توسعه دهندگان برنامه به طور فزاینده ای از طریق ابزارهای Slack و DevOps مورد هدف قرار می گیرند

توسعه‌دهندگان به‌طور فزاینده‌ای از طریق ابزارهایی که برای همکاری و تولید کد استفاده می‌کنند – مانند Docker، Kubernetes و Slack – مورد حمله قرار می‌گیرند، زیرا مجرمان سایبری و بازیگران دولت‌های ملی قصد دسترسی به نرم‌افزار ارزشمندی را دارند که توسعه‌دهندگان هر روز روی آن کار می‌کنند.

به عنوان مثال، یک مهاجم در 18 سپتامبر ادعا کرد که از اعتبارنامه‌های سرقت شده Slack برای دسترسی و کپی کردن بیش از 90 ویدیوی استفاده کرده است. توسعه اولیه Grand Theft Auto 6بازی محبوب Take-Two Interactive's Rockstar Games. و یک هفته قبل از آن، شرکت امنیتی Trend Micro متوجه شد که مهاجمان به طور سیستماتیک به دنبال کانتینرهای Docker پیکربندی نادرست می‌گردند و تلاش می‌کنند تا به خطر بیفتند.

مارک لاولس، مهندس امنیت کارکنان در GitLab می‌گوید هیچ‌کدام از این حملات آسیب‌پذیری در برنامه‌های نرم‌افزاری را شامل نمی‌شود، اما اشتباهات امنیتی یا پیکربندی نادرست از سوی توسعه‌دهندگان، که اغلب مراقبت‌های لازم را برای ایمن کردن سطح حمله خود انجام نمی‌دهند، غیرمعمول نیست. ارائه دهنده پلتفرم DevOps

او می‌گوید: «بسیاری از توسعه‌دهندگان خود را هدف نمی‌دانند، زیرا فکر می‌کنند که کد نهایی، نتیجه نهایی، چیزی است که مهاجمان به دنبال آن هستند. توسعه‌دهندگان معمولاً خطرات امنیتی را متحمل می‌شوند - مانند راه‌اندازی محیط‌های آزمایشی در خانه یا از بین بردن تمام کنترل‌های امنیتی - تا بتوانند چیزهای جدیدی را امتحان کنند و قصد دارند بعداً امنیت را اضافه کنند.

او می‌افزاید: «متاسفانه این عادت‌ها تکرار می‌شوند و تبدیل به فرهنگ می‌شوند.»

حملات علیه زنجیره تامین نرم افزار - و توسعه دهندگانی که نرم افزار تولید و اجرا می کنند - در دو سال گذشته به سرعت رشد کرده اند. به عنوان مثال، در سال 2021، حملاتی که با هدف به خطر انداختن نرم افزار توسعه دهندگان - و اجزای متن باز که به طور گسترده توسط توسعه دهندگان استفاده می شود - 650٪ رشد کردند.2021 وضعیت "زنجیره تامین نرم افزارگزارش منتشر شده توسط شرکت امنیتی نرم افزار Sonatype.

خطوط لوله توسعه و همکاری در مناظر

به طور کلی، کارشناسان امنیتی معتقدند که سرعت سریع یکپارچگی مداوم و محیط‌های استقرار مداوم (CI/CD) که پایه‌های رویکردهای سبک DevOps را تشکیل می‌دهند، خطرات قابل‌توجهی را به همراه دارد، زیرا آنها اغلب نادیده گرفته می شوند وقتی نوبت به اجرای امنیت سخت‌شده می‌رسد.

این امر بر انواع ابزارهای مورد استفاده توسعه دهندگان در تلاش برای ایجاد خطوط لوله کارآمدتر تأثیر می گذارد. به عنوان مثال، Slack محبوب‌ترین ابزار همکاری همزمان است که در میان توسعه‌دهندگان حرفه‌ای مورد استفاده قرار می‌گیرد، طبق گفته تیم‌های Microsoft و Zoom در رده‌های دوم و سوم قرار دارند. نظرسنجی توسعه دهندگان StackOverflow 2022. علاوه بر این، این نظرسنجی نشان داد که بیش از دو سوم توسعه دهندگان از Docker و یک چهارم دیگر از Kubernetes در طول توسعه استفاده می کنند.

متیو هاجسون، مدیرعامل و موسس پلتفرم پیام‌رسان Element، در بیانیه‌ای که برای Dark Reading ارسال شد، گفت: نقض ابزارهایی مانند Slack می‌تواند «تند‌آور» باشد، زیرا چنین ابزارهایی اغلب عملکردهای حیاتی را انجام می‌دهند و معمولاً فقط دفاع محیطی دارند.

او گفت: «Slack رمزگذاری سرتاسری نیست، بنابراین مانند این است که مهاجم به کل دانش شرکت دسترسی دارد. "وضعیت واقعی روباه در مرغداری."

فراتر از تنظیمات اشتباه: سایر مشکلات امنیتی برای توسعه دهندگان

لازم به ذکر است که مهاجمان سایبری در مورد تعقیب توسعه دهندگان فقط به دنبال پیکربندی نادرست یا ضعف امنیت نیستند. به عنوان مثال، در سال 2021، دسترسی یک گروه تهدید به Slack از طریق خرید توکن ورود در بازار خاکستری منجر به نقض غول بازی الکترونیک آرتز شد و به مجرمان سایبری این امکان را داد که نزدیک به 800 گیگابایت کد منبع و داده‌های این شرکت را کپی کنند. و یک تحقیق در سال 2020 در مورد تصاویر Docker این را نشان داد بیش از نیمی از آخرین بیلدها دارای آسیب‌پذیری‌های حیاتی هستند که هر برنامه یا سرویس مبتنی بر کانتینرها را در معرض خطر قرار می‌دهند.

فیشینگ و مهندسی اجتماعی نیز آفتی در این بخش هستند. همین هفته، توسعه‌دهندگانی که از دو سرویس DevOps - CircleCI و GitHub استفاده می‌کنند، استفاده کردند هدف حملات فیشینگ. 

و هیچ مدرکی مبنی بر اینکه مهاجمانی که Rockstar Games را هدف قرار می دهند از یک آسیب پذیری در Slack سوء استفاده کرده اند وجود ندارد - فقط ادعاهای مهاجم ادعا شده است. سخنگوی Slack در بیانیه ای گفت، در عوض، مهندسی اجتماعی احتمالا راهی برای دور زدن اقدامات امنیتی است.

این سخنگوی گفت: «امنیت در سطح سازمانی در مدیریت هویت و دستگاه، حفاظت از داده‌ها و حاکمیت اطلاعات در هر جنبه از نحوه همکاری و انجام کار کاربران در Slack تعبیه شده است. معمولی و پیچیده است، و Slack به همه مشتریان توصیه می‌کند که اقدامات امنیتی قوی را برای محافظت از شبکه‌های خود در برابر حملات مهندسی اجتماعی، از جمله آموزش آگاهی‌های امنیتی، انجام دهند.

بهبودهای امنیتی آهسته، کارهای بیشتری برای انجام دادن

با این حال، توسعه دهندگان به آرامی امنیت را پذیرفته اند زیرا متخصصان امنیت برنامه ها خواستار کنترل بهتر هستند. بسیاری از توسعه دهندگان به افشای "اسرار" ادامه دهید - از جمله رمزهای عبور و کلیدهای API - در کدهای ارسال شده به مخازن. به گفته لاولس GitLab، بنابراین، تیم های توسعه باید نه تنها بر محافظت از کد خود و جلوگیری از وارد کردن اجزای نامعتبر تمرکز کنند، بلکه باید اطمینان حاصل کنند که قابلیت های حیاتی خطوط لوله آنها به خطر نمی افتد.

او می‌گوید: «کل بخش صفر اعتماد، که معمولاً مربوط به شناسایی افراد و مواردی از این قبیل است، باید همان اصولی را نیز در کد شما اعمال کند.» بنابراین به کد اعتماد نکنید. باید بررسی شود وجود افراد یا فرآیندهایی که بدترین را در پیش می‌گیرند - من به طور خودکار به آن اعتماد نمی‌کنم - به‌ویژه زمانی که کد در حال انجام کاری حیاتی است، مانند ساخت یک پروژه.

علاوه بر این، بسیاری از توسعه دهندگان هنوز از اقدامات اساسی برای تقویت احراز هویت استفاده نمی کنند، مانند استفاده از احراز هویت چند عاملی (MFA). با این حال، تغییراتی در راه است. به طور فزاینده‌ای، اکوسیستم‌های بسته نرم‌افزاری متن‌باز مختلف شروع شده‌اند نیازمند آن است که پروژه های بزرگ احراز هویت چند عاملی را اتخاذ کنند. 

از نظر ابزارهایی که باید روی آنها تمرکز کرد، Slack به دلیل آخرین نقض‌های بزرگ مورد توجه قرار گرفته است، اما به گفته Loveless، توسعه‌دهندگان باید برای یک سطح پایه از کنترل امنیتی در همه ابزارهای خود تلاش کنند.

او می‌گوید: «خروج‌ها و فرورفتگی‌هایی وجود دارد، اما هر چیزی که برای مهاجمان مؤثر است، عمل می‌کند. با توجه به تجربه‌ام از پوشیدن انواع کلاه‌های رنگ‌های مختلف، به‌عنوان یک مهاجم، به دنبال ساده‌ترین راه می‌گردید، بنابراین اگر راه دیگری آسان‌تر شد، می‌گویید: «اول آن را امتحان می‌کنم».

یادداشت Loveless، GitLab این رفتار پیرو رهبر را در برنامه‌های پاداش باگ خود دیده است.

او می‌گوید: «ما می‌بینیم که وقتی مردم باگ‌هایی را ارسال می‌کنند، ناگهان چیزی - یک تکنیک جدید - محبوب می‌شود و تعداد زیادی از ارسال‌ها ناشی از آن تکنیک وارد می‌شوند. "آنها قطعاً به صورت موجی می آیند."