CircleCI, LastPass, Okta og Slack: Cyberattackers Pivot to Target Core Enterprise Tools

I begyndelsen af ​​januar advarede udviklingspipeline-tjenesteudbyderen CircleCI brugere om et sikkerhedsbrud og opfordrede virksomheder til straks at ændre adgangskoder, SSH-nøgler og andre hemmeligheder, der er gemt på eller administreret af platformen.

angreb på DevOps-tjenesten lod virksomheden prøve at bestemme omfanget af bruddet, begrænse angribernes mulighed for at ændre softwareprojekter og afgøre, hvilke udviklingshemmeligheder der var blevet kompromitteret. I de mellemliggende dage roterede virksomheden autentificeringstokens, ændrede konfigurationsvariabler, arbejdede sammen med andre udbydere for at udløbe nøgler og fortsatte med at undersøge hændelsen.

“På dette tidspunkt er vi sikre på, at der ikke er nogen uautoriserede aktører aktive i vores systemer; Men af ​​en overflod af forsigtighed ønsker vi at sikre, at alle kunder træffer visse forebyggende foranstaltninger for også at beskytte dine data," virksomheden oplyste i en rådgivning i sidste uge.

CircleCI-kompromis er den seneste hændelse, der understreger angriberes stigende fokus på grundlæggende virksomhedstjenester. Identitetstjenester, som f.eks Okta , LastPass, har afsløret kompromiser af deres systemer i det seneste år, mens udviklerfokuserede tjenester, som f.eks. Slack , GitHub, skyndte sig også at reagere på vellykkede angreb på deres kildekode og infrastruktur.

Overfloden af ​​angreb på kernevirksomhedsværktøjer fremhæver det faktum, at virksomheder bør forvente, at disse typer udbydere bliver almindelige mål i fremtiden, siger Lori MacVittie, en fremtrædende ingeniør og evangelist hos cloud-sikkerhedsfirmaet F5.

"Da vi stoler mere på tjenester og software til at automatisere alt fra udviklingsbygning til test til implementering, bliver disse tjenester en attraktiv angrebsoverflade," siger hun. "Vi opfatter dem ikke som applikationer, som angribere vil fokusere på, men det er de."

Identitet og udviklertjenester under cyberangreb

Angribere har på det seneste fokuseret på to hovedkategorier af tjenester: identitets- og adgangsstyringssystemer og udvikler- og applikationsinfrastruktur. Begge typer tjenester understøtter kritiske aspekter af virksomhedens infrastruktur.

Identitet er limen, der forbinder alle dele af en organisation samt forbinder den organisation med partnere og kunder, siger Ben Smith, feltchef hos NetWitness, et detektions- og responsfirma.

"Det er lige meget hvilket produkt, hvilken platform, du udnytter ... modstandere har erkendt, at det eneste, der er bedre end en organisation, der specialiserer sig i autentificering, er en organisation, der specialiserer sig i autentificering for andre kunder," siger han.

Udviklertjenester og værktøjer har i mellemtiden blive endnu en ofte angrebet virksomhedstjeneste. I september, en trussel skuespiller fået adgang til Slack-kanalen for udviklerne hos Rockstar Games, for eksempel at downloade videoer, skærmbilleder og kode fra det kommende Grand Theft Auto 6-spil. Og den 9. januar, Slack sagde, at den opdagede at "et begrænset antal Slack-medarbejdertokens blev stjålet og misbrugt til at få adgang til vores eksternt hostede GitHub-lager."

Fordi identitets- og udviklertjenester ofte giver adgang til en bred vifte af virksomhedsaktiver - fra applikationstjenester til drift til kildekode - kan kompromittering af disse tjenester være en skeletnøgle for resten af ​​virksomheden, siger NetWitness's Smith.

"De er meget meget attraktive mål, som repræsenterer lavthængende frugter," siger han. "Dette er klassiske forsyningskædeangreb - et VVS-angreb, fordi VVS ikke er noget, der er synligt på daglig basis."

Til cyberforsvar, administrer hemmeligheder klogt, og opret Playbooks

Organisationer bør forberede sig på det værste og erkende, at der ikke er nogen enkle måder at forhindre virkningen af ​​sådanne omfattende, virkningsfulde begivenheder på, siger Ben Lincoln, administrerende seniorkonsulent hos Bishop Fox.

"Der er måder at beskytte mod dette, men de har nogle overhead," siger han. "Så jeg kan se, at udviklere er tilbageholdende med at implementere dem, indtil det bliver tydeligt, at de er nødvendige."

Blandt de defensive taktikker anbefaler Lincoln en omfattende håndtering af hemmeligheder. Virksomheder bør være i stand til at "trykke på en knap" og rotere alle nødvendige adgangskoder, nøgler og følsomme konfigurationsfiler, siger han.

"Du skal begrænse eksponeringen, men hvis der er et brud, har du forhåbentlig en trykknap til at rotere alle disse legitimationsoplysninger med det samme," siger han. "Virksomheder bør planlægge grundigt på forhånd og have en proces klar til at gå i gang, hvis det værste sker."

Organisationer kan også sætte fælder for angribere. En række forskellige honeypot-lignende strategier gør det muligt for sikkerhedsteams at have en hi-fi-advarsel om, at angribere kan være på deres netværk eller på en tjeneste. Oprettelse af falske konti og legitimationsoplysninger, såkaldte credential kanariefugle, kan hjælpe med at opdage, hvornår trusselsaktører har adgang til følsomme aktiver.

På alle andre måder er virksomheder dog nødt til at anvende nul-tillid-principper for at reducere deres angrebsoverfladeareal af - ikke kun maskiner, software og tjenester - men også operationer, siger MacVittie.

"Traditionelt var driften skjult og sikker bag en stor voldgrav [i virksomheden], så virksomhederne var ikke så meget opmærksomme på dem," siger hun. "Sådan som applikationer og digitale tjenester er konstrueret i dag, involverer operationer en masse app-til-app-, maskine-til-app-identiteter, og angribere er begyndt at indse, at disse identiteter er lige så værdifulde."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools