開発者は、Docker、Kubernetes、Slack などの共同作業やコードの作成に使用するツールを介してますます攻撃を受けています。サイバー犯罪者や国家の関係者は、開発者が毎日取り組んでいる貴重なソフトウェアにアクセスしようとしています。
たとえば、攻撃者は 18 月 90 日に、盗んだ Slack 資格情報を使用して、Slack を表す XNUMX 以上のビデオにアクセスしてコピーしたと主張しました。 Grand Theft Auto 6の初期開発、Take-Two Interactive の Rockstar Games の人気ゲーム。 そしてその XNUMX 週間前、セキュリティ企業のトレンド マイクロは、攻撃者が不適切に構成された Docker コンテナを体系的に検索し、侵害しようとしていることを発見しました。
どちらの攻撃もソフトウェア プログラムの脆弱性に関与していませんでしたが、攻撃対象領域を保護するために必要な注意を怠ることが多い開発者の側では、セキュリティの失敗や設定ミスは珍しくありません。 DevOps プラットフォーム プロバイダー。
「多くの開発者は、攻撃者が狙っているのは完成したコード、つまり最終結果だと考えているため、自分たちを標的とは考えていません」と彼は言います。 「開発者は、自宅でテスト環境をセットアップしたり、すべてのセキュリティ コントロールを削除したりするなど、セキュリティ リスクを負うことがよくあります。後でセキュリティを追加することを意図して、新しいことを試すことができます。」
「残念ながら、それらの習慣は複製され、文化になります。」
ソフトウェア サプライ チェーン (およびソフトウェアを作成して展開する開発者) に対する攻撃は、過去 2021 年間で急速に増加しています。 たとえば、650 年には、開発者のソフトウェア (および開発者が広く使用するオープン ソース コンポーネント) を侵害することを目的とした攻撃が XNUMX% 増加しました。2021年の「ソフトウェアサプライチェーンの状態」」レポート、ソフトウェア セキュリティ会社 Sonatype が発行。
デベロッパー パイプラインとサイトでのコラボレーション
全体として、セキュリティの専門家は、DevOps スタイルのアプローチの基盤を形成する継続的インテグレーションおよび継続的デプロイ環境 (CI/CD) の速いペースが重大なリスクをもたらすと主張しています。 彼らはしばしば見落とされています 強化されたセキュリティの実装に関しては。
これは、開発者がより効率的なパイプラインを作成するために使用するさまざまなツールに影響します。 たとえば、Slack は、プロの開発者の間で使用されている最も人気のある同期コラボレーション ツールであり、Microsoft Teams と Zoom が XNUMX 位と XNUMX 位に迫っています。 2022 StackOverflow開発者調査. さらに、開発者の XNUMX 分の XNUMX 以上が Docker を使用し、別の XNUMX 分の XNUMX が開発中に Kubernetes を使用していることが調査でわかりました。
Slack のようなツールの侵害は、しばしば重要な機能を実行し、通常は境界防御しか持たないため、「厄介な」ものになる可能性があると、メッセージング プラットフォーム Element の CEO 兼共同創設者である Matthew Hodgson 氏は、Dark Reading に送信された声明で述べています。
「Slack はエンドツーエンドで暗号化されていないため、攻撃者が会社の全知識にアクセスできるようなものです」と彼は言いました。 「本当のキツネの鶏舎の状況。」
設定ミスを超えて: 開発者にとってのその他のセキュリティ問題
サイバー攻撃者は、開発者を追跡する際に、構成の誤りやセキュリティの脆弱性を調査するだけではないことに注意してください。 たとえば、2021 年には、脅威グループによる Slack へのアクセスが ログイントークンのグレーマーケット購入 ゲーム大手エレクトロニック・アーツの侵害につながり、サイバー犯罪者は同社から 800 GB 近くのソース コードとデータをコピーすることができました。 2020 年の Docker イメージの調査では、 最新ビルドの半分以上 コンテナに基づくアプリケーションやサービスを危険にさらす重大な脆弱性があります。
フィッシングとソーシャル エンジニアリングもこの分野の疫病です。 ちょうど今週、XNUMX つの DevOps サービス (CircleCI と GitHub) を使用している開発者が フィッシング攻撃の標的に.
また、Rockstar Games を標的とする攻撃者が Slack の脆弱性を悪用したという証拠はありません。攻撃者とされる者の主張だけです。 Slack の広報担当者は、声明の中で、ソーシャル エンジニアリングはセキュリティ対策を回避する方法である可能性が高いと述べています。
「ID とデバイスの管理、データ保護、情報ガバナンスにわたるエンタープライズ レベルのセキュリティは、ユーザーが Slack で共同作業を行い、仕事を遂行する方法のあらゆる側面に組み込まれています」と広報担当者は述べ、次のように付け加えました。 Slack は、すべての顧客が、セキュリティ意識向上トレーニングを含むソーシャル エンジニアリング攻撃からネットワークを保護するための強力なセキュリティ対策を実践することを推奨しています。」
セキュリティの改善は遅く、やるべきことは増える
ただし、アプリケーション セキュリティの専門家がより適切な制御を求めているため、開発者はゆっくりとセキュリティを受け入れています。 多くの開発者 「秘密」を漏らし続ける — パスワードと API キーを含む — リポジトリにプッシュされたコード内。 したがって、開発チームは、コードを保護し、信頼できないコンポーネントのインポートを防止するだけでなく、パイプラインの重要な機能が損なわれないようにすることにも注力する必要がある、と GitLab の Loveless は述べています。
「一般的に人や物を特定することに関するゼロトラストの部分全体は、コードにも適用されるべき同じ原則があるべきです」と彼は言います。 「ですから、コードを信用しないでください。 それはチェックする必要があります。 最悪の事態を想定した人やプロセスを配置する — 特にプロジェクトのビルドなど、コードが重要なことを実行している場合は、それを自動的に信頼するつもりはありません.」
さらに、多くの開発者は、多要素認証 (MFA) を使用するなど、認証を強化するための基本的な手段をまだ使用していません。 ただし、進行中の変更があります。 ますます、さまざまなオープン ソース ソフトウェア パッケージのエコシステムがすべて開始されています。 主要なプロジェクトが多要素認証を採用することを要求する.
注目すべきツールに関しては、最新の大規模な侵害により Slack が注目を集めていますが、開発者はすべてのツールでベースライン レベルのセキュリティ制御を行うよう努めるべきだと Loveless 氏は言います。
「浮き沈みはありますが、それは攻撃者にとってうまくいくものです」と彼は言います。 「さまざまな色の帽子をかぶった経験から言えば、攻撃者は最も簡単な方法を探すので、別の方法がより簡単になったら、「最初にそれを試してみます」と言う.
GitLab は、独自のバグ報奨金プログラムでこのリーダーに従う行動を確認した、と Loveless は述べています。
「人々がバグを送信すると、突然何か、つまり新しいテクニックが人気を博し、そのテクニックに起因する多数の提出物が届くことがわかります」と彼は言います。 「彼らは間違いなく波に乗っています。」