Aikido

Die praktische Checkliste zur Abwehr von Lieferkettenangriffe

Eine praktische Checkliste für Entwicklerteams, die mit der aktuellen Generation von Lieferkettenangriffe konfrontiert sind. Die Empfehlungen verfolgen den Weg, den ein kompromittiertes Paket bis in die Produktion nimmt – vom Repository über Ihre Pipeline bis hin zu den Maschinen, an denen Ihr Team arbeitet. Sie behandeln die konkreten Vorgehensweisen, die verhindern, dass aus einem kompromittierten Paket ein Vorfall wird.

So schützen Sie sich vor Lieferkettenangriffe

  • Vor der Installation eines Pakets eine Richtlinie zum Paketalter durchsetzen

    Bei der Installation von Paketen werden vom Herausgeber kontrollierte Skripte mit den Berechtigungen des Entwicklers ausgeführt, bevor auch nur eine einzige Codezeile importiert wird. Eine Richtlinie, die ein Mindestalter von 48 Stunden vorschreibt, blockiert sich schnell verbreitende Malware, bevor sie Ihre Entwickler erreicht.

  • Pipeline-Abhängigkeiten an Commit-SHAs binden

    Tags und Zweignamen sind veränderbar. Ein Angreifer, der eine Aktion kompromittiert, kann das Tag verschieben, ohne Ihre Workflow-Datei zu verändern. Verknüpfen Sie stattdessen jede Aktion und jede Pipeline-Abhängigkeit mit einem unveränderlichen Commit-SHA.

  • Phishing-resistente MFA durchsetzen

    FIDO2 und Passkeys sind der Standard, den es anzustreben gilt. TOTP- und SMS-Codes können auf einer gefälschten Anmeldeseite abgefangen und in Echtzeit auf der echten Website wiedergegeben werden, wobei die Konten der Betreuer ein vorrangiges Ziel darstellen.

  • Behandeln Sie MCP-Server als Abhängigkeiten von Drittanbietern

    MCP-Server bergen dieselben Lieferkettenrisiken wie jede andere Abhängigkeit, und sie verfügen oft über erweiterte Zugriffsrechte. Installieren Sie MCP-Server ausschließlich aus verifizierten Quellen, fixieren Sie sie anhand eines Integritäts-Hashs oder eines Commit-SHA und überprüfen Sie vor der Installation, ob der Server über ein gepflegtes Repository und einen bekannten Herausgeber verfügt.

Zusammenfassung

Angreifer haben ihren Fokus von Produktionsanwendungen auf die Systeme verlagert, mit denen diese erstellt werden, doch die Verteidiger haben nach wie vor die Kontrolle darüber, was in diese Systeme gelangt. Sie kontrollieren Ihre Lockfile, Ihre Pipeline-Konfiguration, Ihre Token-Gültigkeitsbereiche und die Tools auf den Rechnern Ihrer Entwickler. Die Entwicklerteams, die die Nase vorn haben, sind diejenigen, die diese Kontrolle nutzen, bevor jemand die anfälligen Einstiegspunkte entdeckt. Diese Checkliste enthält umsetzbare Abwehrmaßnahmen für Abhängigkeiten, Pipelines, Container, Entwicklerumgebungen und die agentenbasierten Tools, auf die sich Ihr Team zunehmend verlässt.

Was Sie lernen werden

Verfasst von:
Nicholas Thomson

Nicholas Thomson ist Content Marketing Writer bei Aikido Security. Zuvor war er als technischer Redakteur bei Datadog und Edge Delta tätig. Bevor er in die Tech-Branche wechselte, arbeitete er als Redakteur bei Penguin Random House.

Wichtige Erkenntnisse

  • Vor der Installation eines Pakets eine Richtlinie zum Paketalter durchsetzen

    Bei der Installation von Paketen werden vom Herausgeber kontrollierte Skripte mit den Berechtigungen des Entwicklers ausgeführt, bevor auch nur eine einzige Codezeile importiert wird. Eine Richtlinie, die ein Mindestalter von 48 Stunden vorschreibt, blockiert sich schnell verbreitende Malware, bevor sie Ihre Entwickler erreicht.

  • Pipeline-Abhängigkeiten an Commit-SHAs binden

    Tags und Zweignamen sind veränderbar. Ein Angreifer, der eine Aktion kompromittiert, kann das Tag verschieben, ohne Ihre Workflow-Datei zu verändern. Verknüpfen Sie stattdessen jede Aktion und jede Pipeline-Abhängigkeit mit einem unveränderlichen Commit-SHA.

  • Phishing-resistente MFA durchsetzen

    FIDO2 und Passkeys sind der Standard, den es anzustreben gilt. TOTP- und SMS-Codes können auf einer gefälschten Anmeldeseite abgefangen und in Echtzeit auf der echten Website wiedergegeben werden, wobei die Konten der Betreuer ein vorrangiges Ziel darstellen.

  • Behandeln Sie MCP-Server als Abhängigkeiten von Drittanbietern

    MCP-Server bergen dieselben Lieferkettenrisiken wie jede andere Abhängigkeit, und sie verfügen oft über erweiterte Zugriffsrechte. Installieren Sie MCP-Server ausschließlich aus verifizierten Quellen, fixieren Sie sie anhand eines Integritäts-Hashs oder eines Commit-SHA und überprüfen Sie vor der Installation, ob der Server über ein gepflegtes Repository und einen bekannten Herausgeber verfügt.

Zusammenfassung

Angreifer haben ihren Fokus von Produktionsanwendungen auf die Systeme verlagert, mit denen diese erstellt werden, doch die Verteidiger haben nach wie vor die Kontrolle darüber, was in diese Systeme gelangt. Sie kontrollieren Ihre Lockfile, Ihre Pipeline-Konfiguration, Ihre Token-Gültigkeitsbereiche und die Tools auf den Rechnern Ihrer Entwickler. Die Entwicklerteams, die die Nase vorn haben, sind diejenigen, die diese Kontrolle nutzen, bevor jemand die anfälligen Einstiegspunkte entdeckt. Diese Checkliste enthält umsetzbare Abwehrmaßnahmen für Abhängigkeiten, Pipelines, Container, Entwicklerumgebungen und die agentenbasierten Tools, auf die sich Ihr Team zunehmend verlässt.

Was Sie lernen werden

Eine praktische Checkliste für Entwicklerteams, die mit der aktuellen Generation von Lieferkettenangriffe konfrontiert sind. Die Empfehlungen verfolgen den Weg, den ein kompromittiertes Paket bis in die Produktion nimmt – vom Repository über Ihre Pipeline bis hin zu den Maschinen, an denen Ihr Team arbeitet. Sie behandeln die konkreten Vorgehensweisen, die verhindern, dass aus einem kompromittierten Paket ein Vorfall wird.

Verfasst von:
Nicholas Thomson

Nicholas Thomson ist Content Marketing Writer bei Aikido Security. Zuvor war er als technischer Redakteur bei Datadog und Edge Delta tätig. Bevor er in die Tech-Branche wechselte, arbeitete er als Redakteur bei Penguin Random House.