Verhinderung der Cloud-Übernahme nach Kompromittierung von Zugangsdaten
Tools für Continuous Integration und Continuous Delivery/Deployment (CI/CD) sind für Startups kein Luxus mehr. Die schnellsten Startups haben gelernt, dass die Umsetzung großer, ehrgeiziger Ideen am besten funktioniert, indem man kleine, inkrementelle und leicht überprüfbare Änderungen ausliefert. Die produktivsten unter ihnen liefern 40 Mal am Tag aus. Manche sogar bis zu 80 Mal pro Tag. Dies kann nur sicher geschehen, indem man CI/CD-Tools wie CircleCI, GitHub Actions und GitLab-Pipelines nutzt, um nur einige zu nennen.
CI/CD zieht Hacker an
Viele Startups und größere Unternehmen nutzen diese Tools heutzutage. Damit sie Code in Ihrer Cloud bereitstellen können, müssen Sie spezielle API-Secrets darin speichern. Das macht CI/CD-Tools zu wertvollen Zielen für Hacker. Tatsächlich wurden sie in der Vergangenheit ständig gehackt.
Werfen Sie einen Blick auf diese Vorfälle, die nur einige der jüngsten Sicherheitsverletzungen sind, die öffentlich bekannt gegeben wurden:
CircleCI Sicherheitsvorfall-Retrospektive mit IOCs und TTPs
Kurze Zusammenfassung:
1. Malware auf dem Engineering-Laptop
2. Aktive SSO-Sitzung für eine Remote-Sitzung gestohlen
4. Produktions-Zugriffstoken generiert
5. Kunden-ENVs, Token und Schlüssel exfiltriert.
6. Auch CircleCI-Verschlüsselungsschlüssel exfiltriert.https://t.co/25x9t5NLG6
— Ryan McGeehan (@Magoo) 14. Januar 2023
CircleCI wurde im Januar 2023 kompromittiert
- CodeShip: „Kritische Sicherheitsbenachrichtigung: GitHub-Datenleck“ (2020)
- GitHub: “Exploiting GitHub Actions on open source projects” (2022)
- GitLab: „Maßnahmen, die wir als Reaktion auf eine potenzielle Okta-Sicherheitsverletzung ergriffen haben“ (2022)
- Jenkins: „Ein kritischer Jenkins-Bug entdeckt“ (2020)
Wie Sie sehen können, geschieht dies ziemlich regelmäßig. Wie verteidigen Sie Ihre?
Wie verteidige ich meine Cloud-Infrastruktur gegen derartige Sicherheitsverletzungen?
Wenn eine dieser CI/CD-Plattformen gehackt wird, legen sie den Verstoß in der Regel offen. Das geschieht meist innerhalb eines Tages, nachdem sie den Verstoß bemerkt haben. Ein Verstoß könnte jedoch wochenlang aktiv sein, bevor er entdeckt wird. Leider kann diese Zeit genutzt werden, um den Zugriff auf alle Kunden der Plattformen zu eskalieren.
Aikido hilft Ihnen, Ihre CI/CD-Verteidigungen zu identifizieren
Glücklicherweise gibt es Methoden, um sicherzustellen, dass Sie auch dann geschützt sind, wenn Ihre bevorzugte Plattform gehackt wird. Die neue Integration von Aikido Security mit AWS benachrichtigt Sie, wenn Ihre Cloud keine der folgenden Maßnahmen aktiv ergreift. Nutzen Sie unser kostenloses Testkonto, um zu sehen, ob Ihre Cloud bereits Abwehrmaßnahmen gegen diese Bedrohungen hat.
Maßnahmen zur Absicherung Ihrer CI/CD:
- Stellen Sie beim Zuweisen von IAM-Rollen zu Ihrer CI/CD-Plattform sicher, dass diese durch IP-Adressen eingeschränkt sind. Die meisten CI/CD-Tools bieten die Option, den Traffic nur von einem bestimmten Satz von IP-Adressen zu senden. Diese Option macht gestohlene API-Tokens außerhalb der CI/CD-Infrastruktur unbrauchbar. Ein Hacker kann sie nicht auf seinen eigenen Servern verwenden, was ihn stark verlangsamen und möglicherweise ganz blockieren sollte.
- Nehmen Sie sich beim Erstellen von Anmeldeinformationen für CI/CD-Plattformen Zeit, um minimale Zugriffsrechte zu definieren. Vergeben Sie keine Admin-Rechte.
- Legen Sie nicht alle Eier in einen Korb: Teilen Sie Ihre Clouds in mehrere Konten auf. Dies minimiert die Auswirkungen einer Sicherheitsverletzung. Zum Beispiel sollte eine Kompromittierung der Anmeldeinformationen Ihrer Staging-Umgebung nicht zu einer Kompromittierung Ihrer Produktionsumgebung führen.
- Verwenden Sie Single Sign-On (SSO) oder Multi-Faktor-Authentifizierung (MFA). Eigentlich eine Selbstverständlichkeit.
Leider (aber realistisch betrachtet) sollten Sie davon ausgehen, dass Ihr CI/CD eines Tages gehackt wird. Wenn es so weit ist, stellen Sie sicher, dass alle Deployment-Tokens so schnell wie möglich rotiert werden.
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
