Prevenindo a tomada de controle da Cloud após o comprometimento de credenciais
Ferramentas de integração contínua e entrega/implantação contínua (CI/CD) não são mais um luxo para nenhuma startup. As startups mais ágeis aprenderam que lançar ideias grandes e ambiciosas funciona melhor ao entregar mudanças pequenas, incrementais e fáceis de revisar. As mais produtivas entre elas fazem 40 entregas por dia. Algumas chegam a 80 entregas por dia. Isso só pode ser feito com segurança aproveitando uma ferramenta de CI/CD como CircleCI, GitHub Actions e os pipelines do GitLab, para citar algumas.
CI/CD atrai hackers
Muitas startups e empresas maiores estão usando essas ferramentas hoje em dia. Para que elas implantem código em sua Cloud, você precisa armazenar Secrets de API especiais dentro delas. Isso torna as ferramentas de CI/CD alvos de alto valor para hackers. Na verdade, elas têm um histórico de serem hackeadas o tempo todo.
Dê uma olhada nestes incidentes, que são apenas algumas das recentes violações que foram divulgadas publicamente:
Retrospectiva da violação da CircleCI com IOCs e TTPs
TLDR rápido:
1. Malware em laptop de engenharia
2. Roubou sessão SSO ativa para uma sessão remota
4. Gerou tokens de acesso de produção
5. Exfiltração de ENVs, tokens, chaves de clientes.
6. Chaves de criptografia da CircleCI também foram exfiltradas.https://t.co/25x9t5NLG6
— Ryan McGeehan (@Magoo) 14 de janeiro de 2023
A CircleCI foi violada em janeiro de 2023
- CodeShip: “Notificação Crítica de Segurança: Violação do GitHub” (2020)
- GitHub: “Explorando GitHub Actions em projetos de código aberto” (2022)
- GitLab: “Ações que tomamos em resposta a uma possível violação da Okta” (2022)
- Jenkins: “Um bug crítico no Jenkins descoberto” (2020)
Como você pode ver, isso acontece com bastante regularidade. Como você está defendendo o seu?
Como defendo minha infraestrutura Cloud contra violações como estas?
Quando uma dessas plataformas de CI/CD é hackeada, elas geralmente divulgam a violação. Isso tende a acontecer dentro de um dia após a detecção da violação. No entanto, uma violação pode estar ativa por semanas antes que seja descoberta. Infelizmente, esse tempo pode ser usado para escalar o acesso a todos os clientes das plataformas.
O Aikido ajuda você a identificar suas defesas de CI/CD
Felizmente, existem alguns métodos para garantir que você permaneça seguro mesmo se sua plataforma de escolha for hackeada. A nova integração do Aikido Security com a AWS irá alertá-lo se sua Cloud não tomar ativamente nenhuma das seguintes medidas. Use nossa conta de teste gratuita para ver se sua Cloud já possui defesas contra essas ameaças.
Passos para defender seu CI/CD:
- Ao atribuir roles IAM à sua plataforma CI/CD, certifique-se de que estejam restritos por IP. A maioria das ferramentas de CI/CD possui uma opção para enviar tráfego apenas de um conjunto específico de endereços IP. Essa opção torna os tokens de API roubados inutilizáveis fora da infraestrutura de CI/CD. Um hacker não conseguirá usá-los em seus próprios servidores, o que deve atrasá-los bastante e, potencialmente, bloqueá-los por completo.
- Ao criar credenciais para plataformas CI/CD, dedique tempo para elaborar acessos mínimos. Não conceda direitos de administrador.
- Não coloque todos os seus ovos na mesma cesta: divida suas Clouds em várias contas. Isso minimiza o efeito de uma violação. Por exemplo, uma violação das credenciais do seu ambiente de staging não deve resultar em uma violação do seu ambiente de produção.
- Use single sign-on (SSO) ou autenticação multifator (MFA). É uma escolha óbvia, na verdade.
Infelizmente (mas realisticamente), você deve assumir que seu CI/CD será hackeado um dia. Então, quando chegar a hora, certifique-se de rotacionar todos os tokens de implantação o mais rápido possível.
Proteja seu software agora
.jpg)
.avif)
