Január elején a CircleCI fejlesztői csővezeték-szolgáltató figyelmeztette a felhasználókat a biztonság megsértésére, és felszólította a cégeket, hogy azonnal változtassák meg a platformon tárolt vagy kezelt jelszavakat, SSH-kulcsokat és egyéb titkokat.
A támadás a DevOps szolgáltatás ellen hagyta a céget, hogy meghatározza a jogsértés terjedelmét, korlátozza a támadók szoftverprojektek módosításának lehetőségét, és meghatározza, mely fejlesztési titkok kerültek veszélybe. A köztes napokban a vállalat váltogatta a hitelesítési tokeneket, megváltoztatta a konfigurációs változókat, együttműködött más szolgáltatókkal a kulcsok lejáratán, és folytatta az incidens kivizsgálását.
„Jelenleg biztosak vagyunk abban, hogy nincsenek illetéktelen szereplők a rendszereinkben; azonban nagy körültekintésből szeretnénk biztosítani, hogy minden ügyfelünk bizonyos megelőző intézkedéseket tegyen az Ön adatainak védelme érdekében” – áll a múlt heti tájékoztatóban.
A CircleCI kompromisszum a legújabb incidens, amely rávilágít arra, hogy a támadók egyre inkább az alapvető vállalati szolgáltatásokra összpontosítanak. Személyazonossági szolgáltatások, mint pl Okta és a LastPass, nyilvánosságra hozták rendszereik kompromittálását az elmúlt évben, míg a fejlesztőközpontú szolgáltatások, mint pl. Laza és a GitHub, sietett reagálni a forráskódjukat és infrastruktúrájukat ért sikeres támadásokra is.
Az alapvető vállalati eszközök elleni támadások tömkelege rávilágít arra a tényre, hogy a vállalatoknak elvárniuk kell, hogy az ilyen típusú szolgáltatók rendszeres célponttá váljanak a jövőben – mondja Lori MacVittie, az F5 felhőbiztonsági cég jeles mérnöke és evangélistája.
„Mivel inkább a szolgáltatásokra és szoftverekre támaszkodunk a fejlesztési összeállítástól a tesztelésen át a telepítésig mindent automatizálva, ezek a szolgáltatások vonzó támadási felületté válnak” – mondja. „Nem gondolunk rájuk olyan alkalmazásoknak, amelyekre a támadók összpontosítani fognak, de ezek azok.”
Azonosító és fejlesztői szolgáltatások kibertámadás alatt
A támadók az utóbbi időben a szolgáltatások két fő kategóriájára összpontosítottak: identitás- és hozzáférés-kezelő rendszerekre, valamint fejlesztői és alkalmazási infrastruktúrára. Mindkét típusú szolgáltatás a vállalati infrastruktúra kritikus szempontjait támasztja alá.
Az identitás az a ragasztó, amely összeköti a szervezet minden részét, valamint összeköti a szervezetet a partnerekkel és az ügyfelekkel – mondja Ben Smith, a NetWitness, egy észlelési és reagálási cég műszaki igazgatója.
„Nem számít, milyen terméket, milyen platformot használ ki… az ellenfelek felismerték, hogy a hitelesítésre szakosodott szervezetnél csak az a szervezet jobb, amely más ügyfelek hitelesítésére szakosodott” – mondja.
Eközben a fejlesztői szolgáltatások és eszközök rendelkeznek egy másik gyakran támadott vállalati szolgáltatás. Szeptemberben egy fenyegetőző színész hozzáférést kapott a Slack csatornához a Rockstar Games fejlesztői számára például videók, képernyőképek és kód letöltése a közelgő Grand Theft Auto 6 játékból. Január 9-én pedig Slack azt mondta, hogy felfedezte „Korlátozott számú Slack-alkalmazotti tokent elloptak, és visszaéltek velük, hogy hozzáférjenek a külsőleg üzemeltetett GitHub-tárhelyünkhöz.”
Mivel az identitás- és fejlesztői szolgáltatások gyakran hozzáférést biztosítanak a vállalati eszközök széles skálájához – az alkalmazásszolgáltatásoktól a műveleteken át a forráskódig –, ezeknek a szolgáltatásoknak a veszélyeztetése kulcsfontosságú lehet a vállalat többi tagja számára, mondja a NetWitness Smith.
„Nagyon vonzó célpontok, amelyek alacsonyan lógó gyümölcsöt képviselnek” – mondja. „Ezek klasszikus ellátási lánc támadások – vízvezeték-támadások, mivel a vízvezetékek nem olyan dolgok, amelyek naponta láthatók.”
A kibervédelem érdekében kezelje bölcsen a titkokat, és készítsen játékkönyveket
A szervezeteknek fel kell készülniük a legrosszabbra, és fel kell ismerniük, hogy nincsenek egyszerű módszerek az ilyen széles körű, hatásos események hatásainak megelőzésére – mondja Ben Lincoln, a Bishop Fox vezető tanácsadója.
„Vannak módok ez ellen védekezni, de van némi rezsijük” – mondja. "Így látom, hogy a fejlesztők vonakodnak a megvalósítástól, amíg nyilvánvalóvá nem válik, hogy szükség van rájuk."
A védekezési taktikák közül Lincoln a titkok átfogó kezelését ajánlja. A vállalatoknak képesnek kell lenniük egy gombnyomásra és az összes szükséges jelszó, kulcs és érzékeny konfigurációs fájl elforgatására, mondja.
„Korlátozni kell az expozíciót, de ha megsértés történik, remélhetőleg lesz egy nyomógombja, amellyel azonnal elforgathatja ezeket a hitelesítő adatokat” – mondja. "A vállalatoknak előre alaposan meg kell tervezniük, és készen kell állniuk egy folyamatra, ha a legrosszabb történik."
A szervezetek csapdákat is állíthatnak a támadók számára. A különféle honeypot-szerű stratégiák lehetővé teszik a biztonsági csapatok számára, hogy nagy pontosságú figyelmeztetést kapjanak arról, hogy támadók lehetnek a hálózatukban vagy egy szolgáltatásban. Hamis fiókok és hitelesítő adatok létrehozása, úgynevezett hiteles kanárik, segíthet észlelni, hogy a fenyegetés szereplői mikor férnek hozzá az érzékeny eszközökhöz.
Minden más módon azonban a vállalatoknak a zéró bizalom elveit kell alkalmazniuk, hogy csökkentsék támadási felületüket – nem csak a gépek, szoftverek és szolgáltatások –, hanem a műveletek terén is, mondja MacVittie.
„Hagyományosan a műveletek egy nagy árok mögé rejtve és biztonságosan zajlottak [a vállalkozásban], így a vállalatok nem törődtek velük annyira” – mondja. "Az alkalmazások és a digitális szolgáltatások mai felépítésének módja, a műveletek sok alkalmazásról alkalmazásra, gépről alkalmazásra identitást foglalnak magukban, és a támadók kezdték felismerni, hogy ezek az identitások ugyanolyan értékesek."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools
- 7
- 9
- a
- képesség
- Képes
- bőség
- hozzáférés
- Fiókok
- aktív
- előre
- tanácsadó
- ellen
- Minden termék
- és a
- és az infrastruktúra
- Másik
- Alkalmazás
- alkalmazások
- alkalmaz
- TERÜLET
- szempontok
- Eszközök
- támadás
- Támadások
- vonzó
- Hitelesítés
- auto
- automatizált
- alap
- mert
- válik
- válik
- mögött
- hogy
- Jobb
- Nagy
- megsértése
- épít
- gomb
- kategóriák
- bizonyos
- lánc
- változik
- klasszikus
- felhő
- Cloud Security
- kód
- Companies
- vállalat
- átfogó
- Veszélyeztetett
- veszélyeztetése
- magabiztos
- Configuration
- Csatlakozó
- összeköt
- szaktanácsadó
- tovább
- Mag
- Társasági
- létrehozása
- HITELEZÉS
- Hitelesítő adatok
- kritikai
- CTO
- Ügyfelek
- napi
- dátum
- Nap
- védekező
- bevetés
- Érzékelés
- Határozzuk meg
- Fejlesztő
- fejlesztők
- Fejlesztés
- DID
- digitális
- digitális szolgáltatások
- Kiváló
- Korai
- munkavállaló
- mérnök
- biztosítására
- Vállalkozás
- létrehozni
- Evangélista
- események
- minden
- vár
- Exponálás
- hamisítvány
- mező
- Fájlok
- Cég
- Összpontosít
- összpontosított
- ból ből
- alapvető
- jövő
- Nyereség
- játék
- Games
- GitHub
- Ad
- Go
- megtörténik
- segít
- Rejtett
- kiemeli
- remélhetőleg
- házigazdája
- azonban
- HTTPS
- identitások
- Identitás
- azonnal
- Hatás
- hatásos
- végre
- in
- incidens
- növekvő
- Infrastruktúra
- példa
- beavatkozó
- vonja
- IT
- január
- január
- Kulcs
- kulcsok
- keresztnév
- LastPass
- legutolsó
- erőfölény
- LIMIT
- Korlátozott
- Lincoln
- Sok
- gép
- fontos
- kezelése
- sikerült
- vezetés
- kezelése
- Anyag
- Közben
- intézkedések
- bánja
- több
- elengedhetetlen
- Szükség
- hálózat
- szám
- OKTA
- Művelet
- szervezet
- Más
- rész
- partnerek
- Jelszó
- jelszavak
- múlt
- Fizet
- tengely
- terv
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- Készít
- megakadályozása
- elvek
- folyamat
- Termékek
- projektek
- védelme
- ellátó
- szolgáltatók
- Nyomja
- kész
- észre
- elismerik
- elismert
- ajánlja
- csökkenteni
- szabályos
- raktár
- képvisel
- Reagálni
- válasz
- REST
- Rockstar
- biztonságos
- Mondott
- hatálya
- screenshotok
- biztonság
- idősebb
- érzékeny
- szeptember
- szolgáltatás
- Szolgáltató
- Szolgáltatások
- készlet
- kellene
- Egyszerű
- laza
- So
- szoftver
- néhány
- valami
- forrás
- forráskód
- specializálódott
- kezdődött
- lopott
- memorizált
- stratégiák
- sikeres
- ilyen
- kínálat
- ellátási lánc
- felületi
- Systems
- taktika
- Vesz
- cél
- célok
- csapat
- Tesztelés
- A
- lopás
- azok
- dolog
- fenyegetés
- fenyegetés szereplői
- nak nek
- Ma
- tokenek
- szerszámok
- hagyományosan
- csapdák
- típusok
- alatt
- közelgő
- Felhasználók
- Értékes
- fajta
- Videók
- látható
- figyelmeztetés
- módon
- Mit
- ami
- míg
- széles
- lesz
- dolgozott
- Legrosszabb
- év
- te
- A te
- zephyrnet
