Στις αρχές Ιανουαρίου, ο πάροχος υπηρεσιών ανάπτυξης αγωγών CircleCI προειδοποίησε τους χρήστες για παραβίαση ασφάλειας, προτρέποντας τις εταιρείες να αλλάξουν αμέσως τους κωδικούς πρόσβασης, τα κλειδιά SSH και άλλα μυστικά που είναι αποθηκευμένα ή διαχειρίζονται από την πλατφόρμα.
Η επίθεση στην υπηρεσία DevOps άφησε την εταιρεία να προσπαθεί να προσδιορίσει το εύρος της παραβίασης, να περιορίσει την ικανότητα των εισβολέων να τροποποιούν έργα λογισμικού και να προσδιορίσει ποια μυστικά ανάπτυξης είχαν παραβιαστεί. Τις ημέρες που μεσολάβησαν, η εταιρεία έκανε εναλλαγή των κουπονιών ελέγχου ταυτότητας, άλλαξε μεταβλητές διαμόρφωσης, συνεργάστηκε με άλλους παρόχους για τη λήξη των κλειδιών και συνέχισε τη διερεύνηση του συμβάντος.
«Σε αυτό το σημείο, είμαστε βέβαιοι ότι δεν υπάρχουν μη εξουσιοδοτημένοι φορείς ενεργοί στα συστήματά μας. Ωστόσο, λόγω μεγάλης προσοχής, θέλουμε να διασφαλίσουμε ότι όλοι οι πελάτες λαμβάνουν ορισμένα προληπτικά μέτρα για την προστασία των δεδομένων σας επίσης», η εταιρεία δήλωσε σε μια συμβουλευτική την περασμένη εβδομάδα.
Η Συμβιβασμός CircleCI είναι το πιο πρόσφατο περιστατικό που υπογραμμίζει την αυξανόμενη εστίαση των εισβολέων σε θεμελιώδεις εταιρικές υπηρεσίες. Υπηρεσίες ταυτότητας, όπως π.χ ΟΚΤΑ και LastPass, έχουν αποκαλύψει παραβιασμούς των συστημάτων τους το περασμένο έτος, ενώ υπηρεσίες που εστιάζονται σε προγραμματιστές, όπως π.χ. Χαλαρότητα και GitHub, έσπευσε να ανταποκριθεί και σε επιτυχημένες επιθέσεις στον πηγαίο κώδικα και την υποδομή τους.
Η πληθώρα επιθέσεων σε βασικά εταιρικά εργαλεία υπογραμμίζει το γεγονός ότι οι εταιρείες θα πρέπει να περιμένουν ότι αυτοί οι τύποι παρόχων θα γίνουν τακτικοί στόχοι στο μέλλον, λέει η Lori MacVittie, διακεκριμένη μηχανικός και ευαγγελιστής στην εταιρεία ασφάλειας cloud F5.
«Καθώς βασιζόμαστε περισσότερο σε υπηρεσίες και λογισμικό για να αυτοματοποιήσουμε τα πάντα, από το build ανάπτυξης έως τις δοκιμές έως την ανάπτυξη, αυτές οι υπηρεσίες γίνονται μια ελκυστική επιφάνεια επίθεσης», λέει. «Δεν τα θεωρούμε ως εφαρμογές στις οποίες θα επικεντρωθούν οι επιτιθέμενοι, αλλά είναι».
Υπηρεσίες ταυτότητας και προγραμματιστή υπό Cyberattack
Οι εισβολείς έχουν επικεντρωθεί πρόσφατα σε δύο μεγάλες κατηγορίες υπηρεσιών: συστήματα διαχείρισης ταυτότητας και πρόσβασης και υποδομές προγραμματιστών και εφαρμογών. Και οι δύο τύποι υπηρεσιών υποστηρίζουν κρίσιμες πτυχές της εταιρικής υποδομής.
Η ταυτότητα είναι η κόλλα που συνδέει κάθε τμήμα ενός οργανισμού καθώς και τη σύνδεση αυτού του οργανισμού με τους συνεργάτες και τους πελάτες, λέει ο Ben Smith, CTO πεδίου στη NetWitness, μια εταιρεία ανίχνευσης και απόκρισης.
«Δεν έχει σημασία ποιο προϊόν, ποια πλατφόρμα, αξιοποιείτε… οι αντίπαλοι έχουν αναγνωρίσει ότι το μόνο πράγμα καλύτερο από έναν οργανισμό που ειδικεύεται στον έλεγχο ταυτότητας είναι ένας οργανισμός που ειδικεύεται στον έλεγχο ταυτότητας για άλλους πελάτες», λέει.
Οι υπηρεσίες και τα εργαλεία προγραμματιστών, εν τω μεταξύ, έχουν γίνει άλλη μια επιχείρηση που δέχεται συχνά επιθέσεις. Τον Σεπτέμβριο, ηθοποιός απειλών απέκτησε πρόσβαση στο κανάλι Slack για τους προγραμματιστές της Rockstar Games, για παράδειγμα, λήψη βίντεο, στιγμιότυπων οθόνης και κώδικα από το επερχόμενο παιχνίδι Grand Theft Auto 6. Και στις 9 Ιανουαρίου, Ο Slack είπε ότι ανακάλυψε ότι "ένας περιορισμένος αριθμός κουπονιών υπαλλήλων του Slack κλάπηκε και χρησιμοποιήθηκε κατάχρηση για να αποκτήσουν πρόσβαση στο αποθετήριο GitHub που φιλοξενείται εξωτερικά."
Επειδή οι υπηρεσίες ταυτότητας και προγραμματιστών παρέχουν συχνά πρόσβαση σε μια μεγάλη ποικιλία εταιρικών περιουσιακών στοιχείων — από υπηρεσίες εφαρμογών έως λειτουργίες έως πηγαίο κώδικα — η διακύβευση αυτών των υπηρεσιών μπορεί να αποτελέσει βασικό κλειδί για την υπόλοιπη εταιρεία, λέει ο Smith της NetWitness.
«Είναι πολύ πολύ ελκυστικοί στόχοι, που αντιπροσωπεύουν χαμηλά φρούτα», λέει. «Πρόκειται για κλασικές επιθέσεις στην αλυσίδα εφοδιασμού — μια επίθεση υδραυλικών, επειδή τα υδραυλικά δεν είναι κάτι που είναι ορατό σε καθημερινή βάση».
Για την Cyberdefense, διαχειριστείτε τα μυστικά με σύνεση και δημιουργήστε βιβλία παιχνιδιού
Οι οργανισμοί θα πρέπει να προετοιμαστούν για το χειρότερο και να αναγνωρίσουν ότι δεν υπάρχουν απλοί τρόποι για να αποφευχθεί ο αντίκτυπος τέτοιων ευρείας κλίμακας, επιδρώντων γεγονότων, λέει ο Ben Lincoln, ανώτερος σύμβουλος στον Bishop Fox.
«Υπάρχουν τρόποι προστασίας από αυτό, αλλά έχουν κάποια επιβάρυνση», λέει. «Έτσι μπορώ να δω τους προγραμματιστές να διστάζουν να τις εφαρμόσουν μέχρι να γίνει προφανές ότι είναι απαραίτητοι».
Μεταξύ των αμυντικών τακτικών, ο Λίνκολν συνιστά την ολοκληρωμένη διαχείριση των μυστικών. Οι εταιρείες θα πρέπει να μπορούν να «πιέζουν ένα κουμπί» και να περιστρέφουν όλους τους απαραίτητους κωδικούς πρόσβασης, τα κλειδιά και τα ευαίσθητα αρχεία διαμόρφωσης, λέει.
«Πρέπει να περιορίσετε την έκθεση, αλλά εάν υπάρχει παραβίαση, ελπίζουμε να έχετε ένα κουμπί για να περιστρέψετε αμέσως όλα αυτά τα διαπιστευτήρια», λέει. «Οι εταιρείες θα πρέπει να προγραμματίσουν εκτενώς εκ των προτέρων και να έχουν μια διαδικασία έτοιμη να προχωρήσουν εάν συμβεί το χειρότερο».
Οι οργανισμοί μπορούν επίσης να στήσουν παγίδες για τους επιτιθέμενους. Μια ποικιλία από στρατηγικές τύπου honeypot επιτρέπουν στις ομάδες ασφαλείας να έχουν μια προειδοποίηση υψηλής πιστότητας ότι οι εισβολείς μπορεί να βρίσκονται στο δίκτυό τους ή σε μια υπηρεσία. Δημιουργία ψεύτικων λογαριασμών και διαπιστευτηρίων, τα λεγόμενα credential καναρίνια, μπορεί να βοηθήσει στον εντοπισμό πότε οι φορείς απειλής έχουν πρόσβαση σε ευαίσθητα στοιχεία.
Με όλους τους άλλους τρόπους, ωστόσο, οι εταιρείες πρέπει να εφαρμόζουν αρχές μηδενικής εμπιστοσύνης για να μειώσουν την επιφάνεια επιθέσεων — όχι μόνο μηχανών, λογισμικού και υπηρεσιών — αλλά και λειτουργιών, λέει ο MacVittie.
«Παραδοσιακά, οι επιχειρήσεις ήταν κρυμμένες και ασφαλείς πίσω από μια μεγάλη τάφρο [στην επιχείρηση], έτσι οι εταιρείες δεν τους έδιναν τόσο σημασία», λέει. «Με τον τρόπο που κατασκευάζονται οι εφαρμογές και οι ψηφιακές υπηρεσίες σήμερα, οι λειτουργίες περιλαμβάνουν πολλές ταυτότητες από εφαρμογή σε εφαρμογή, από μηχανή σε εφαρμογή και οι εισβολείς έχουν αρχίσει να συνειδητοποιούν ότι αυτές οι ταυτότητες είναι εξίσου πολύτιμες».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools
- 7
- 9
- a
- ικανότητα
- Ικανός
- αφθονία
- πρόσβαση
- Λογαριασμοί
- ενεργός
- εκ των προτέρων
- συμβουλευτικός
- κατά
- Όλα
- και
- και την υποδομή
- Άλλος
- Εφαρμογή
- εφαρμογές
- Εφαρμογή
- ΠΕΡΙΟΧΗ
- πτυχές
- Ενεργητικό
- επίθεση
- Επιθέσεις
- ελκυστικός
- Πιστοποίηση
- αυτόματη
- αυτοματοποίηση
- βάση
- επειδή
- γίνονται
- γίνεται
- πίσω
- είναι
- Καλύτερα
- Μεγάλος
- παραβίαση
- χτίζω
- κουμπί
- κατηγορίες
- ορισμένες
- αλυσίδα
- αλλαγή
- κλασικό
- Backup
- Ασφάλεια Cloud
- κωδικός
- Εταιρείες
- εταίρα
- περιεκτικός
- Συμβιβασμένος
- συμβιβασμός
- βέβαιος
- διαμόρφωση
- Συνδετικός
- συνδέει
- σύμβουλος
- συνέχισε
- πυρήνας
- Εταιρικές εκδηλώσεις
- δημιουργία
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- Διαπιστεύσεις
- κρίσιμης
- ΚΟΤ
- Πελάτες
- καθημερινά
- ημερομηνία
- Ημ.
- αμυντικός
- ανάπτυξη
- Ανίχνευση
- Προσδιορίστε
- Εργολάβος
- προγραμματιστές
- Ανάπτυξη
- DID
- ψηφιακό
- ψηφιακές υπηρεσίες
- Διακεκριμένος
- Νωρίς
- Υπάλληλος
- μηχανικός
- εξασφαλίζω
- Εταιρεία
- εγκαθιδρύω
- Ευαγγελιστής
- εκδηλώσεις
- πάντα
- αναμένω
- Έκθεση
- απομίμηση
- πεδίο
- Αρχεία
- Εταιρεία
- Συγκέντρωση
- επικεντρώθηκε
- από
- θεμελιώδης
- μελλοντικός
- Κέρδος
- παιχνίδι
- Games
- GitHub
- Δώστε
- Go
- συμβαίνει
- βοήθεια
- κρυμμένο
- ανταύγειες
- Ας ελπίσουμε ότι
- φιλοξενείται
- Ωστόσο
- HTTPS
- ταυτότητες
- Ταυτότητα
- αμέσως
- Επίπτωση
- επιπτώσεις
- εφαρμογή
- in
- περιστατικό
- αύξηση
- Υποδομή
- παράδειγμα
- παρέμβασης
- εμπλέκω
- IT
- Ιανουάριος
- Ιανουάριος
- Κλειδί
- πλήκτρα
- Επίθετο
- LastPass
- αργότερο
- μόχλευσης
- LIMIT
- Περιωρισμένος
- Λίνκολν
- Παρτίδα
- μηχανήματα
- μεγάλες
- διαχείριση
- διαχειρίζεται
- διαχείριση
- διαχείριση
- ύλη
- Εν τω μεταξύ,
- μέτρα
- νου
- περισσότερο
- απαραίτητος
- Ανάγκη
- δίκτυο
- αριθμός
- ΟΚΤΑ
- λειτουργίες
- επιχειρήσεις
- ΑΛΛΑ
- μέρος
- Συνεργάτες
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Πληρωμή
- άξονας περιστροφής
- σχέδιο
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- Προετοιμάστε
- πρόληψη
- αρχές
- διαδικασια μας
- Προϊόν
- έργα
- προστασία
- προμηθευτής
- Παρόχους υπηρεσιών
- Σπρώξτε
- έτοιμος
- συνειδητοποιήσουν
- αναγνωρίζω
- αναγνωρισμένος
- συνιστά
- μείωση
- τακτικός
- Αποθήκη
- εκπροσωπώ
- Απάντηση
- απάντησης
- ΠΕΡΙΦΕΡΕΙΑ
- Rockstar
- ένα ασφαλές
- Είπε
- έκταση
- screenshots
- ασφάλεια
- αρχαιότερος
- ευαίσθητος
- Σεπτέμβριος
- υπηρεσία
- Πάροχος υπηρεσιών
- Υπηρεσίες
- σειρά
- θα πρέπει να
- Απλούς
- χαλαρότητα
- So
- λογισμικό
- μερικοί
- κάτι
- Πηγή
- πρωτογενής κώδικας
- ειδικεύεται
- ξεκίνησε
- κλαπεί
- αποθηκεύονται
- στρατηγικές
- επιτυχής
- τέτοιος
- προμήθεια
- αλυσίδας εφοδιασμού
- Επιφάνεια
- συστήματα
- τακτική
- Πάρτε
- στόχος
- στόχους
- ομάδες
- Δοκιμές
- Η
- κλοπή
- τους
- πράγμα
- απειλή
- απειλή
- προς την
- σήμερα
- κουπόνια
- εργαλεία
- παραδοσιακά
- παγίδες
- τύποι
- υπό
- ανερχόμενος
- Χρήστες
- Πολύτιμος
- ποικιλία
- Βίντεο
- ορατός
- προειδοποίηση
- τρόπους
- Τι
- Ποιό
- ενώ
- ευρύς
- θα
- εργάστηκαν
- χειρότερη
- έτος
- Εσείς
- Σας
- zephyrnet
