Verhinderung der Übernahme der Cloud nach der Kompromittierung von Anmeldedaten
Tools für die kontinuierliche Integration und die kontinuierliche Bereitstellung (CI/CD) sind für jedes Startup kein Luxus mehr. Die schnellsten Startups haben gelernt, dass die Umsetzung großer, ehrgeiziger Ideen am besten durch kleine, inkrementelle und leicht zu überprüfende Änderungen funktioniert. Die produktivsten unter ihnen liefern 40 Mal am Tag. Einige sogar bis zu 80 Mal pro Tag. Dies kann nur durch den Einsatz eines CI/CD-Tools wie CircleCI, GitHub Actions und die Pipelines von GitLab, um nur einige zu nennen, sicher erreicht werden.
CI/CD zieht Hacker an
Viele Start-ups und größere Unternehmen nutzen diese Tools heutzutage. Damit sie Code in Ihrer Cloud bereitstellen können, müssen Sie spezielle API-Geheimnisse in ihnen speichern. Das macht CI/CD-Tools zu hochwertigen Zielen für Hacker. Tatsächlich wurden sie in der Vergangenheit immer wieder gehackt .
Werfen Sie einen Blick auf diese Vorfälle, die nur einige der jüngsten Verstöße darstellen, die öffentlich bekannt wurden:
Rückblick auf den CircleCI-Einbruch mit IOCs und TTPs
Kurzer TLDR:
1. Malware auf Laptop
2. Gestohlene aktive SSO-Sitzung für eine Remote-Sitzung
4. Generierung von Produktions-Zugangs-Tokens
5. Exfiltrierte Kunden-ENVs, Token und Schlüssel.
6. CircleCI-Verschlüsselungsschlüssel wurden ebenfalls exfiltriert.https://t.co/25x9t5NLG6
- Ryan McGeehan (@Magoo) January 14, 2023
CircleCI wurde im Januar 2023 durchbrochen
- CodeShip: "Critical Security Notification: GitHub-Verletzung" (2020)
- GitHub: "Ausnutzung von GitHub-Aktionen bei Open-Source-Projekten" (2022)
- GitLab: "Maßnahmen, die wir als Reaktion auf eine mögliche Okta-Verletzung ergriffen haben" (2022)
- Jenkins: "Ein kritischer Jenkins-Fehler entdeckt" (2020)
Wie Sie sehen können, geschieht das ziemlich regelmäßig. Wie verteidigen Sie Ihre?
Wie kann ich meine Cloud-Infrastruktur gegen solche Verstöße schützen?
Wenn eine dieser CI/CD-Plattformen gehackt wird, geben sie die Sicherheitslücke in der Regel bekannt. Dies geschieht in der Regel innerhalb eines Tages, nachdem sie die Sicherheitsverletzung bemerkt haben. Es kann aber auch sein, dass eine Sicherheitslücke wochenlang aktiv ist, bevor sie entdeckt wird. Leider kann diese Zeit genutzt werden, um den Zugriff auf alle Kunden der Plattformen zu erweitern.
Aikido hilft Ihnen bei der Identifizierung Ihrer CI/CD-Schutzmaßnahmen
Zum Glück gibt es einige Methoden, die sicherstellen, dass Sie auch dann sicher sind, wenn die von Ihnen gewählte Plattform gehackt wird. Die neue Integration von Aikido Securityin AWS warnt Sie, wenn Ihre Cloud nicht aktiv eine der folgenden Maßnahmen ergreift. Nutzen Sie unser kostenloses Testkonto, um herauszufinden, ob Ihre Cloud bereits Schutzmaßnahmen gegen diese Themen bietet.
Schritte zur Verteidigung Ihres CI/CD:
- Wenn Sie Ihrer CI/CD-Plattform IAM-Rollen zuweisen, stellen Sie sicher, dass diese nach IP eingeschränkt sind. Die meisten CI/CD-Tools verfügen über eine Option, mit der nur Datenverkehr von einer bestimmten Gruppe von IP-Adressen gesendet werden kann. Diese Option macht gestohlene API-Tokens außerhalb der CI/CD-Infrastruktur unbrauchbar. Ein Hacker kann sie nicht auf seinen eigenen Servern verwenden, was diese stark verlangsamen und möglicherweise ganz blockieren dürfte.
- Nehmen Sie sich bei der Erstellung von Anmeldeinformationen für CI/CD-Plattformen Zeit, um einen minimalen Zugang zu schaffen. Vergeben Sie keine Admin-Rechte.
- Legen Sie nicht alles auf eine Karte: Teilen Sie Ihre Clouds auf mehrere Konten auf. Dadurch werden die Auswirkungen einer Sicherheitsverletzung minimiert. Beispielsweise sollte eine Verletzung der Anmeldedaten Ihrer Staging-Umgebung nicht zu einer Verletzung Ihrer Produktionsumgebung führen.
- Verwenden Sie Single Sign-On (SSO) oder Multi-Faktor-Authentifizierung (MFA). Eigentlich eine Selbstverständlichkeit.
Leider (aber realistisch) sollten Sie davon ausgehen, dass Ihr CI/CD eines Tages gehackt wird. Wenn es so weit ist, sollten Sie alle Deployment-Tokens so schnell wie möglich austauschen.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)