Aikido

A lista de verificação prática para a defesa contra ataques à Supply chain

Uma lista de verificação prática para equipas de engenharia que enfrentam a atual geração de ataques à Supply chain. As recomendações seguem o percurso que um pacote comprometido percorre até chegar à produção, desde o registo, passando pelo seu pipeline, até às máquinas em que a sua equipa trabalha. Aborda os hábitos específicos que impedem que um pacote comprometido se transforme num incidente.

Como se defender contra ataques à Supply chain

  • Aplicar uma política relativa à idade dos pacotes antes de qualquer instalação

    A instalação de pacotes executa scripts controlados pelo editor com as permissões do programador antes de qualquer linha de código ser importada. Uma política de idade mínima de 48 horas bloqueia o malware de propagação rápida antes de este chegar aos seus programadores.

  • Associar as dependências do pipeline aos SHA dos commits

    As etiquetas e os nomes dos ramos são mutáveis. Um atacante que comprometa uma ação pode alterar a etiqueta sem alterar o seu ficheiro de fluxo de trabalho. Em vez disso, associe cada ação e dependência do pipeline a um SHA de commit imutável.

  • Implementar a autenticação multifatorial (MFA) resistente ao phishing

    O FIDO2 e as chaves de acesso são o padrão a que se deve aspirar. Os códigos TOTP e SMS podem ser capturados numa página de início de sessão falsa e reproduzidos no site verdadeiro em tempo real, sendo as contas dos administradores um alvo principal.

  • Tratar os servidores MCP como dependências de terceiros

    Os servidores MCP apresentam os mesmos riscos da cadeia de abastecimento que qualquer outra dependência e, muitas vezes, funcionam com mais privilégios de acesso. Instale servidores MCP apenas a partir de fontes verificadas, fixe-os através do hash de integridade ou do SHA do commit e verifique se o servidor possui um repositório atualizado e um editor conhecido antes de proceder à instalação.

Resumo

Os atacantes passaram de atacar aplicações em produção para atacar os sistemas que as desenvolvem, mas os defensores continuam a controlar o que entra nesses sistemas. Controlas o teu ficheiro de bloqueio, a configuração do teu pipeline, os âmbitos dos teus tokens e as ferramentas nas máquinas dos teus programadores. As equipas de engenharia que se destacam são aquelas que utilizam esse controlo antes que alguém descubra os pontos de entrada vulneráveis. Esta lista de verificação contém medidas de defesa práticas que abrangem dependências, pipelines, contentores, ambientes de desenvolvimento e as ferramentas de agente nas quais a tua equipa está a começar a confiar.

O que você aprenderá

Escrito por:
Nicholas Thomson

Nicholas Thomson é Redator de Marketing de Conteúdo na Aikido Security. Anteriormente, ele trabalhou como redator técnico na Datadog e Edge Delta. Antes de entrar na área de tecnologia, ele trabalhou como editor na Penguin Random House.

Principais Descobertas

  • Aplicar uma política relativa à idade dos pacotes antes de qualquer instalação

    A instalação de pacotes executa scripts controlados pelo editor com as permissões do programador antes de qualquer linha de código ser importada. Uma política de idade mínima de 48 horas bloqueia o malware de propagação rápida antes de este chegar aos seus programadores.

  • Associar as dependências do pipeline aos SHA dos commits

    As etiquetas e os nomes dos ramos são mutáveis. Um atacante que comprometa uma ação pode alterar a etiqueta sem alterar o seu ficheiro de fluxo de trabalho. Em vez disso, associe cada ação e dependência do pipeline a um SHA de commit imutável.

  • Implementar a autenticação multifatorial (MFA) resistente ao phishing

    O FIDO2 e as chaves de acesso são o padrão a que se deve aspirar. Os códigos TOTP e SMS podem ser capturados numa página de início de sessão falsa e reproduzidos no site verdadeiro em tempo real, sendo as contas dos administradores um alvo principal.

  • Tratar os servidores MCP como dependências de terceiros

    Os servidores MCP apresentam os mesmos riscos da cadeia de abastecimento que qualquer outra dependência e, muitas vezes, funcionam com mais privilégios de acesso. Instale servidores MCP apenas a partir de fontes verificadas, fixe-os através do hash de integridade ou do SHA do commit e verifique se o servidor possui um repositório atualizado e um editor conhecido antes de proceder à instalação.

Resumo

Os atacantes passaram de atacar aplicações em produção para atacar os sistemas que as desenvolvem, mas os defensores continuam a controlar o que entra nesses sistemas. Controlas o teu ficheiro de bloqueio, a configuração do teu pipeline, os âmbitos dos teus tokens e as ferramentas nas máquinas dos teus programadores. As equipas de engenharia que se destacam são aquelas que utilizam esse controlo antes que alguém descubra os pontos de entrada vulneráveis. Esta lista de verificação contém medidas de defesa práticas que abrangem dependências, pipelines, contentores, ambientes de desenvolvimento e as ferramentas de agente nas quais a tua equipa está a começar a confiar.

O que você aprenderá

Uma lista de verificação prática para equipas de engenharia que enfrentam a atual geração de ataques à Supply chain. As recomendações seguem o percurso que um pacote comprometido percorre até chegar à produção, desde o registo, passando pelo seu pipeline, até às máquinas em que a sua equipa trabalha. Aborda os hábitos específicos que impedem que um pacote comprometido se transforme num incidente.

Escrito por:
Nicholas Thomson

Nicholas Thomson é Redator de Marketing de Conteúdo na Aikido Security. Anteriormente, ele trabalhou como redator técnico na Datadog e Edge Delta. Antes de entrar na área de tecnologia, ele trabalhou como editor na Penguin Random House.