Các nhà phát triển đang ngày càng bị tấn công thông qua các công cụ mà họ sử dụng để cộng tác và sản xuất mã - chẳng hạn như Docker, Kubernetes và Slack - vì tội phạm mạng và các tác nhân quốc gia nhằm truy cập vào phần mềm có giá trị mà các nhà phát triển làm việc hàng ngày.
Ví dụ: kẻ tấn công tuyên bố vào ngày 18 tháng 90 đã sử dụng thông tin đăng nhập Slack bị đánh cắp để truy cập và sao chép hơn XNUMX video đại diện cho sự phát triển ban đầu của Grand Theft Auto 6, một trò chơi phổ biến từ Rockstar Games của Take-Two Interactive. Và một tuần trước đó, công ty bảo mật Trend Micro đã phát hiện ra rằng những kẻ tấn công đang tìm kiếm và cố gắng xâm phạm các vùng chứa Docker bị định cấu hình sai một cách có hệ thống.
Mark Loveless, một kỹ sư bảo mật tại GitLab, một nhân viên của GitLab, nói: Nhà cung cấp nền tảng DevOps.
Ông nói: “Rất nhiều nhà phát triển không coi mình là mục tiêu vì họ nghĩ rằng mã hoàn chỉnh, kết quả cuối cùng, là thứ mà những kẻ tấn công đang theo đuổi”. “Các nhà phát triển thường gặp rủi ro về bảo mật — chẳng hạn như thiết lập môi trường thử nghiệm tại nhà hoặc gỡ bỏ tất cả các biện pháp kiểm soát bảo mật — để họ có thể thử những điều mới, với mục đích tăng cường bảo mật sau này.”
Ông nói thêm, “Thật không may, những thói quen đó lại được nhân rộng và trở thành văn hóa”.
Các cuộc tấn công nhằm vào chuỗi cung ứng phần mềm - và các nhà phát triển sản xuất và triển khai phần mềm - đã gia tăng nhanh chóng trong hai năm qua. Ví dụ: vào năm 2021, các cuộc tấn công nhằm xâm phạm phần mềm của nhà phát triển — và các thành phần nguồn mở được các nhà phát triển sử dụng rộng rãi — đã tăng 650%, theo “Tình trạng năm 2021 của “Chuỗi cung ứng phần mềm” báo cáo, được công bố bởi hãng bảo mật phần mềm Sonatype.
Đường ống dành cho nhà phát triển & sự cộng tác trong Điểm tham quan
Nhìn chung, các chuyên gia bảo mật cho rằng tốc độ tích hợp nhanh chóng và môi trường triển khai liên tục (CI / CD) hình thành nền tảng của các phương pháp tiếp cận kiểu DevOps gây ra rủi ro đáng kể, bởi vì họ thường bị bỏ qua khi nói đến việc thực hiện bảo mật được tăng cường.
Điều này ảnh hưởng đến nhiều loại công cụ được các nhà phát triển sử dụng trong nỗ lực tạo ra các đường ống hiệu quả hơn. Ví dụ, Slack là công cụ cộng tác đồng bộ phổ biến nhất được các nhà phát triển chuyên nghiệp sử dụng, với Microsoft Teams và Zoom sẽ xuất hiện ở vị trí thứ hai và thứ ba, theo khảo sát năm 2022 dành cho nhà phát triển StackOverflow. Ngoài ra, hơn XNUMX/XNUMX nhà phát triển sử dụng Docker và một phần tư khác sử dụng Kubernetes trong quá trình phát triển, cuộc khảo sát cho thấy.
Matthew Hodgson, Giám đốc điều hành và đồng sáng lập của nền tảng nhắn tin Element, cho biết trong một tuyên bố gửi tới Dark Reading: Việc vi phạm các công cụ như Slack có thể rất “khó chịu” vì những công cụ như vậy thường thực hiện các chức năng quan trọng và thường chỉ có biện pháp bảo vệ chu vi.
Ông nói: “Slack không được mã hóa hai đầu, vì vậy nó giống như kẻ tấn công có quyền truy cập vào toàn bộ kiến thức của công ty”. “Một tình huống như cáo trong chuồng gà thực sự.”
Vượt qua các định dạng sai: Các tai hại bảo mật khác cho nhà phát triển
Cần lưu ý rằng những kẻ tấn công mạng không chỉ thăm dò các cấu hình sai hoặc bảo mật lỏng lẻo khi truy lùng các nhà phát triển. Ví dụ: vào năm 2021, quyền truy cập của một nhóm đe dọa vào Slack thông qua Mua mã thông báo đăng nhập trên thị trường xám đã dẫn đến sự vi phạm của gã khổng lồ trò chơi Electronic Arts, cho phép tội phạm mạng sao chép gần 800GB mã nguồn và dữ liệu từ công ty. Và một cuộc điều tra năm 2020 về hình ảnh Docker đã phát hiện ra rằng hơn một nửa số bản dựng mới nhất có các lỗ hổng nghiêm trọng khiến bất kỳ ứng dụng hoặc dịch vụ nào dựa trên vùng chứa gặp rủi ro.
Lừa đảo và kỹ thuật xã hội cũng là những bệnh dịch trong lĩnh vực này. Chỉ trong tuần này, các nhà phát triển sử dụng hai dịch vụ DevOps - CircleCI và GitHub - đã được nhắm mục tiêu bằng các cuộc tấn công lừa đảo.
Và, không có bằng chứng nào cho thấy những kẻ tấn công nhắm vào Rockstar Games đã khai thác lỗ hổng trong Slack - chỉ có những tuyên bố của kẻ tấn công có chủ đích. Thay vào đó, kỹ thuật xã hội có thể là cách để vượt qua các biện pháp an ninh, một phát ngôn viên của Slack cho biết trong một tuyên bố.
Người phát ngôn cho biết: “Bảo mật cấp doanh nghiệp về quản lý danh tính và thiết bị, bảo vệ dữ liệu và quản trị thông tin được tích hợp vào mọi khía cạnh về cách người dùng cộng tác và hoàn thành công việc trong Slack”. phổ biến và phức tạp, đồng thời Slack khuyến nghị tất cả khách hàng thực hiện các biện pháp bảo mật mạnh mẽ để bảo vệ mạng của họ trước các cuộc tấn công kỹ thuật xã hội, bao gồm cả đào tạo nâng cao nhận thức về bảo mật.”
Cải tiến bảo mật chậm, nhiều việc phải làm
Tuy nhiên, các nhà phát triển chỉ chậm chấp nhận bảo mật khi các chuyên gia bảo mật ứng dụng yêu cầu các biện pháp kiểm soát tốt hơn. Nhiều nhà phát triển tiếp tục rò rỉ “bí mật” — bao gồm mật khẩu và khóa API — trong mã được đẩy vào kho lưu trữ. Do đó, các nhóm phát triển không chỉ nên tập trung vào việc bảo vệ mã của họ và ngăn chặn việc nhập các thành phần không đáng tin cậy mà còn đảm bảo rằng các khả năng quan trọng của quy trình của họ không bị xâm phạm, Loveless của GitLab cho biết.
Ông nói: “Toàn bộ phần không tin cậy, thường là về việc xác định con người và những thứ tương tự, cũng phải có những nguyên tắc tương tự áp dụng cho mã của bạn”. “Vì vậy, đừng tin vào mã; nó phải được kiểm tra. Có những người hoặc quy trình sẵn sàng giả định điều tồi tệ nhất - tôi sẽ không tự động tin tưởng vào điều đó - đặc biệt khi mã đang thực hiện điều gì đó quan trọng, chẳng hạn như xây dựng một dự án.”
Ngoài ra, nhiều nhà phát triển vẫn không sử dụng các biện pháp cơ bản để tăng cường xác thực, chẳng hạn như sử dụng xác thực đa yếu tố (MFA). Tuy nhiên, có những thay đổi đang diễn ra. Càng ngày, các hệ sinh thái gói phần mềm nguồn mở khác nhau đều đã bắt đầu yêu cầu các dự án lớn áp dụng xác thực đa yếu tố.
Về các công cụ cần tập trung, Slack đã thu hút được sự chú ý vì những vi phạm lớn mới nhất, nhưng các nhà phát triển nên cố gắng đạt được mức kiểm soát bảo mật cơ bản trên tất cả các công cụ của họ, Loveless nói.
Ông nói: “Có những thăng trầm, nhưng đó là bất cứ điều gì có lợi cho những kẻ tấn công”. “Theo kinh nghiệm của tôi khi đội tất cả các loại mũ có màu sắc khác nhau, với tư cách là kẻ tấn công, bạn tìm cách dễ dàng nhất để xâm nhập, vì vậy nếu cách khác trở nên dễ dàng hơn thì bạn nói, 'Tôi sẽ thử cách đó trước.'"
GitLab đã nhìn thấy hành vi đi theo người dẫn đầu này trong các chương trình tiền thưởng lỗi của riêng mình, Loveless lưu ý.
“Chúng tôi thấy khi mọi người gửi lỗi, đột nhiên một thứ gì đó - một kỹ thuật mới - sẽ trở nên phổ biến và hàng loạt nội dung gửi từ kỹ thuật đó sẽ xuất hiện,” ông nói. “Chắc chắn là chúng đến theo từng đợt.”