官场小说排行榜,官场小说排行榜,小说阅读器

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

為什么DevOps管道受到網(wǎng)絡(luò)攻擊以及如何反擊

在2017年，網(wǎng)絡(luò)攻擊者在一個(gè)金融軟件包中植入了NotPetya惡意蠕蟲(chóng)。當(dāng)很多企業(yè)更新他們的軟件時(shí)，就會(huì)被感染。NotPetya蠕蟲(chóng)病毒因此迅速傳播，并為全球各地的企業(yè)帶來(lái)數(shù)十億美元的損失。美國(guó)政府稱(chēng)其為“史上最具破壞性和代價(jià)最高的網(wǎng)絡(luò)攻擊”。

零陵網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián),零陵網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為零陵上千多家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)公司要多少錢(qián)，請(qǐng)找那個(gè)售后服務(wù)好的零陵做網(wǎng)站的公司定做！

在三年后，網(wǎng)絡(luò)攻擊者侵入了SolarWinds公司的Orion網(wǎng)絡(luò)監(jiān)控工具集的軟件升級(jí)過(guò)程。其帶來(lái)的破壞性也是十分廣泛的。

全球網(wǎng)絡(luò)安全咨詢(xún)機(jī)構(gòu)NCC集團(tuán)的高級(jí)安全顧問(wèn)Viktor Gazdag表示：“訪(fǎng)問(wèn)軟件開(kāi)發(fā)管道，可能使網(wǎng)絡(luò)攻擊者有機(jī)會(huì)接觸網(wǎng)絡(luò)基礎(chǔ)設(shè)施并獲得知識(shí)產(chǎn)權(quán)。”

對(duì)DevOps管道的網(wǎng)絡(luò)攻擊正在增加

可以說(shuō)，網(wǎng)絡(luò)攻擊通常是孤立的，并且依賴(lài)于高度積極和熟練的攻擊者。事實(shí)上，DevOps管道成為犯罪團(tuán)伙的主要目標(biāo)。

根據(jù)安全服務(wù)商Argon公司在上個(gè)月發(fā)布的一份研究報(bào)告，與2020年相比，網(wǎng)絡(luò)攻擊者在2021年對(duì)軟件供應(yīng)鏈的攻擊數(shù)量增長(zhǎng)了300%以上。常見(jiàn)的策略包括在流行的開(kāi)源軟件包中植入惡意代碼或利用已經(jīng)存在的漏洞，損害持續(xù)集成(CI)/持續(xù)交付(CD)管道工具，并利用硬編碼憑據(jù)和其他錯(cuò)誤配置和安全問(wèn)題。開(kāi)源組件通道是一個(gè)受網(wǎng)絡(luò)攻擊者歡迎的目標(biāo)。

根據(jù)Sonatype公司在去年9月發(fā)布的一項(xiàng)研究報(bào)告，與2020年相比，去年對(duì)開(kāi)源軟件供應(yīng)鏈的攻擊增加了650%。其攻擊面很大。根據(jù)Sonatype公司的數(shù)據(jù)，超過(guò)3700萬(wàn)個(gè)組件和軟件包位于前四大開(kāi)源生態(tài)系統(tǒng)中。去年開(kāi)源軟件下載量達(dá)到2.2萬(wàn)億次，與2020年相比增長(zhǎng)了73%。

為什么DevOps管道易受攻擊

Gazdag表示，軟件開(kāi)發(fā)人員通常具有較高的權(quán)限級(jí)別和訪(fǎng)問(wèn)權(quán)限。如果正在生產(chǎn)的軟件是為外部使用而設(shè)計(jì)的，那么影響可能會(huì)大得多。他說(shuō)，“網(wǎng)絡(luò)攻擊者也有機(jī)會(huì)在最終應(yīng)用中站穩(wěn)腳跟?！?/p>

因此，DevOps管道應(yīng)該具有更高級(jí)別的安全性。但與其相反，他們有很多薄弱的安全實(shí)踐和暴露的基礎(chǔ)設(shè)施和憑據(jù)。GazDag說(shuō)，“如果使用Shodan并搜索開(kāi)發(fā)工具‘Jenkins'，就會(huì)在互聯(lián)網(wǎng)上看到很多可用和可訪(fǎng)問(wèn)的Jenkins基礎(chǔ)設(shè)施。”

Gazdag說(shuō)，持續(xù)集成(CI)/持續(xù)交付(CD)基礎(chǔ)設(shè)施通常沒(méi)有得到與企業(yè)其他領(lǐng)域同等程度的關(guān)注。隨著現(xiàn)代發(fā)展實(shí)踐，情況變得越來(lái)越糟。

Gartner公司分析師Dale Gardner說(shuō)：“隨著企業(yè)轉(zhuǎn)向DevOps，我們?cè)陂_(kāi)發(fā)方面采取的一些控制措施有放松的趨勢(shì)。我們希望變得靈活，而DevOps的方法是，我們正試圖快速發(fā)布代碼。限制和控制阻礙了這一點(diǎn)?！?/p>

對(duì)DevOps管道的攻擊類(lèi)型

Linux基金會(huì)開(kāi)源供應(yīng)鏈安全主管David Wheeler表示，三種最常見(jiàn)的攻擊類(lèi)型是依賴(lài)混淆、誤植域名和惡意代碼注入。

依賴(lài)混淆也稱(chēng)為名稱(chēng)空間混淆，是指網(wǎng)絡(luò)攻擊者找出專(zhuān)有企業(yè)軟件包的名稱(chēng)，并創(chuàng)建具有相同名稱(chēng)和較晚發(fā)布日期的開(kāi)源軟件包。某些管道工具會(huì)自動(dòng)嘗試下載最新版本的軟件包，并最終獲得了帶有病毒的軟件包。

誤植域名是指網(wǎng)絡(luò)攻擊者創(chuàng)建一個(gè)名稱(chēng)幾乎與真實(shí)軟件包相同的開(kāi)源軟件包，希望被攻擊者輸入錯(cuò)誤并使用錯(cuò)誤的庫(kù)。

惡意代碼注入是網(wǎng)絡(luò)攻擊者將惡意代碼添加到合法開(kāi)源項(xiàng)目的地方。他們可以通過(guò)竊取項(xiàng)目維護(hù)者的憑據(jù)，并以他們的名義上傳代碼、自愿參與項(xiàng)目，或篡改開(kāi)源開(kāi)發(fā)工具來(lái)做到這一點(diǎn)。

開(kāi)源軟件中的漏洞

開(kāi)源軟件面臨很多漏洞的問(wèn)題，而網(wǎng)絡(luò)攻擊者可以利用這些漏洞。應(yīng)用安全測(cè)試商Synopsys公司在去年4月審查了1500多個(gè)企業(yè)軟件項(xiàng)目的代碼，其中包括內(nèi)部和商業(yè)項(xiàng)目，發(fā)現(xiàn)98%的開(kāi)源軟件包含一些開(kāi)源代碼。對(duì)于一般的應(yīng)用程序，75%的代碼庫(kù)是開(kāi)源的。

更可怕的是，在Synopsys公司的分析中，84%的代碼庫(kù)至少有一個(gè)漏洞。那是在Log4J漏洞曝光之前，安全研究人員稱(chēng)之為多年來(lái)最危險(xiǎn)的Java攻擊。此外，91%的開(kāi)源軟件在過(guò)去兩年中沒(méi)有進(jìn)行過(guò)任何維護(hù)。

根據(jù)Flashpoint公司基于風(fēng)險(xiǎn)的安全在今年2月發(fā)布的一份調(diào)查報(bào)告，2021年有28000多個(gè)新漏洞被披露，創(chuàng)歷史新高。其中4000多個(gè)漏洞可以遠(yuǎn)程利用，其中包括公開(kāi)利用和記錄的解決方案信息。

分析報(bào)告稱(chēng)，Log4j漏洞特別危險(xiǎn)，其影響超過(guò)了所有其他漏洞。該庫(kù)出現(xiàn)在6200多種其他軟件產(chǎn)品中，并且供應(yīng)商咨詢(xún)的數(shù)量繼續(xù)攀升。

如何保護(hù)軟件開(kāi)發(fā)管道

企業(yè)應(yīng)該做些什么來(lái)保護(hù)他們的軟件開(kāi)發(fā)管道?它從對(duì)開(kāi)發(fā)人員的教育和培訓(xùn)開(kāi)始，制定最佳安全實(shí)踐，如雙因素身份驗(yàn)證和代碼審查，并安裝監(jiān)控工具來(lái)標(biāo)記可疑活動(dòng)。

它從開(kāi)發(fā)人員開(kāi)始

托管服務(wù)提供商Ensono公司網(wǎng)絡(luò)安全高級(jí)總監(jiān)David Gochenaur表示，在代碼開(kāi)發(fā)和部署過(guò)程的安全性方面，內(nèi)部開(kāi)發(fā)人員和第三方軟件商店都需要進(jìn)行監(jiān)督，需要以不同的方式接觸這些開(kāi)發(fā)人員。

Ensono公司并不對(duì)外銷(xiāo)售軟件，但它需要定制軟件來(lái)維護(hù)和管理客戶(hù)的門(mén)戶(hù)網(wǎng)站。這些門(mén)戶(hù)網(wǎng)站的安全性至關(guān)重要。Gochenaur說(shuō)，“我們?yōu)樵S多客戶(hù)管理系統(tǒng)，并收集有關(guān)這些系統(tǒng)狀態(tài)的數(shù)據(jù)，并將其放入門(mén)戶(hù)?！?/p>

這意味著Ensono公司的工具可以訪(fǎng)問(wèn)這些客戶(hù)系統(tǒng)，這使得Ensono公司成為網(wǎng)絡(luò)攻擊者的高價(jià)值目標(biāo)。

Gochenaur說(shuō)，“因?yàn)榭蛻?hù)太多了，要確?？蛻?hù)A不能進(jìn)入客戶(hù)B的數(shù)據(jù)。從國(guó)家安全角度和隱私角度來(lái)看，我們的一些客戶(hù)非常敏感。”

因此，在審查供應(yīng)商時(shí)，第一個(gè)挑戰(zhàn)是非常嚴(yán)格。他說(shuō)，“你必須非常了解他們，SolarWinds數(shù)據(jù)泄露事件就是一個(gè)很好的例子，還有許多其他第三方的例子，它們沒(méi)有很好地保護(hù)自己，并被用作威脅行為者的切入點(diǎn)?！?/p>

Gochenaur說(shuō)，“這其中包括外部軟件開(kāi)發(fā)公司。當(dāng)我們使用第三方服務(wù)時(shí)，我們會(huì)非常嚴(yán)格地審查他們，以確保他們有適當(dāng)?shù)牧鞒毯涂刂拼胧?，并確保從他們那里得到的任何東西都是安全的，這包括審查他們的測(cè)試程序和他們?cè)陂_(kāi)發(fā)環(huán)境中實(shí)施的安全控制。我們還在合同中加入了缺陷處罰?！?/p>

然后，對(duì)于該公司自己的開(kāi)發(fā)人員來(lái)說(shuō)，最大的問(wèn)題是不能使用可公開(kāi)訪(fǎng)問(wèn)的代碼庫(kù)，Gochenaur說(shuō)，“因?yàn)槿魏螙|西都可能存在，可能有一些代碼看起來(lái)非常棒，但它允許網(wǎng)絡(luò)威脅參與者訪(fǎng)問(wèn)我們正在做的任何事情。”

Gochenaur表示，開(kāi)發(fā)人員可能會(huì)采取許多其他措施來(lái)幫助他們生成更安全的代碼。一種有助于提供安全培訓(xùn)和激勵(lì)的策略是由第三方和內(nèi)部團(tuán)隊(duì)進(jìn)行滲透測(cè)試。他說(shuō)，“這將對(duì)所開(kāi)發(fā)產(chǎn)品的質(zhì)量產(chǎn)生巨大影響?！?/p>

事實(shí)上，當(dāng)Gochenaur對(duì)公司軟件進(jìn)行滲透測(cè)試時(shí)，開(kāi)發(fā)人員總是要求參加測(cè)試并觀(guān)看白帽黑客的工作。他說(shuō)，“他們想了解自己在做什么，并從滲透測(cè)試人員發(fā)現(xiàn)的漏洞中學(xué)習(xí)。它給了開(kāi)發(fā)人員一種不同的思考方式。現(xiàn)在，當(dāng)我引入第三方服務(wù)時(shí)，我的一個(gè)要求是技術(shù)團(tuán)隊(duì)可以了解發(fā)生了什么，并向第三方學(xué)習(xí)?！?/p>

使用適當(dāng)?shù)墓ぞ吆涂丶?/h4>
為了幫助該公司的開(kāi)發(fā)人員做出正確的決策，并確保他們的安全，Ensono公司實(shí)施了多項(xiàng)安全控制措施。例如，多因素身份驗(yàn)證有助于防止外部人員訪(fǎng)問(wèn)DevOps管道。該公司使用私有代碼庫(kù)，以便開(kāi)發(fā)人員可以從已經(jīng)審核和批準(zhǔn)的代碼中進(jìn)行選擇。
Ensono公司還擁有專(zhuān)門(mén)負(fù)責(zé)修補(bǔ)系統(tǒng)的團(tuán)隊(duì)，以確保部署的所有內(nèi)容都是最新的。Gochenaur說(shuō)，“我們定期掃描整個(gè)環(huán)境以尋找漏洞?！?/p>
凱捷公司的DevOps架構(gòu)師Venky Chennapragada表示，企業(yè)可以做其他事情來(lái)幫助鎖定他們經(jīng)常錯(cuò)過(guò)的開(kāi)發(fā)管道。例如，企業(yè)應(yīng)該為非生產(chǎn)暫存環(huán)境和生產(chǎn)設(shè)置單獨(dú)的管道，并限制訪(fǎng)問(wèn)這兩個(gè)系統(tǒng)的人員。為了進(jìn)一步鎖定訪(fǎng)問(wèn)權(quán)限，企業(yè)應(yīng)該使用企業(yè)級(jí)訪(fǎng)問(wèn)管理系統(tǒng)，例如Active Directory或LDAP。
許多企業(yè)為軟件開(kāi)發(fā)團(tuán)隊(duì)提供單獨(dú)的用戶(hù)數(shù)據(jù)庫(kù)或使用內(nèi)置的用戶(hù)管理工具，而擁有一個(gè)單獨(dú)的系統(tǒng)更容易。
Chennapragada說(shuō)，“如果我要與Active Directory或LDAP集成，就會(huì)進(jìn)行安全審計(jì)。一些工程師可能想繞過(guò)安全審計(jì)，因?yàn)樗麄儧](méi)有正確安裝東西?！?/p>
基于角色的訪(fǎng)問(wèn)是可能會(huì)讓開(kāi)發(fā)人員感到討厭的另一種控制方法。Chennapragada說(shuō)， “授予完全訪(fǎng)問(wèn)權(quán)限總是很容易，而不必創(chuàng)建用戶(hù)組和角色，但這是一種不好的做法?！?/p>
最后，Chennapragada建議企業(yè)仔細(xì)跟蹤進(jìn)入其軟件的所有組件，尤其是開(kāi)源庫(kù)。他說(shuō)，“開(kāi)發(fā)人員傾向于在他們的軟件中包含開(kāi)源代碼，它可能存在錯(cuò)誤和安全漏洞。”
外部庫(kù)需要經(jīng)過(guò)安全掃描和代碼審查，開(kāi)發(fā)人員應(yīng)僅限于使用經(jīng)過(guò)認(rèn)證的依賴(lài)項(xiàng)。而其他有吸引力的工具包括操作系統(tǒng)變體和插件。例如，Linux有數(shù)百萬(wàn)種不同的風(fēng)格。Chennapragada說(shuō)，“確保他們使用的任何版本都經(jīng)過(guò)強(qiáng)化，并且是最新的。流行的開(kāi)發(fā)工具Jenkins是一個(gè)開(kāi)源自動(dòng)化服務(wù)器，帶有各種插件。插件的安全可能非常脆弱。網(wǎng)絡(luò)攻擊者可以將惡意代碼放入插件中，從而接管受害者的系統(tǒng)?！?/p>
網(wǎng)絡(luò)安全供應(yīng)商ImmuniWeb公司首席執(zhí)行官I(mǎi)lia Kolochenko說(shuō)，有許多可用的安全控制和流程，它們成本不高，也不會(huì)產(chǎn)生太多開(kāi)銷(xiāo)，但確實(shí)需要一些深思熟慮的計(jì)劃或培訓(xùn)。例如，AWS公司提供了成本不高甚至免費(fèi)的內(nèi)置安全控制和工具，他說(shuō)。“人們不會(huì)選擇它們，因?yàn)樗麄儾恢肋@些工具，或者認(rèn)為不需要它們，或者很難挖掘和利用它們?！?/p>
他說(shuō)，“云計(jì)算使部署持續(xù)安全監(jiān)控和事件響應(yīng)等工具變得更加容易?？梢詸z測(cè)到可疑活動(dòng)并立即停止它，用干凈的文件替換，并在不離線(xiàn)的情況下繼續(xù)操作。云計(jì)算提供了許多很好的機(jī)會(huì)來(lái)自動(dòng)化其持續(xù)安全監(jiān)控和事件響應(yīng)，但有些人沒(méi)有使用它。"

提供軟件材料清單(SBOM)，但也掃描漏洞

許多業(yè)內(nèi)人士一直在推動(dòng)軟件材料清單(SBOM)。去年5月，美國(guó)總統(tǒng)拜登發(fā)布了一項(xiàng)行政命令，要求向美國(guó)的政府部門(mén)提供軟件材料清單(SBOM)。在兩天后，云原生計(jì)算基金會(huì)發(fā)布了一份最佳實(shí)踐白皮書(shū)，建議所有供應(yīng)商在可能的情況下提供軟件材料清單(SBOM)，并提供明確和直接的依賴(lài)關(guān)系鏈接。

軟件材料清單(SBOM)將幫助企業(yè)在其環(huán)境中找到易受網(wǎng)絡(luò)攻擊組件的實(shí)例。例如，Log4j在去年12月進(jìn)行了修補(bǔ)，但截至2月11日，40%的下載仍然是易受網(wǎng)絡(luò)攻擊的版本。

技術(shù)咨詢(xún)機(jī)構(gòu)Ascent Solutions公司的IEEE高級(jí)成員、網(wǎng)絡(luò)安全策略師Kayne McGladrey說(shuō)：“如果你買(mǎi)一塊面包，其包裝上就會(huì)寫(xiě)上成分清單。而采用軟件也需要企業(yè)了解軟件材料清單(SBOM)，并做出明智的風(fēng)險(xiǎn)決策?！?/p>

McGladrey期望有遠(yuǎn)見(jiàn)的軟件供應(yīng)商開(kāi)始將這些列表包含在他們的軟件中，因?yàn)檫@是他們的客戶(hù)希望看到的東西。他建議軟件供應(yīng)商提供有關(guān)他們的軟件應(yīng)該如何運(yùn)行以及不應(yīng)該如何運(yùn)行的信息。他說(shuō)，“如果軟件供應(yīng)商提供了他們軟件的正常行為列表，我們可以說(shuō)，‘這個(gè)軟件的行為異常，因?yàn)樗B接到不應(yīng)該連接的服務(wù)器。’”

無(wú)論軟件材料清單(SBOM)是否成為強(qiáng)制性的，企業(yè)都應(yīng)該掃描他們的軟件以查找已知漏洞和其他潛在的安全問(wèn)題。網(wǎng)絡(luò)安全供應(yīng)商N(yùn)TT Application Security公司的研究員Ray Kelly說(shuō)，現(xiàn)在所有主要的掃描軟件都在尋找易受攻擊的Log4j數(shù)據(jù)包。

很明顯，很多企業(yè)并沒(méi)有使用這些工具。Kelly說(shuō)，“盡管補(bǔ)丁已經(jīng)發(fā)布了兩個(gè)月，但還有些公司仍在使用舊版本的Log4j，這說(shuō)明他們?cè)诒Ｗo(hù)代碼安全方面遠(yuǎn)遠(yuǎn)落后?！?/p>
網(wǎng)頁(yè)名稱(chēng)：為什么DevOps管道受到網(wǎng)絡(luò)攻擊以及如何反擊
分享地址：http://m.fisionsoft.com.cn/article/dpcdped.html