措施,并确保从他们那里得到的一切都是安全的,包括审查他们的测试程序和他们在开发环境中实施的安全控制。我们还在合同中增加了缺陷处罚。
那么,对于公司自己的开发人员来说,最大的问题是不能使用可公开访问的代码库,Gochenaur因为一切都可能存在,有些代码看起来很棒,但它允许网络威胁参与者访问我们正在做的任何事情。
Gochenaur开发人员可能会采取许多其他措施来帮助他们生成更安全的代码。第三方和内部团队进行渗透测试是一种提供安全培训和激励的策略。他说:这将对开发产品的质量产生巨大影响。
事实上,当Gochenaur在对公司软件进行渗透测试时,开发人员总是要求测试和观看白帽黑客。他说:他们想知道自己在做什么,并从渗透测试人员发现的漏洞中学习。这给了开发人员不同的思维方式。现在,当我引入第三方服务时,我的一个要求是,技术团队可以了解发生了什么,并向第三方学习。
使用适当的工具和控件
为帮助公司开发人员做出正确的决策,确保其安全,Ensono公司实施了多项安全控制措施。例如,多因素身份验证有助于防止外部人员访问DevOps管道。该公司使用私人代码库,使开发人员能够从已审批的代码中选择。
Ensono公司还有一个专门负责维修系统的团队,以确保所有部署的内容都是最新的。Gochenaur我们定期扫描整个环境,寻找漏洞。
凯捷公司的DevOps架构师Venky Chennapragada他们说,企业可以做其他事情来帮助锁定他们经常错过的开发管道。例如,企业应为非生产暂存环境和生产设置单独的管道,并限制访问这两个系统的人员。为了进一步锁定访问权限,企业应使用企业访问管理系统,如Active Directory或LDAP。
许多企业更容易为软件开发团队提供单独的用户数据库或使用内置的用户管理工具。
Chennapragada说,如果我想和Active Directory或LDAP一体化,将进行安全审计。一些项目。老师可能想绕过安全审计,因为他们没有正确安装东西。
基于角色的访问是另一种可能让开发人员感到烦恼的控制方法。Chennapragada在不创建用户组和角色的情况下,授予完全访问权限总是很容易的,但这是一种不好的做法。
最后,Chennapragada建议企业仔细跟踪进入软件的所有组件,特别是开源库。他说:开发人员倾向于在他们的软件中包含开源代码,这可能存在错误和安全漏洞。
外部库需要安全扫描和代码审查,开发人员仅限于使用认证的依赖项。其他有吸引力的工具包括操作系统变体和插件。Linux有几百万种不同的风格。Chennapragada确保他们使用的任何版本都是最新的。流行的开发工具Jenkins它是一种带有各种插件的开源自动化服务器。插件的安全性可能非常脆弱。网络攻击者可以将恶意代码放入插件中,以接管受害者的系统。
网络安全供应商ImmuniWeb公司首席执行官Ilia Kolochenko有许多可用的安全控制和过程,它们的成本不高,也不会产生太多的开支,但确实需要一些深思熟虑的计划或培训。AWS该公司提供了低成本甚至免费的内置安全控制和工具,他说:人们不会选择它们,因为它们不知道它们,或者认为它们不需要它们,或者很难挖掘和使用它们。
云计算使部署连续的安全监控和事件响应工具更容易,他说。可疑活动可以检测到并立即停止,用干净的文件替换,并在不离线的情况下继续运行。云计算为自动化其持续的安全监控和事件响应提供了许多很好的机会,但有些人没有使用它。"
提供软件材料清单(SBOM),但也要扫描漏洞
许多业内人士一直在推广软件材料清单(SBOM)。去年5月,美国总统拜登发布行政命令,要求向美国政府部门提供软件材料清单(SBOM)。两天后,云原计算基金会发布了最佳实践白皮书,建议所有供应商在可能的情况下提供软件材料清单(SBOM),并提供明确和直接的依赖链接。
软件材料清单(SBOM)它将帮助企业在其环境中找到易受网络攻击的组件。Log4j修复是在去年12月进行的,但截至2月11日,40%的下载仍攻击的版本。
技术咨询机构Ascent Solutions公司的IEEE高级成员,网络安全策略师Kayne McGladrey说:如果买面包,包装上会写成分清单。使用软件还需要企业了解软件材料清单。(SBOM),并做出明智的风险决策。
McGladrey期待有远见的软件供应商开始将这些列表包含在他们的软件中,因为这是他们的客户想要看到的。他建议软件供应商提供关于他们的软件应该如何运行以及不应该如何运行的信息。他说:如果软件供应商提供了他们软件的正常行为列表,我们可以说,‘该软件行为异常,因为它连接到不应该连接的服务器。’”
不管软件材料清单(SBOM)无论是强制性的,企业都应该扫描他们的软件来发现已知的漏洞和其他潜在的安全问题。网络安全供应商NTT Application Security公司研究员Ray Kelly现在所有的主要扫描软件都在寻找易受攻击的Log4j数据包。
很明显,许多企业没有使用这些工具。Kelly虽然补丁已经发布了两个月,但一些公司仍在使用旧版本Log4j,这说明他们在保护代码安全方面远远落后。