CircleCI, LastPass, Okta ve Slack: Siber Saldırganlar Temel Kurumsal Araçlara Dönüyor

Ocak ayının başlarında, geliştirme hattı hizmet sağlayıcısı CircleCI, kullanıcıları bir güvenlik ihlali konusunda uyardı ve şirketleri platformda depolanan veya platform tarafından yönetilen parolaları, SSH anahtarlarını ve diğer sırları derhal değiştirmeye çağırdı.

The DevOps hizmetine saldırı şirketi, ihlalin kapsamını belirlemek, saldırganların yazılım projelerini değiştirme yeteneğini sınırlamak ve hangi geliştirme sırlarının ele geçirildiğini belirlemek için çabalamaya bıraktı. Aradan geçen günlerde şirket, kimlik doğrulama belirteçlerini değiştirdi, yapılandırma değişkenlerini değiştirdi, anahtarların geçerliliğini yitirmesi için diğer sağlayıcılarla birlikte çalıştı ve olayı araştırmaya devam etti.

“Bu noktada, sistemlerimizde yetkisiz aktörlerin aktif olmadığından eminiz; ancak, çok dikkatli bir şekilde, verilerinizi korumak için tüm müşterilerin de belirli önleyici tedbirler almasını sağlamak istiyoruz” dedi. Geçen hafta bir danışma belgesinde belirtilen.

The CircleCI uzlaşması saldırganların temel kurumsal hizmetlere giderek daha fazla odaklandığının altını çizen en son olaydır. gibi kimlik hizmetleri Okta ve LastPassgibi geliştirici odaklı hizmetler, geçen yıl sistemlerindeki tavizleri ifşa etti. Gevşeklik ve GitHub, kaynak kodlarına ve altyapılarına yönelik başarılı saldırılara da yanıt vermek için hızlandı.

Bulut güvenlik firması F5'te seçkin bir mühendis ve evangelist olan Lori MacVittie, temel kurumsal araçlara yapılan saldırı bolluğunun, şirketlerin bu tür sağlayıcıların gelecekte düzenli hedefler haline gelmesini beklemesi gerektiği gerçeğini vurguladığını söylüyor.

"Geliştirme derlemesinden test etmeye ve konuşlandırmaya kadar her şeyi otomatikleştirmek için hizmetlere ve yazılımlara daha fazla güvendiğimiz için, bu hizmetler çekici bir saldırı yüzeyi haline geliyor" diyor. "Onları saldırganların odaklanacağı uygulamalar olarak düşünmüyoruz ama onlar öyle."

Siber Saldırı Altında Kimlik ve Geliştirici Hizmetleri

Saldırganlar son zamanlarda iki ana hizmet kategorisine odaklandı: kimlik ve erişim yönetimi sistemleri ile geliştirici ve uygulama altyapısı. Her iki hizmet türü de kurumsal altyapının kritik yönlerinin temelini oluşturur.

Bir tespit ve yanıt firması olan NetWitness'ın saha CTO'su Ben Smith, kimliğin bir organizasyonun her bölümünü birbirine bağlayan ve aynı zamanda bu organizasyonu ortaklara ve müşterilere bağlayan yapıştırıcı olduğunu söylüyor.

"Hangi ürünü, hangi platformu kullandığınız önemli değil... Saldırganlar, kimlik doğrulama konusunda uzmanlaşmış bir kuruluştan daha iyi olan tek şeyin, diğer müşteriler için kimlik doğrulama konusunda uzmanlaşmış bir kuruluş olduğunu anladılar" diyor.

Bu arada geliştirici hizmetleri ve araçları, sık sık saldırıya uğrayan başka bir kurumsal hizmet haline gelir. Eylül ayında bir tehdit aktörü Slack kanalına erişim kazandı Rockstar Games'teki geliştiriciler için, örneğin yaklaşan Grand Theft Auto 6 oyunundan videolar, ekran görüntüleri ve kod indirme. Ve 9 Ocak'ta, Slack keşfettiğini söyledi "Sınırlı sayıda Slack çalışan belirteci çalındı ​​ve harici olarak barındırılan GitHub depomuza erişim sağlamak için kötüye kullanıldı."

NetWitness'tan Smith, kimlik ve geliştirici hizmetleri genellikle uygulama hizmetlerinden işlemlere ve kaynak koduna kadar çok çeşitli kurumsal varlıklara erişim sağladığından, bu hizmetlerden ödün vermenin şirketin geri kalanı için bir iskelet anahtarı olabileceğini söylüyor.

"Düşük asılı meyveleri temsil eden çok çok çekici hedefler" diyor. "Bunlar klasik tedarik zinciri saldırıları - bir tesisat saldırısı, çünkü tesisat günlük olarak görülebilen bir şey değil."

Siber Savunma için Sırları Akıllıca Yönetin ve Oyun Kitapları Oluşturun

Bishop Fox'ta yönetici kıdemli danışman olan Ben Lincoln, kuruluşların en kötüsüne hazırlanmaları ve bu tür geniş kapsamlı, etkili olayların etkisini önlemenin basit bir yolu olmadığını kabul etmeleri gerektiğini söylüyor.

"Buna karşı korunmanın yolları var, ancak bunların bazı ek yükleri var" diyor. "Bu nedenle, geliştiricilerin gerekli oldukları ortaya çıkana kadar bunları uygulamak konusunda isteksiz olduklarını görebiliyorum."

Savunma taktikleri arasında Lincoln, sırların kapsamlı bir şekilde yönetilmesini önerir. Şirketler "bir düğmeye basabilmeli" ve gerekli tüm parola, anahtarlar ve hassas yapılandırma dosyalarını döndürebilmelidir, diyor.

"Maruz kalmayı sınırlamanız gerekiyor, ancak bir ihlal varsa, tüm bu kimlik bilgilerini hemen döndürmek için bir düğmeye basacağınızı umarız" diyor. "Şirketler önceden kapsamlı bir planlama yapmalı ve en kötü şey olursa gitmeye hazır bir sürece sahip olmalıdır."

Kuruluşlar ayrıca saldırganlar için tuzaklar kurabilir. Çeşitli bal küpü benzeri stratejiler, güvenlik ekiplerinin saldırganların kendi ağlarında veya bir hizmette olabileceğine dair yüksek doğrulukta bir uyarı almasına olanak tanır. Sahte hesaplar ve kimlik bilgileri oluşturmak, sözde kimlik bilgisi kanaryaları, tehdit aktörlerinin hassas varlıklara erişimi olduğunu tespit etmeye yardımcı olabilir.

Ancak MacVittie'ye göre şirketlerin saldırı yüzey alanlarını (yalnızca makineler, yazılımlar ve hizmetler değil, aynı zamanda operasyonlar) da azaltmak için diğer tüm yollardan sıfır güven ilkelerini uygulamaları gerekiyor.

"Geleneksel olarak, operasyonlar [kurumdaki] büyük bir hendek arkasında gizli ve güvenliydi, bu nedenle şirketler onlara pek aldırış etmiyordu" diyor. "Günümüzde uygulamaların ve dijital hizmetlerin yapılandırılma şekli, operasyonlar uygulamadan uygulamaya, makineden uygulamaya çok sayıda kimlik içeriyor ve saldırganlar bu kimliklerin de aynı derecede değerli olduğunu fark etmeye başladı."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools