توسعهدهندگان بهطور فزایندهای از طریق ابزارهایی که برای همکاری و تولید کد استفاده میکنند – مانند Docker، Kubernetes و Slack – مورد حمله قرار میگیرند، زیرا مجرمان سایبری و بازیگران دولتهای ملی قصد دسترسی به نرمافزار ارزشمندی را دارند که توسعهدهندگان هر روز روی آن کار میکنند.
به عنوان مثال، یک مهاجم در 18 سپتامبر ادعا کرد که از اعتبارنامههای سرقت شده Slack برای دسترسی و کپی کردن بیش از 90 ویدیوی استفاده کرده است. توسعه اولیه Grand Theft Auto 6بازی محبوب Take-Two Interactive's Rockstar Games. و یک هفته قبل از آن، شرکت امنیتی Trend Micro متوجه شد که مهاجمان به طور سیستماتیک به دنبال کانتینرهای Docker پیکربندی نادرست میگردند و تلاش میکنند تا به خطر بیفتند.
مارک لاولس، مهندس امنیت کارکنان در GitLab میگوید هیچکدام از این حملات آسیبپذیری در برنامههای نرمافزاری را شامل نمیشود، اما اشتباهات امنیتی یا پیکربندی نادرست از سوی توسعهدهندگان، که اغلب مراقبتهای لازم را برای ایمن کردن سطح حمله خود انجام نمیدهند، غیرمعمول نیست. ارائه دهنده پلتفرم DevOps
او میگوید: «بسیاری از توسعهدهندگان خود را هدف نمیدانند، زیرا فکر میکنند که کد نهایی، نتیجه نهایی، چیزی است که مهاجمان به دنبال آن هستند. توسعهدهندگان معمولاً خطرات امنیتی را متحمل میشوند - مانند راهاندازی محیطهای آزمایشی در خانه یا از بین بردن تمام کنترلهای امنیتی - تا بتوانند چیزهای جدیدی را امتحان کنند و قصد دارند بعداً امنیت را اضافه کنند.
او میافزاید: «متاسفانه این عادتها تکرار میشوند و تبدیل به فرهنگ میشوند.»
حملات علیه زنجیره تامین نرم افزار - و توسعه دهندگانی که نرم افزار تولید و اجرا می کنند - در دو سال گذشته به سرعت رشد کرده اند. به عنوان مثال، در سال 2021، حملاتی که با هدف به خطر انداختن نرم افزار توسعه دهندگان - و اجزای متن باز که به طور گسترده توسط توسعه دهندگان استفاده می شود - 650٪ رشد کردند.2021 وضعیت "زنجیره تامین نرم افزارگزارش منتشر شده توسط شرکت امنیتی نرم افزار Sonatype.
خطوط لوله توسعه و همکاری در مناظر
به طور کلی، کارشناسان امنیتی معتقدند که سرعت سریع یکپارچگی مداوم و محیطهای استقرار مداوم (CI/CD) که پایههای رویکردهای سبک DevOps را تشکیل میدهند، خطرات قابلتوجهی را به همراه دارد، زیرا آنها اغلب نادیده گرفته می شوند وقتی نوبت به اجرای امنیت سختشده میرسد.
این امر بر انواع ابزارهای مورد استفاده توسعه دهندگان در تلاش برای ایجاد خطوط لوله کارآمدتر تأثیر می گذارد. به عنوان مثال، Slack محبوبترین ابزار همکاری همزمان است که در میان توسعهدهندگان حرفهای مورد استفاده قرار میگیرد، طبق گفته تیمهای Microsoft و Zoom در ردههای دوم و سوم قرار دارند. نظرسنجی توسعه دهندگان StackOverflow 2022. علاوه بر این، این نظرسنجی نشان داد که بیش از دو سوم توسعه دهندگان از Docker و یک چهارم دیگر از Kubernetes در طول توسعه استفاده می کنند.
متیو هاجسون، مدیرعامل و موسس پلتفرم پیامرسان Element، در بیانیهای که برای Dark Reading ارسال شد، گفت: نقض ابزارهایی مانند Slack میتواند «تندآور» باشد، زیرا چنین ابزارهایی اغلب عملکردهای حیاتی را انجام میدهند و معمولاً فقط دفاع محیطی دارند.
او گفت: «Slack رمزگذاری سرتاسری نیست، بنابراین مانند این است که مهاجم به کل دانش شرکت دسترسی دارد. "وضعیت واقعی روباه در مرغداری."
فراتر از تنظیمات اشتباه: سایر مشکلات امنیتی برای توسعه دهندگان
لازم به ذکر است که مهاجمان سایبری در مورد تعقیب توسعه دهندگان فقط به دنبال پیکربندی نادرست یا ضعف امنیت نیستند. به عنوان مثال، در سال 2021، دسترسی یک گروه تهدید به Slack از طریق خرید توکن ورود در بازار خاکستری منجر به نقض غول بازی الکترونیک آرتز شد و به مجرمان سایبری این امکان را داد که نزدیک به 800 گیگابایت کد منبع و دادههای این شرکت را کپی کنند. و یک تحقیق در سال 2020 در مورد تصاویر Docker این را نشان داد بیش از نیمی از آخرین بیلدها دارای آسیبپذیریهای حیاتی هستند که هر برنامه یا سرویس مبتنی بر کانتینرها را در معرض خطر قرار میدهند.
فیشینگ و مهندسی اجتماعی نیز آفتی در این بخش هستند. همین هفته، توسعهدهندگانی که از دو سرویس DevOps - CircleCI و GitHub استفاده میکنند، استفاده کردند هدف حملات فیشینگ.
و هیچ مدرکی مبنی بر اینکه مهاجمانی که Rockstar Games را هدف قرار می دهند از یک آسیب پذیری در Slack سوء استفاده کرده اند وجود ندارد - فقط ادعاهای مهاجم ادعا شده است. سخنگوی Slack در بیانیه ای گفت، در عوض، مهندسی اجتماعی احتمالا راهی برای دور زدن اقدامات امنیتی است.
این سخنگوی گفت: «امنیت در سطح سازمانی در مدیریت هویت و دستگاه، حفاظت از دادهها و حاکمیت اطلاعات در هر جنبه از نحوه همکاری و انجام کار کاربران در Slack تعبیه شده است. معمولی و پیچیده است، و Slack به همه مشتریان توصیه میکند که اقدامات امنیتی قوی را برای محافظت از شبکههای خود در برابر حملات مهندسی اجتماعی، از جمله آموزش آگاهیهای امنیتی، انجام دهند.
بهبودهای امنیتی آهسته، کارهای بیشتری برای انجام دادن
با این حال، توسعه دهندگان به آرامی امنیت را پذیرفته اند زیرا متخصصان امنیت برنامه ها خواستار کنترل بهتر هستند. بسیاری از توسعه دهندگان به افشای "اسرار" ادامه دهید - از جمله رمزهای عبور و کلیدهای API - در کدهای ارسال شده به مخازن. به گفته لاولس GitLab، بنابراین، تیم های توسعه باید نه تنها بر محافظت از کد خود و جلوگیری از وارد کردن اجزای نامعتبر تمرکز کنند، بلکه باید اطمینان حاصل کنند که قابلیت های حیاتی خطوط لوله آنها به خطر نمی افتد.
او میگوید: «کل بخش صفر اعتماد، که معمولاً مربوط به شناسایی افراد و مواردی از این قبیل است، باید همان اصولی را نیز در کد شما اعمال کند.» بنابراین به کد اعتماد نکنید. باید بررسی شود وجود افراد یا فرآیندهایی که بدترین را در پیش میگیرند - من به طور خودکار به آن اعتماد نمیکنم - بهویژه زمانی که کد در حال انجام کاری حیاتی است، مانند ساخت یک پروژه.
علاوه بر این، بسیاری از توسعه دهندگان هنوز از اقدامات اساسی برای تقویت احراز هویت استفاده نمی کنند، مانند استفاده از احراز هویت چند عاملی (MFA). با این حال، تغییراتی در راه است. به طور فزایندهای، اکوسیستمهای بسته نرمافزاری متنباز مختلف شروع شدهاند نیازمند آن است که پروژه های بزرگ احراز هویت چند عاملی را اتخاذ کنند.
از نظر ابزارهایی که باید روی آنها تمرکز کرد، Slack به دلیل آخرین نقضهای بزرگ مورد توجه قرار گرفته است، اما به گفته Loveless، توسعهدهندگان باید برای یک سطح پایه از کنترل امنیتی در همه ابزارهای خود تلاش کنند.
او میگوید: «خروجها و فرورفتگیهایی وجود دارد، اما هر چیزی که برای مهاجمان مؤثر است، عمل میکند. با توجه به تجربهام از پوشیدن انواع کلاههای رنگهای مختلف، بهعنوان یک مهاجم، به دنبال سادهترین راه میگردید، بنابراین اگر راه دیگری آسانتر شد، میگویید: «اول آن را امتحان میکنم».
یادداشت Loveless، GitLab این رفتار پیرو رهبر را در برنامههای پاداش باگ خود دیده است.
او میگوید: «ما میبینیم که وقتی مردم باگهایی را ارسال میکنند، ناگهان چیزی - یک تکنیک جدید - محبوب میشود و تعداد زیادی از ارسالها ناشی از آن تکنیک وارد میشوند. "آنها قطعاً به صورت موجی می آیند."