开发人员越来越多地受到用于协作和生成代码的工具(例如 Docker、Kubernetes 和 Slack)的攻击,因为网络犯罪分子和国家行为者的目标是访问开发人员每天都在使用的有价值的软件。
例如,攻击者在 18 月 90 日声称使用被盗的 Slack 凭据访问和复制了 XNUMX 多个代表 侠盗猎车手 6 的早期开发,来自 Take-Two Interactive 的 Rockstar Games 的热门游戏。 一周前,安全公司趋势科技发现攻击者正在系统地搜索并试图破坏配置错误的 Docker 容器。
GitLab 的安全工程师 Mark Loveless 表示,这两种攻击都没有涉及软件程序中的漏洞,但对于开发人员来说,安全失误或配置错误并不少见,他们经常没有采取必要的措施来保护他们的攻击面。 DevOps 平台提供商。
“许多开发人员并不认为自己是目标,因为他们认为完成的代码,最终结果,是攻击者所追求的,”他说。 “开发人员经常承担安全风险——例如在家中设置测试环境或取消所有安全控制——因此他们可以尝试新事物,以期在以后增加安全性。”
他补充说,“不幸的是,这些习惯被复制并成为文化。”
在过去两年中,针对软件供应链以及生产和部署软件的开发人员的攻击迅速增加。 例如,根据“2021 年“软件供应链状况””报告,由软件安全公司 Sonatype 发布。
景点中的开发人员管道和协作
总体而言,安全专家认为,构成 DevOps 风格方法基础的持续集成和持续部署环境 (CI/CD) 的快速发展带来了重大风险,因为 他们经常被忽视 在实施强化安全方面。
这会影响开发人员在努力创建更高效的管道时使用的各种工具。 例如,Slack 是专业开发人员使用的最流行的同步协作工具,Microsoft Teams 和 Zoom 紧随其后,位居第二和第三。 2022 StackOverflow 开发者调查. 此外,调查发现,超过三分之二的开发人员使用 Docker,另外四分之一的开发人员在开发过程中使用 Kubernetes。
消息平台 Element 的首席执行官兼联合创始人 Matthew Hodgson 在发给 Dark Reading 的一份声明中说,像 Slack 这样的工具的违规行为可能是“令人讨厌的”,因为这些工具通常执行关键功能并且通常只有外围防御。
“Slack 不是端到端加密的,所以就像攻击者可以访问公司的全部知识一样,”他说。 “一个真正的鸡窝里的情况。”
超越错误配置:开发人员面临的其他安全问题
应该注意的是,网络攻击者在追捕开发人员时,不要仅仅探测错误配置或安全性松懈。 例如,在 2021 年,一个威胁组织通过 灰色市场购买登录令牌 导致游戏巨头 Electronic Arts 遭到破坏,使网络犯罪分子可以从该公司复制近 800GB 的源代码和数据。 2020 年对 Docker 镜像的调查发现 超过一半的最新版本 存在严重漏洞,这些漏洞会使基于容器的任何应用程序或服务面临风险。
网络钓鱼和社会工程也是该领域的瘟疫。 就在本周,使用两项 DevOps 服务(CircleCI 和 GitHub)的开发人员被 以网络钓鱼攻击为目标.
而且,没有证据表明针对 Rockstar Games 的攻击者利用了 Slack 中的漏洞——只有所谓的攻击者的说法。 Slack 发言人在一份声明中说,相反,社会工程可能是绕过安全措施的方式。
“跨身份和设备管理、数据保护和信息治理的企业级安全性已融入到用户如何在 Slack 中协作和完成工作的各个方面,”发言人说,并补充说:“这些 [社会工程] 策略正变得越来越常见且复杂,Slack 建议所有客户采取强有力的安全措施来保护他们的网络免受社会工程攻击,包括安全意识培训。”
缓慢的安全改进,更多的工作要做
然而,随着应用程序安全专家要求更好的控制,开发人员只是慢慢地接受了安全性。 许多开发商 继续泄露“秘密” — 包括密码和 API 密钥 — 在推送到存储库的代码中。 因此,GitLab 的 Loveless 说,开发团队不仅应该关注保护他们的代码和防止导入不受信任的组件,还应该确保他们管道的关键功能不受影响。
“整个零信任部分,通常是关于识别人和类似的东西,也应该有同样的原则适用于你的代码,”他说。 “所以不要相信代码; 它必须被检查。 让人们或流程做出最坏的假设——我不会自动相信它——尤其是当代码正在做一些关键的事情时,比如构建一个项目。”
此外,许多开发者仍然没有使用基本措施来加强认证,例如使用多因素认证(MFA)。 然而,变化正在发生。 越来越多的各种开源软件包生态系统都已经启动 要求重大项目采用多因素认证.
Loveless 说,在要关注的工具方面,Slack 由于最近的重大违规事件而受到关注,但开发人员应该努力在他们所有的工具中实现基线级别的安全控制。
“有起有落,但这对攻击者来说是可行的,”他说。 “从我戴各种不同颜色帽子的经验来看,作为攻击者,你会寻找最简单的方法,所以如果另一种方法变得更容易,那么你会说,'我会先尝试。'”
亚搏体育应用程序已经在自己的错误赏金计划中看到了这种跟随领导者的行为,Loveless 笔记。
“我们看到,当人们发送 bug 时,突然之间,某种新技术——一种新技术——会变得流行起来,并且由该技术产生的大量提交内容将会涌入,”他说。 “他们肯定是一波又一波的。”
