CircleCI、LastPass、Okta、Slack: サイバー攻撃者はコア エンタープライズ ツールを標的に

XNUMX 月初旬、開発パイプライン サービス プロバイダーである CircleCI は、ユーザーにセキュリティ侵害について警告し、プラットフォームに保存または管理されているパスワード、SSH キー、およびその他の秘密を直ちに変更するよう企業に促しました。

　 DevOps サービスへの攻撃 同社は、侵害の範囲を特定し、攻撃者がソフトウェア プロジェクトを変更する能力を制限し、どの開発機密情報が侵害されたかを特定するために大急ぎでした。 その間、同社は認証トークンをローテーションし、構成変数を変更し、他のプロバイダーと協力してキーを期限切れにし、インシデントの調査を続けました。

「現時点で、私たちのシステムには不正なアクターが活動していないと確信しています。 ただし、細心の注意を払って、すべての顧客がデータを保護するための特定の予防措置を確実に講じるようにしたいと考えています」と同社は述べています。 先週の勧告で述べた.

　 CircleCI の侵害 は、攻撃者が基本的なエンタープライズ サービスにますます重点を置いていることを強調する最新のインシデントです。 などの ID サービス および のLastPass、過去XNUMX年間にシステムの侵害を明らかにしましたが、次のような開発者に焦点を当てたサービス Slack および GitHubの、ソースコードとインフラストラクチャへの攻撃の成功にも迅速に対応しました。

クラウド セキュリティ企業 F5 の著名なエンジニア兼エバンジェリストである Lori MacVittie は、コア エンタープライズ ツールへの攻撃の過剰は、企業がこの種のプロバイダーが将来定期的に標的になることを予期すべきであるという事実を浮き彫りにしています。

「開発ビルドからテスト、展開までのすべてを自動化するために、サービスとソフトウェアへの依存度が高まるにつれて、これらのサービスは魅力的な攻撃対象になります」と彼女は言います。 「私たちはそれらを攻撃者が注目するアプリケーションとは考えていませんが、実際にはそうです。」

サイバー攻撃を受ける ID および開発者サービス

攻撃者は最近、ID とアクセス管理システム、および開発者とアプリケーション インフラストラクチャという XNUMX つの主要なサービス カテゴリに注目しています。 どちらのタイプのサービスも、エンタープライズ インフラストラクチャの重要な側面を支えています。

ID は、組織のあらゆる部分を結び付ける接着剤であると同時に、その組織をパートナーや顧客と結び付ける接着剤でもあると、検知および対応企業である NetWitness のフィールド CTO である Ben Smith 氏は述べています。

「どの製品、どのプラットフォームを利用しているかは問題ではありません。攻撃者は、認証を専門とする組織よりも優れた唯一のものは、他の顧客の認証を専門とする組織であることを認識しています」と彼は言います。

一方、開発者サービスとツールには 頻繁に攻撃されるエンタープライズ サービスの XNUMX つになる. XNUMX 月、脅威アクター Slack チャネルへのアクセスを取得しました たとえば、Rockstar Games の開発者向けに、今後の Grand Theft Auto 6 ゲームからビデオ、スクリーンショット、およびコードをダウンロードします。 そして9月XNUMX日、 Slackは、それが発見したと言った 「限られた数の Slack 従業員トークンが盗まれ、外部でホストされている GitHub リポジトリにアクセスするために悪用された」

多くの場合、ID サービスと開発者サービスは、アプリケーション サービスから運用、ソース コードに至るまで、さまざまな企業資産へのアクセスを提供するため、これらのサービスを危険にさらすことは、会社の残りの部分へのスケルトン キーになる可能性がある、と NetWitness の Smith 氏は言います。

「彼らは非常に魅力的なターゲットであり、簡単に達成できることを表しています」と彼は言います。 「これらは典型的なサプライ チェーン攻撃です。配管は日常的に目に見えるものではないため、配管攻撃です。」

サイバー防御のために、秘密を賢く管理し、プレイブックを確立する

ビショップ フォックスのシニア コンサルタントであるベン リンカーン氏は、組織は最悪の事態に備え、このような広範で影響力のある出来事の影響を防ぐ簡単な方法はないことを認識する必要があると述べています。

「これを防ぐ方法はありますが、多少のオーバーヘッドがあります」と彼は言います。 「そのため、開発者は、それらが必要であることが明らかになるまで実装することに消極的であることがわかります。」

防御戦術の中で、リンカーンは秘密の包括的な管理を推奨しています。 企業は「ボタンを押す」だけで、必要なすべてのパスワード、キー、および機密性の高い構成ファイルをローテーションできる必要がある、と彼は言います。

「露出を制限する必要がありますが、侵害が発生した場合は、それらすべての認証情報をすぐにローテーションするためのプッシュ ボタンが必要です」と彼は言います。 「企業は事前に綿密な計画を立て、最悪の事態が発生した場合に備えてプロセスを準備しておく必要があります。」

組織は、攻撃者に対してトラップを設定することもできます。 さまざまなハニーポットのような戦略により、セキュリティ チームは、攻撃者がネットワーク内またはサービス上にいる可能性があるという忠実度の高い警告を得ることができます。 偽のアカウントと認証情報を作成し、 いわゆる資格情報のカナリア、脅威アクターが機密資産にアクセスしたことを検出するのに役立ちます。

ただし、他のすべての方法では、企業はゼロトラストの原則を適用して、マシン、ソフトウェア、サービスだけでなく、運用の攻撃対象領域を減らす必要があると MacVittie 氏は言います。

「伝統的に、業務は [企業内の] 大きな堀の後ろに隠され、安全に行われていたため、企業は業務にそれほど注意を払っていませんでした」と彼女は言います。 「今日のアプリケーションとデジタル サービスの構築方法では、運用には多くのアプリ間、マシン間の ID が関与しており、攻撃者はそれらの ID が同様に価値があることに気づき始めています。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools