يتعرض المطورون للهجوم بشكل متزايد من خلال الأدوات التي يستخدمونها للتعاون وإنتاج التعليمات البرمجية - مثل Docker و Kubernetes و Slack - حيث يهدف مجرمو الإنترنت والجهات الفاعلة في الدولة إلى الوصول إلى البرامج القيمة التي يعمل عليها المطورون كل يوم.
على سبيل المثال ، ادعى أحد المهاجمين في 18 سبتمبر أنه استخدم بيانات اعتماد Slack المسروقة للوصول إلى أكثر من 90 مقطع فيديو ونسخها التطوير المبكر لـ Grand Theft Auto 6، وهي لعبة شهيرة من ألعاب Rockstar Games في Take-Two Interactive. وقبل أسبوع ، اكتشفت شركة Trend Micro الأمنية أن المهاجمين كانوا يبحثون بشكل منهجي عن حاويات Docker التي تم تكوينها بشكل خاطئ ويحاولون اختراقها.
لم يشتمل أي من الهجومين على نقاط ضعف في البرامج ، لكن الأخطاء الأمنية أو التهيئة الخاطئة ليست شائعة من جانب المطورين ، الذين غالبًا ما يفشلون في اتخاذ العناية اللازمة لتأمين منطقة سطح الهجوم ، كما يقول مارك لوفليس ، مهندس أمن الموظفين في GitLab ، مزود منصة DevOps.
يقول: "لا يعتبر الكثير من المطورين أنفسهم أهدافًا لأنهم يعتقدون أن الكود النهائي ، والنتيجة النهائية ، هو ما يسعى المهاجمون وراءه". "غالبًا ما يتحمل المطورون مخاطر أمنية - مثل إعداد بيئات الاختبار في المنزل أو إزالة جميع عناصر التحكم في الأمان - حتى يتمكنوا من تجربة أشياء جديدة ، بقصد إضافة الأمان لاحقًا."
ويضيف: "لسوء الحظ ، تتكرر هذه العادات وتصبح ثقافة".
نمت الهجمات ضد سلسلة توريد البرمجيات - والمطورين الذين ينتجون البرامج وينشرونها - بسرعة في العامين الماضيين. في عام 2021 ، على سبيل المثال ، نمت الهجمات التي تهدف إلى اختراق برامج المطورين - والمكونات مفتوحة المصدر المستخدمة على نطاق واسع من قبل المطورين - بنسبة 650٪ ، وفقًا لـ "2021 حالة "سلسلة توريد البرامج""، الذي نشرته شركة سوناتايب لأمن البرمجيات.
تطوير خطوط الأنابيب والتعاون في الأفق
بشكل عام ، يؤكد خبراء الأمن أن الوتيرة السريعة للتكامل المستمر وبيئات النشر المستمر (CI / CD) التي تشكل أسس مناهج نمط DevOps تشكل مخاطر كبيرة ، لأن غالبًا ما يتم تجاهلهم عندما يتعلق الأمر بتطبيق الأمان المشدد.
يؤثر هذا على مجموعة متنوعة من الأدوات التي يستخدمها المطورون في جهودهم لإنشاء خطوط أنابيب أكثر كفاءة. Slack ، على سبيل المثال ، هي أدوات التعاون المتزامن الأكثر شيوعًا المستخدمة بين المطورين المحترفين ، حيث يأتي Microsoft Teams و Zoom في المركزين الثاني والثالث ، وفقًا لـ مسح مطوري StackOverflow لعام 2022. بالإضافة إلى ذلك ، يستخدم أكثر من ثلثي المطورين Docker وربع آخر يستخدم Kubernetes أثناء التطوير ، وفقًا للاستطلاع.
قال ماثيو هودجسون ، الرئيس التنفيذي والشريك المؤسس لمنصة المراسلة Element ، في بيان أرسل إلى Dark Reading ، إن انتهاكات أدوات مثل Slack يمكن أن تكون "سيئة" ، لأن مثل هذه الأدوات غالبًا ما تؤدي وظائف مهمة وعادة ما يكون لها دفاعات محيطية فقط.
وقال: "إن تطبيق Slack ليس مشفرًا من طرف إلى طرف ، لذا فهو يشبه وصول المهاجم إلى مجموعة المعارف الكاملة للشركة". "وضع ثعلب حقيقي في بيت الدجاج."
ما وراء الأشكال الخاطئة: مشاكل أمنية أخرى للمطورين
وتجدر الإشارة إلى أن المهاجمين الإلكترونيين لا يقومون فقط بالتحقيق في التهيئة الخاطئة أو الأمان المتراخي عندما يتعلق الأمر بمطاردة المطورين. في عام 2021 ، على سبيل المثال ، وصول مجموعة التهديد إلى Slack عبر شراء السوق الرمادية لرمز تسجيل الدخول أدى إلى خرق عملاق الألعاب Electronic Arts ، مما سمح لمجرمي الإنترنت بنسخ ما يقرب من 800 جيجابايت من كود المصدر والبيانات من الشركة. ووجد تحقيق عام 2020 في صور Docker ذلك أكثر من نصف أحدث التصميمات لديها نقاط ضعف حرجة تعرض أي تطبيق أو خدمة قائمة على الحاويات للخطر.
يعتبر التصيد الاحتيالي والهندسة الاجتماعية أيضًا من الأوبئة في هذا القطاع. في هذا الأسبوع فقط ، كان المطورون الذين يستخدمون خدمتي DevOps - CircleCI و GitHub - كذلك المستهدف بهجمات التصيد الاحتيالي.
ولا يوجد دليل على أن المهاجمين الذين استهدفوا Rockstar Games استغلوا ثغرة أمنية في Slack - فقط ادعاءات المهاجم المزعوم. وقال متحدث باسم Slack في بيان إن الهندسة الاجتماعية كانت على الأرجح طريقة لتجاوز الإجراءات الأمنية.
قال المتحدث: "تم تضمين الأمان على مستوى المؤسسة عبر إدارة الهوية والأجهزة ، وحماية البيانات ، وإدارة المعلومات في كل جانب من جوانب كيفية تعاون المستخدمين وإنجاز العمل في Slack" ، مضيفًا: "أصبحت تكتيكات [الهندسة الاجتماعية] هذه بشكل متزايد شائع ومتطور ، ويوصي Slack جميع العملاء بممارسة تدابير أمنية قوية لحماية شبكاتهم من هجمات الهندسة الاجتماعية ، بما في ذلك التدريب على الوعي الأمني. "
تحسينات أمنية بطيئة ، مزيد من العمل للقيام به
لم يقبل المطورون الأمان إلا ببطء حيث دعا متخصصو أمان التطبيقات إلى ضوابط أفضل. العديد من المطورين الاستمرار في تسريب "الأسرار" - بما في ذلك كلمات المرور ومفاتيح API - في التعليمات البرمجية التي تم دفعها إلى المستودعات. وبالتالي ، يجب أن تركز فرق التطوير ليس فقط على حماية التعليمات البرمجية الخاصة بهم ومنع استيراد المكونات غير الموثوق بها ولكن أيضًا على ضمان عدم المساس بالقدرات الحرجة لخطوط الأنابيب الخاصة بهم ، كما يقول GitLab's Loveless.
"جزء عدم الثقة بالكامل ، والذي يتعلق عادةً بتحديد الأشخاص والأشياء من هذا القبيل ، يجب أن تكون هناك أيضًا نفس المبادئ التي يجب أن تنطبق على التعليمات البرمجية الخاصة بك ،" كما يقول. "لذا لا تثق بالكود ؛ يجب فحصها. وجود الأشخاص أو العمليات التي تفترض الأسوأ - لن أثق بها تلقائيًا - لا سيما عندما تقوم الكود بشيء بالغ الأهمية ، مثل إنشاء مشروع ".
بالإضافة إلى ذلك ، لا يزال العديد من المطورين لا يستخدمون التدابير الأساسية لتعزيز المصادقة ، مثل استخدام المصادقة متعددة العوامل (MFA). ومع ذلك ، هناك تغييرات على قدم وساق. على نحو متزايد ، بدأت جميع الأنظمة البيئية المختلفة لحزمة البرامج مفتوحة المصدر تتطلب أن تعتمد المشاريع الكبرى المصادقة متعددة العوامل.
فيما يتعلق بالأدوات التي يجب التركيز عليها ، فقد اكتسب Slack الاهتمام بسبب أحدث الانتهاكات الرئيسية ، ولكن يجب على المطورين السعي للحصول على مستوى أساسي من التحكم في الأمان عبر جميع أدواتهم ، كما يقول Loveless.
يقول: "هناك مد وجزر ، ولكن كل ما يصلح للمهاجمين". "بالحديث عن تجربتي في ارتداء جميع أنواع القبعات ذات الألوان المختلفة ، بصفتي مهاجمًا ، فأنت تبحث عن أسهل طريقة ، لذلك إذا أصبحت طريقة أخرى أسهل ، فأنت تقول ،" سأحاول ذلك أولاً. "
لاحظت GitLab هذا السلوك المتتبع للزعيم في برامج مكافآت الأخطاء الخاصة بها ، وفقًا لوفليس.
يقول: "نرى عندما يرسل الناس أخطاءً ، فجأةً شيئًا ما - أسلوب جديد - سيصبح شائعًا ، وسيأتي عدد كبير من عمليات الإرسال الناتجة عن هذه التقنية". "إنهم يأتون بالتأكيد على شكل موجات."