CircleCI, LastPass, Okta ja Slack: Kyberhyökkääjät kääntyvät kohdistamaan yrityksen ydintyökalut

Tammikuun alussa kehitysputkipalvelun tarjoaja CircleCI varoitti käyttäjiä tietoturvaloukkauksesta ja kehotti yrityksiä vaihtamaan välittömästi salasanat, SSH-avaimet ja muut alustalle tallennetut tai hallinnoimat salaisuudet.

- hyökkäys DevOps-palveluun jätti yrityksen salaamaan rikkomuksen laajuuden, rajoittaa hyökkääjien mahdollisuuksia muokata ohjelmistoprojekteja ja määrittää, mitkä kehityssalaisuudet olivat vaarantuneet. Välipäivinä yritys vaihtoi todennustunnuksia, muutti konfiguraatiomuuttujia, työskenteli muiden palveluntarjoajien kanssa avainten vanhentamiseksi ja jatkoi tapauksen tutkimista.

”Tässä vaiheessa olemme varmoja siitä, ettei järjestelmissämme ole aktiivisia luvattomia toimijoita; Kuitenkin suuren varovaisuuden vuoksi haluamme varmistaa, että kaikki asiakkaat ryhtyvät tiettyihin ennaltaehkäiseviin toimenpiteisiin myös tietojesi suojaamiseksi”, yhtiö todettiin viime viikolla annetussa ilmoituksessa.

- CircleCI:n kompromissi on viimeisin tapaus, joka korostaa hyökkääjien kasvavaa keskittymistä yrityksen peruspalveluihin. Identiteettipalvelut, mm Okta ja LastPass, ovat paljastaneet järjestelmiensä kompromisseja viimeisen vuoden aikana, kun taas kehittäjäkeskeisiä palveluita, kuten New Rose Hotel ja GitHub, kiirehtivät vastaamaan onnistuneisiin hyökkäyksiin lähdekoodiaan ja infrastruktuuriaan vastaan.

Ydinyritystyökaluihin kohdistuvien hyökkäysten runsaus korostaa sitä tosiasiaa, että yritysten pitäisi odottaa tämäntyyppisten palveluntarjoajien tulevan säännöllisiksi kohteiksi tulevaisuudessa, sanoo Lori MacVittie, arvostettu insinööri ja evankelista pilvitietoturvayrityksestä F5:stä.

"Kun luotamme enemmän palveluihin ja ohjelmistoihin automatisoidaksemme kaiken kehitysrakennuksesta testaukseen ja käyttöönottoon, näistä palveluista tulee houkutteleva hyökkäysalusta", hän sanoo. "Emme pidä niitä sovelluksina, joihin hyökkääjät keskittyvät, mutta ne ovat."

Identiteetti- ja kehittäjäpalvelut kyberhyökkäyksen alla

Hyökkääjät ovat viime aikoina keskittyneet kahteen suureen palveluluokkaan: identiteetin ja pääsynhallintajärjestelmiin sekä kehittäjä- ja sovellusinfrastruktuuriin. Molemmat palvelutyypit tukevat yritysinfrastruktuurin kriittisiä näkökohtia.

Identiteetti on liima, joka yhdistää organisaation kaikki osat sekä yhdistää organisaation kumppaneihin ja asiakkaisiin, sanoo Ben Smith, kenttäteknologiajohtaja NetWitnessissä, tunnistus- ja reagointiyrityksessä.

"Sillä ei ole väliä, mitä tuotetta, millä alustalla hyödynnät... vastustajat ovat havainneet, että todentamiseen erikoistunut organisaatio on vain organisaatio, joka on erikoistunut muiden asiakkaiden todentamiseen", hän sanoo.

Kehittäjäpalvelut ja työkalut ovat puolestaan siitä tulee toinen usein hyökätty yrityspalvelu. Syyskuussa uhkanäyttelijä sai pääsyn Slack-kanavalle Rockstar Gamesin kehittäjille, esimerkiksi lataamalla videoita, kuvakaappauksia ja koodia tulevasta Grand Theft Auto 6 -pelistä. Ja tammikuun 9. Slack sanoi löytäneensä että "rajoitettu määrä Slackin työntekijöiden tunnuksia varastettiin ja niitä käytettiin väärin päästäkseen ulkoisesti isännöityyn GitHub-tietovarastoon."

Koska identiteetti- ja kehittäjäpalvelut tarjoavat usein pääsyn laajaan valikoimaan yrityksen omaisuutta – sovelluspalveluista operaatioihin ja lähdekoodiin – näiden palvelujen vaarantaminen voi olla perusavain muulle yritykselle, NetWitnessin Smith sanoo.

"Ne ovat erittäin houkuttelevia kohteita, jotka edustavat matalalla roikkuvaa hedelmää", hän sanoo. "Nämä ovat klassisia toimitusketjuhyökkäyksiä - putkihyökkäystä, koska putkisto ei ole jotain, joka näkyy päivittäin."

Cyberdefense: Hallitse salaisuuksia viisaasti ja luo pelikirjoja

Organisaatioiden tulee varautua pahimpaan ja ymmärtää, ettei ole olemassa yksinkertaisia ​​tapoja estää tällaisten laaja-alaisten ja vaikuttavien tapahtumien vaikutuksia, sanoo Ben Lincoln, Bishop Foxin johtava vanhempi konsultti.

"On olemassa tapoja suojautua tältä, mutta niillä on jonkin verran yleiskustannuksia", hän sanoo. "Joten näen kehittäjien olevan vastahakoisia ottamaan niitä käyttöön, kunnes käy ilmi, että ne ovat välttämättömiä."

Puolustustaktiikoista Lincoln suosittelee salaisuuksien kokonaisvaltaista hallintaa. Yritysten pitäisi pystyä "painamaan nappia" ja kiertämään kaikkia tarvittavia salasanoja, avaimia ja arkaluonteisia määritystiedostoja, hän sanoo.

"Sinun on rajoitettava altistumista, mutta jos tapahtuu rikkomus, sinulla on toivottavasti painike, jolla voit kääntää kaikki nämä tunnistetiedot välittömästi", hän sanoo. "Yritysten tulee suunnitella laajasti etukäteen ja olla valmiina prosessiin, jos pahin tapahtuu."

Organisaatiot voivat myös asettaa ansoja hyökkääjille. Erilaiset honeypot-tyyppiset strategiat antavat tietoturvatiimeille korkean tarkkuuden varoituksen siitä, että hyökkääjät voivat olla heidän verkossaan tai palvelussa. Väärennettyjen tilien ja valtuustietojen luominen, niin sanotut credential kanarialaiset, voi auttaa havaitsemaan, milloin uhkatekijöillä on pääsy arkaluontoiseen omaisuuteen.

Kaikilla muilla tavoilla yritysten on kuitenkin sovellettava nollaluottamusperiaatteita vähentääkseen hyökkäyspinta-alaansa - ei vain koneiden, ohjelmistojen ja palvelujen - vaan myös toimintojensa osalta, MacVittie sanoo.

"Perinteisesti toiminta oli piilossa ja turvallisesti suuren vallihaun takana [yrityksessä], joten yritykset eivät kiinnittäneet niihin niin paljon huomiota", hän sanoo. "Tapa, jolla sovelluksia ja digitaalisia palveluita nykyään rakennetaan, toimintaan liittyy paljon sovelluksesta sovellukseen, koneelta sovellukseen -identiteettejä, ja hyökkääjät ovat alkaneet ymmärtää, että nämä identiteetit ovat yhtä arvokkaita."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools