Prevenir a aquisição da nuvem após o comprometimento de credenciais
As ferramentas de integração contínua e de entrega/implementação contínua (CI/CD) já não são um luxo para qualquer empresa em fase de arranque. As startups mais rápidas aprenderam que o envio de ideias grandes e ambiciosas funciona melhor através do envio de alterações pequenas, incrementais e fáceis de rever. As mais produtivas entre elas enviam 40 vezes por dia. Algumas chegam a fazer até 80 vezes por dia. Isso só pode ser feito com segurança aproveitando uma ferramenta de CI/CD como CircleCI, GitHub Actions e os pipelines do GitLab, para citar alguns.
CI/CD atrai hackers
Atualmente, muitas startups e grandes empresas estão a utilizar estas ferramentas. Para que estas implementem código na sua nuvem, tem de armazenar segredos de API especiais dentro delas. Isso faz com que as ferramentas de CI/CD sejam alvos de alto valor para os hackers. De facto, têm um historial de serem pirateadas a toda a hora.
Veja estes incidentes, que são apenas algumas das recentes violações que foram divulgadas publicamente:
Retrospetiva da violação da CircleCI com IOCs e TTPs
TLDR rápido:
1. Malware no portátil do eng.
2. Roubou uma sessão SSO ativa para uma sessão remota
4. Gerou tokens de acesso à produção
5. Exfilmou ENVs, tokens e chaves de clientes.
6. Chaves de encriptação CircleCI também exfiltradas.https://t.co/25x9t5NLG6
- Ryan McGeehan (@Magoo) 14 de janeiro de 2023
A CircleCI foi violada em janeiro de 2023
- CodeShip: "Notificação de segurança crítica: Violação do GitHub" (2020)
- GitHub: "Explorar as acções do GitHub em projectos de código aberto" (2022)
- GitLab: "Medidas que tomámos em resposta a uma potencial violação da Okta" (2022)
- Jenkins: "Descoberto um erro crítico em Jenkins" (2020)
Como pode ver, isso acontece com bastante regularidade. Como está a defender o seu?
Como é que defendo a minha infraestrutura de nuvem contra violações como estas?
Quando uma destas plataformas de CI/CD é pirateada, normalmente divulgam a violação. Isso tende a acontecer no prazo de um dia após a descoberta da violação. No entanto, uma violação pode estar ativa durante semanas antes de ser descoberta. Infelizmente, esse tempo pode ser utilizado para aumentar o acesso a todos os clientes das plataformas.
O Aikido ajuda-o a identificar as suas defesas de CI/CD
Felizmente, existem alguns métodos para garantir a sua segurança, mesmo que a sua plataforma de eleição seja pirateada. A nova integração da Aikido Securitycom a AWS irá alertá-lo se a sua nuvem não tomar ativamente nenhuma das seguintes medidas. Utilize a nossa conta de avaliação gratuita para ver se a sua nuvem já tem defesas contra estas ameaças.
Passos a dar para defender a sua CI/CD:
- Ao atribuir funções de IAM à sua plataforma de CI/CD, certifique-se de que elas são restritas por IP. A maioria das ferramentas de CI/CD tem uma opção para enviar apenas tráfego de um conjunto específico de endereços IP. Essa opção torna os tokens de API roubados inutilizáveis fora da infraestrutura de CI/CD. Um hacker não poderá usá-los em seus próprios servidores, o que deve torná-los muito mais lentos e potencialmente bloqueá-los completamente.
- Ao criar credenciais para plataformas de CI/CD, dedique algum tempo a criar um acesso mínimo. Não conceda direitos de administrador.
- Não coloque todos os seus ovos no mesmo cesto: divida as suas nuvens em várias contas. Isto minimiza o efeito de uma violação. Por exemplo, uma violação das credenciais do seu ambiente de teste não deve resultar numa violação do seu ambiente de produção.
- Utilizar o início de sessão único (SSO) ou a autenticação multifactor (MFA). É realmente fácil.
Infelizmente (mas realisticamente), você deve assumir que seu CI/CD será hackeado um dia. Portanto, quando chegar a hora, certifique-se de alternar todos os tokens de implantação o mais rápido possível.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)