0
0
No início de janeiro, o provedor de serviços de pipeline de desenvolvimento CircleCI alertou os usuários sobre uma violação de segurança, instando as empresas a alterar imediatamente as senhas, chaves SSH e outros segredos armazenados ou gerenciados pela plataforma.
O ataque ao serviço DevOps deixou a empresa lutando para determinar o escopo da violação, limitar a capacidade dos invasores de modificar projetos de software e determinar quais segredos de desenvolvimento foram comprometidos. Nos dias seguintes, a empresa trocou tokens de autenticação, alterou variáveis de configuração, trabalhou com outros provedores para expirar chaves e continuou investigando o incidente.
“Neste ponto, estamos confiantes de que não há agentes não autorizados ativos em nossos sistemas; no entanto, com muita cautela, queremos garantir que todos os clientes tomem certas medidas preventivas para proteger seus dados também”, afirmou a empresa. em um comunicado na semana passada .
O compromisso do CircleCI é o incidente mais recente que destaca o foco crescente dos invasores em serviços corporativos fundamentais. Serviços de identidade, como Okta e LastPass , divulgaram comprometimentos de seus sistemas no ano passado, enquanto serviços focados em desenvolvedores, como Slack e GitHub , se apressaram em responder a ataques bem-sucedidos em seu código-fonte e infraestrutura.
A abundância de ataques às principais ferramentas corporativas destaca o fato de que as empresas devem esperar que esses tipos de provedores se tornem alvos regulares no futuro, diz Lori MacVittie, uma renomada engenheira e divulgadora da empresa de segurança em nuvem F5.
“Como dependemos mais de serviços e software para automatizar tudo, desde a construção do desenvolvimento até o teste e a implantação, esses serviços se tornam uma superfície de ataque atraente”, diz ela. “Não pensamos neles como aplicativos nos quais os invasores se concentrarão, mas são.”
Serviços de identidade e desenvolvedor sob ataque cibernético
Ultimamente, os invasores têm se concentrado em duas categorias principais de serviços: sistemas de gerenciamento de identidade e acesso e infraestrutura de aplicativos e desenvolvedores. Ambos os tipos de serviços sustentam aspectos críticos da infraestrutura corporativa.
A identidade é a cola que conecta todas as partes de uma organização, bem como conecta essa organização a parceiros e clientes, diz Ben Smith, CTO de campo da NetWitness, uma empresa de detecção e resposta.
“Não importa qual produto, qual plataforma você está utilizando… os adversários reconheceram que a única coisa melhor do que uma organização especializada em autenticação é uma organização especializada em autenticação para outros clientes”, diz ele.
Enquanto isso, serviços e ferramentas para desenvolvedores tornaram -se outro serviço corporativo frequentemente atacado . Em setembro, um ator de ameaça obteve acesso ao canal Slack para os desenvolvedores da Rockstar Games, por exemplo, baixando vídeos, capturas de tela e códigos do próximo jogo Grand Theft Auto 6. E em 9 de janeiro, o Slack disse que descobriu que “um número limitado de tokens de funcionários do Slack foi roubado e mal utilizado para obter acesso ao nosso repositório GitHub hospedado externamente”.
Como os serviços de identidade e desenvolvedor muitas vezes dão acesso a uma ampla variedade de ativos corporativos – de serviços de aplicativos a operações e código-fonte – comprometer esses serviços pode ser uma chave mestra para o restante da empresa, diz Smith da NetWitness.
“São alvos muito atraentes, que representam frutos fáceis de colher”, diz ele. “Esses são ataques clássicos à cadeia de suprimentos – um ataque de encanamento, porque o encanamento não é algo visível diariamente”.
Para defesa cibernética, gerencie segredos com sabedoria e estabeleça manuais
As organizações devem se preparar para o pior e reconhecer que não há maneiras simples de evitar o impacto de eventos tão abrangentes e impactantes, diz Ben Lincoln, consultor sênior da Bishop Fox.
“Existem maneiras de se proteger contra isso, mas elas têm algumas despesas gerais”, diz ele. “Portanto, posso ver os desenvolvedores relutantes em implementá-los até que se torne evidente que são necessários.”
Entre as táticas defensivas, Lincoln recomenda o gerenciamento abrangente de segredos. As empresas devem poder “apertar um botão” e alternar todas as senhas, chaves e arquivos de configuração confidenciais necessários, diz ele.
“Você precisa limitar a exposição, mas se houver uma violação, espera-se que você tenha um botão para alternar todas essas credenciais imediatamente”, diz ele. “As empresas devem planejar extensivamente com antecedência e ter um processo pronto para ser executado se o pior acontecer.”
As organizações também podem definir armadilhas para invasores. Uma variedade de estratégias do tipo honeypot permite que as equipes de segurança tenham um aviso de alta fidelidade de que os invasores podem estar em sua rede ou em um serviço. A criação de contas e credenciais falsas, os chamados canários de credenciais , pode ajudar a detectar quando os agentes de ameaças têm acesso a ativos confidenciais.
De todas as outras maneiras, no entanto, as empresas precisam aplicar princípios de confiança zero para reduzir sua área de superfície de ataque – não apenas máquinas, software e serviços – mas também operações, diz MacVittie.
“Tradicionalmente, as operações ficavam escondidas e seguras atrás de um grande fosso [no empreendimento], então as empresas não ligavam tanto para elas”, diz ela. “A maneira como os aplicativos e serviços digitais são construídos hoje, as operações envolvem muitas identidades de aplicativo para aplicativo e de máquina para aplicativo, e os invasores começaram a perceber que essas identidades são valiosas.”
FONTE: DARK READING