Siber suçlular ve ulus devlet aktörleri, geliştiricilerin her gün üzerinde çalıştığı değerli yazılımlara erişmeyi amaçladığından, geliştiriciler, işbirliği yapmak ve kod üretmek için kullandıkları Docker, Kubernetes ve Slack gibi araçlar aracılığıyla giderek daha fazla saldırıya uğramaktadır.
Örneğin, 18 Eylül'de bir saldırgan, Slack'i temsil eden 90'dan fazla videoya erişmek ve bunları kopyalamak için çalınan Slack kimlik bilgilerini kullandığını iddia etti. Grand Theft Auto 6'nın erken gelişimi, Take-Two Interactive'in Rockstar Games'inden popüler bir oyun. Ve bir hafta önce, güvenlik şirketi Trend Micro, saldırganların sistematik olarak yanlış yapılandırılmış Docker kapsayıcılarını aradığını ve tehlikeye atmaya çalıştığını keşfetti.
GitLab'da bir personel güvenlik mühendisi olan Mark Loveless, her iki saldırının da yazılım programlarındaki güvenlik açıklarını içermediğini, ancak güvenlik yanlış adımları veya yanlış yapılandırmalar, genellikle saldırı yüzey alanlarını güvence altına almak için gereken özeni göstermeyen geliştiriciler açısından nadir değildir, diyor. DevOps platformu sağlayıcısı.
“Pek çok geliştirici kendilerini hedef olarak görmüyor çünkü bitmiş kodun, nihai sonucun saldırganların peşinden gittiği şey olduğunu düşünüyorlar” diyor. "Geliştiriciler, daha sonra güvenlik eklemek amacıyla yeni şeyler deneyebilmek için genellikle evde test ortamları kurmak veya tüm güvenlik kontrollerini kaldırmak gibi güvenlik riskleri alırlar."
“Maalesef bu alışkanlıklar çoğalır ve kültür haline gelir” diye ekliyor.
Yazılım tedarik zincirine ve yazılım üreten ve dağıtan geliştiricilere yönelik saldırılar son iki yılda hızla arttı. Örneğin, 2021'de geliştiricilerin yazılımlarını - ve geliştiriciler tarafından yaygın olarak kullanılan açık kaynak bileşenlerini - tehlikeye atmayı amaçlayan saldırılar, “2021 “Yazılım Tedarik Zincirinin Durumu”Yazılım güvenlik firması Sonatype tarafından yayınlanan ” raporu.
Sights'ta Geliştirici İşlem Hatları ve İşbirliği
Genel olarak, güvenlik uzmanları, DevOps tarzı yaklaşımların temellerini oluşturan hızlı sürekli entegrasyon ve sürekli dağıtım ortamlarının (CI/CD) önemli riskler oluşturduğunu ileri sürüyorlar, çünkü genellikle gözden kaçarlar sağlamlaştırılmış güvenlik uygulamak söz konusu olduğunda.
Bu, geliştiriciler tarafından daha verimli işlem hatları oluşturma çabalarında kullanılan çeşitli araçları etkiler. Örneğin, Slack, profesyonel geliştiriciler arasında kullanılan en popüler eşzamanlı işbirliği araçlarıdır ve Microsoft Teams ve Zoom, ikinci ve üçüncü sırada yer almaktadır. 2022 StackOverflow Geliştirici Anketi. Buna ek olarak, ankete göre geliştiricilerin üçte ikisinden fazlası Docker kullanıyor ve bir diğer çeyreği geliştirme sırasında Kubernetes kullanıyor.
Mesajlaşma platformu Element'in CEO'su ve kurucu ortağı Matthew Hodgson, Dark Reading'e gönderilen bir bildiride, Slack gibi araçların ihlalleri "kötü" olabilir, çünkü bu tür araçlar genellikle kritik işlevleri yerine getirir ve genellikle yalnızca çevre savunmalarına sahiptir.
"Slack uçtan uca şifreli değil, bu yüzden saldırganın şirketin tüm bilgi birikimine erişimi var gibi" dedi. "Gerçek bir kümesteki tilki durumu."
Hatalı Yapılandırmaların Ötesinde: Geliştiriciler için Diğer Güvenlik Sorunları
Siber saldırganların, geliştiricilerin peşinden gitmek söz konusu olduğunda yalnızca yanlış yapılandırmaları veya gevşek güvenliği araştırmadığı belirtilmelidir. Örneğin 2021'de bir tehdit grubunun Slack'e bir giriş belirtecinin gri pazar satın alımı oyun devi Electronic Arts'ın ihlaline yol açtı ve siber suçluların firmadan yaklaşık 800 GB kaynak kodu ve veri kopyalamasına izin verdi. Ve Docker görüntülerine yönelik bir 2020 araştırması şunu buldu: en son yapıların yarısından fazlası kapsayıcılara dayalı herhangi bir uygulamayı veya hizmeti riske atan kritik güvenlik açıklarına sahiptir.
Kimlik avı ve sosyal mühendislik de sektörde beladır. Daha bu hafta, CircleCI ve GitHub olmak üzere iki DevOps hizmeti kullanan geliştiriciler, kimlik avı saldırıları ile hedef alındı.
Ve Rockstar Games'i hedef alan saldırganların Slack'teki bir güvenlik açığından yararlandığına dair hiçbir kanıt yok - yalnızca sözde saldırganın iddiaları. Bir Slack sözcüsü yaptığı açıklamada, bunun yerine sosyal mühendisliğin güvenlik önlemlerini atlamanın muhtemel bir yolu olduğunu söyledi.
Sözcü, "Kimlik ve cihaz yönetimi, veri koruma ve bilgi yönetişimi genelinde kurumsal düzeyde güvenlik, kullanıcıların Slack'te nasıl işbirliği yaptığına ve işlerini nasıl yaptığına ilişkin her açıdan yerleşiktir" dedi ve ekledi: "Bu [sosyal mühendislik] taktikleri giderek daha fazla hale geliyor. Slack, tüm müşterilerin ağlarını sosyal mühendislik saldırılarına karşı korumak için güvenlik bilinci eğitimi de dahil olmak üzere güçlü güvenlik önlemleri uygulamalarını tavsiye ediyor.”
Yavaş Güvenlik İyileştirmeleri, Yapılacak Daha Çok İş
Bununla birlikte, uygulama güvenliği uzmanları daha iyi kontroller talep ettiğinden, geliştiriciler güvenliği ancak yavaş yavaş kabul ettiler. Birçok geliştirici "sırları" sızdırmaya devam et - şifreler ve API anahtarları dahil - depolara gönderilen kodda. Bu nedenle, GitLab's Loveless, geliştirme ekiplerinin yalnızca kodlarını korumaya ve güvenilmeyen bileşenlerin içe aktarılmasını önlemeye değil, aynı zamanda işlem hatlarının kritik yeteneklerinin tehlikeye atılmamasına da odaklanması gerektiğini söylüyor.
"Genellikle insanları ve bunun gibi şeyleri tanımlamakla ilgili olan sıfır güven bölümünün tamamı, kodunuz için geçerli olması gereken ilkelerin aynısı olmalıdır" diyor. “Yani koda güvenmeyin; kontrol edilmesi gerekir. En kötüsünü varsayan insanlara veya süreçlere sahip olmak - buna otomatik olarak güvenmeyeceğim - özellikle kod bir proje oluşturmak gibi kritik bir şey yapıyorsa. ”
Ek olarak, birçok geliştirici, çok faktörlü kimlik doğrulama (MFA) kullanmak gibi kimlik doğrulamayı güçlendirmek için hala temel önlemleri kullanmamaktadır. Ancak, bazı değişiklikler var. Giderek, çeşitli açık kaynaklı yazılım paketi ekosistemlerinin tümü başladı büyük projelerin çok faktörlü kimlik doğrulamasını benimsemesini gerektiren.
Loveless, odaklanılacak araçlar açısından, Slack'in en son büyük ihlaller nedeniyle dikkat çektiğini, ancak geliştiricilerin tüm araçlarında temel düzeyde bir güvenlik kontrolü için çaba göstermesi gerektiğini söylüyor.
“Gelişmeler ve gidişler var, ancak saldırganlar için ne işe yararsa o” diyor. “Farklı renklerde her türlü şapkayı giyme deneyimimden bahsetmişken, bir saldırgan olarak en kolay yolu arıyorsunuz, yani başka bir yol daha kolay hale gelirse 'Önce bunu deneyeceğim' diyorsunuz.”
GitLab, bu lideri takip etme davranışını kendi hata ödül programlarında gördü, Loveless notları.
“İnsanlar böcek gönderdiğinde, aniden bir şey – yeni bir teknik – popüler hale gelecek ve bu teknikten kaynaklanan çok sayıda başvuru ortaya çıkacak” diyor. “Kesinlikle dalgalar halinde geliyorlar.”