日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在2017年，網(wǎng)絡(luò)攻擊者在一個(gè)金融軟件包中植入了NotPetya惡意蠕蟲。當(dāng)很多企業(yè)更新他們的軟件時(shí)，就會(huì)被感染。NotPetya蠕蟲病毒因此迅速傳播，并為全球各地的企業(yè)帶來(lái)數(shù)十億美元的損失。美國(guó)政府稱其為“史上最具破壞性和代價(jià)最高的網(wǎng)絡(luò)攻擊”。

零陵網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián),零陵網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為零陵上千多家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)公司要多少錢，請(qǐng)找那個(gè)售后服務(wù)好的零陵做網(wǎng)站的公司定做！

在三年后，網(wǎng)絡(luò)攻擊者侵入了SolarWinds公司的Orion網(wǎng)絡(luò)監(jiān)控工具集的軟件升級(jí)過(guò)程。其帶來(lái)的破壞性也是十分廣泛的。

全球網(wǎng)絡(luò)安全咨詢機(jī)構(gòu)NCC集團(tuán)的高級(jí)安全顧問(wèn)Viktor Gazdag表示：“訪問(wèn)軟件開發(fā)管道，可能使網(wǎng)絡(luò)攻擊者有機(jī)會(huì)接觸網(wǎng)絡(luò)基礎(chǔ)設(shè)施并獲得知識(shí)產(chǎn)權(quán)?！?/p>

對(duì)DevOps管道的網(wǎng)絡(luò)攻擊正在增加

可以說(shuō)，網(wǎng)絡(luò)攻擊通常是孤立的，并且依賴于高度積極和熟練的攻擊者。事實(shí)上，DevOps管道成為犯罪團(tuán)伙的主要目標(biāo)。

根據(jù)安全服務(wù)商Argon公司在上個(gè)月發(fā)布的一份研究報(bào)告，與2020年相比，網(wǎng)絡(luò)攻擊者在2021年對(duì)軟件供應(yīng)鏈的攻擊數(shù)量增長(zhǎng)了300%以上。常見的策略包括在流行的開源軟件包中植入惡意代碼或利用已經(jīng)存在的漏洞，損害持續(xù)集成(CI)/持續(xù)交付(CD)管道工具，并利用硬編碼憑據(jù)和其他錯(cuò)誤配置和安全問(wèn)題。開源組件通道是一個(gè)受網(wǎng)絡(luò)攻擊者歡迎的目標(biāo)。

根據(jù)Sonatype公司在去年9月發(fā)布的一項(xiàng)研究報(bào)告，與2020年相比，去年對(duì)開源軟件供應(yīng)鏈的攻擊增加了650%。其攻擊面很大。根據(jù)Sonatype公司的數(shù)據(jù)，超過(guò)3700萬(wàn)個(gè)組件和軟件包位于前四大開源生態(tài)系統(tǒng)中。去年開源軟件下載量達(dá)到2.2萬(wàn)億次，與2020年相比增長(zhǎng)了73%。

為什么DevOps管道易受攻擊

Gazdag表示，軟件開發(fā)人員通常具有較高的權(quán)限級(jí)別和訪問(wèn)權(quán)限。如果正在生產(chǎn)的軟件是為外部使用而設(shè)計(jì)的，那么影響可能會(huì)大得多。他說(shuō)，“網(wǎng)絡(luò)攻擊者也有機(jī)會(huì)在最終應(yīng)用中站穩(wěn)腳跟?！?/p>

因此，DevOps管道應(yīng)該具有更高級(jí)別的安全性。但與其相反，他們有很多薄弱的安全實(shí)踐和暴露的基礎(chǔ)設(shè)施和憑據(jù)。GazDag說(shuō)，“如果使用Shodan并搜索開發(fā)工具‘Jenkins'，就會(huì)在互聯(lián)網(wǎng)上看到很多可用和可訪問(wèn)的Jenkins基礎(chǔ)設(shè)施?！?/p>

Gazdag說(shuō)，持續(xù)集成(CI)/持續(xù)交付(CD)基礎(chǔ)設(shè)施通常沒(méi)有得到與企業(yè)其他領(lǐng)域同等程度的關(guān)注。隨著現(xiàn)代發(fā)展實(shí)踐，情況變得越來(lái)越糟。

Gartner公司分析師Dale Gardner說(shuō)：“隨著企業(yè)轉(zhuǎn)向DevOps，我們?cè)陂_發(fā)方面采取的一些控制措施有放松的趨勢(shì)。我們希望變得靈活，而DevOps的方法是，我們正試圖快速發(fā)布代碼。限制和控制阻礙了這一點(diǎn)?！?/p>

對(duì)DevOps管道的攻擊類型

Linux基金會(huì)開源供應(yīng)鏈安全主管David Wheeler表示，三種最常見的攻擊類型是依賴混淆、誤植域名和惡意代碼注入。

依賴混淆也稱為名稱空間混淆，是指網(wǎng)絡(luò)攻擊者找出專有企業(yè)軟件包的名稱，并創(chuàng)建具有相同名稱和較晚發(fā)布日期的開源軟件包。某些管道工具會(huì)自動(dòng)嘗試下載最新版本的軟件包，并最終獲得了帶有病毒的軟件包。

誤植域名是指網(wǎng)絡(luò)攻擊者創(chuàng)建一個(gè)名稱幾乎與真實(shí)軟件包相同的開源軟件包，希望被攻擊者輸入錯(cuò)誤并使用錯(cuò)誤的庫(kù)。

惡意代碼注入是網(wǎng)絡(luò)攻擊者將惡意代碼添加到合法開源項(xiàng)目的地方。他們可以通過(guò)竊取項(xiàng)目維護(hù)者的憑據(jù)，并以他們的名義上傳代碼、自愿參與項(xiàng)目，或篡改開源開發(fā)工具來(lái)做到這一點(diǎn)。

開源軟件中的漏洞

開源軟件面臨很多漏洞的問(wèn)題，而網(wǎng)絡(luò)攻擊者可以利用這些漏洞。應(yīng)用安全測(cè)試商Synopsys公司在去年4月審查了1500多個(gè)企業(yè)軟件項(xiàng)目的代碼，其中包括內(nèi)部和商業(yè)項(xiàng)目，發(fā)現(xiàn)98%的開源軟件包含一些開源代碼。對(duì)于一般的應(yīng)用程序，75%的代碼庫(kù)是開源的。

更可怕的是，在Synopsys公司的分析中，84%的代碼庫(kù)至少有一個(gè)漏洞。那是在Log4J漏洞曝光之前，安全研究人員稱之為多年來(lái)最危險(xiǎn)的Java攻擊。此外，91%的開源軟件在過(guò)去兩年中沒(méi)有進(jìn)行過(guò)任何維護(hù)。

根據(jù)Flashpoint公司基于風(fēng)險(xiǎn)的安全在今年2月發(fā)布的一份調(diào)查報(bào)告，2021年有28000多個(gè)新漏洞被披露，創(chuàng)歷史新高。其中4000多個(gè)漏洞可以遠(yuǎn)程利用，其中包括公開利用和記錄的解決方案信息。

分析報(bào)告稱，Log4j漏洞特別危險(xiǎn)，其影響超過(guò)了所有其他漏洞。該庫(kù)出現(xiàn)在6200多種其他軟件產(chǎn)品中，并且供應(yīng)商咨詢的數(shù)量繼續(xù)攀升。

如何保護(hù)軟件開發(fā)管道

企業(yè)應(yīng)該做些什么來(lái)保護(hù)他們的軟件開發(fā)管道?它從對(duì)開發(fā)人員的教育和培訓(xùn)開始，制定最佳安全實(shí)踐，如雙因素身份驗(yàn)證和代碼審查，并安裝監(jiān)控工具來(lái)標(biāo)記可疑活動(dòng)。

它從開發(fā)人員開始

托管服務(wù)提供商Ensono公司網(wǎng)絡(luò)安全高級(jí)總監(jiān)David Gochenaur表示，在代碼開發(fā)和部署過(guò)程的安全性方面，內(nèi)部開發(fā)人員和第三方軟件商店都需要進(jìn)行監(jiān)督，需要以不同的方式接觸這些開發(fā)人員。

Ensono公司并不對(duì)外銷售軟件，但它需要定制軟件來(lái)維護(hù)和管理客戶的門戶網(wǎng)站。這些門戶網(wǎng)站的安全性至關(guān)重要。Gochenaur說(shuō)，“我們?yōu)樵S多客戶管理系統(tǒng)，并收集有關(guān)這些系統(tǒng)狀態(tài)的數(shù)據(jù)，并將其放入門戶?！?/p>

這意味著Ensono公司的工具可以訪問(wèn)這些客戶系統(tǒng)，這使得Ensono公司成為網(wǎng)絡(luò)攻擊者的高價(jià)值目標(biāo)。

Gochenaur說(shuō)，“因?yàn)榭蛻籼嗔?，要確保客戶A不能進(jìn)入客戶B的數(shù)據(jù)。從國(guó)家安全角度和隱私角度來(lái)看，我們的一些客戶非常敏感?！?/p>

因此，在審查供應(yīng)商時(shí)，第一個(gè)挑戰(zhàn)是非常嚴(yán)格。他說(shuō)，“你必須非常了解他們，SolarWinds數(shù)據(jù)泄露事件就是一個(gè)很好的例子，還有許多其他第三方的例子，它們沒(méi)有很好地保護(hù)自己，并被用作威脅行為者的切入點(diǎn)?！?/p>

Gochenaur說(shuō)，“這其中包括外部軟件開發(fā)公司。當(dāng)我們使用第三方服務(wù)時(shí)，我們會(huì)非常嚴(yán)格地審查他們，以確保他們有適當(dāng)?shù)牧鞒毯涂刂拼胧?，并確保從他們那里得到的任何東西都是安全的，這包括審查他們的測(cè)試程序和他們?cè)陂_發(fā)環(huán)境中實(shí)施的安全控制。我們還在合同中加入了缺陷處罰。”

然后，對(duì)于該公司自己的開發(fā)人員來(lái)說(shuō)，最大的問(wèn)題是不能使用可公開訪問(wèn)的代碼庫(kù)，Gochenaur說(shuō)，“因?yàn)槿魏螙|西都可能存在，可能有一些代碼看起來(lái)非常棒，但它允許網(wǎng)絡(luò)威脅參與者訪問(wèn)我們正在做的任何事情。”

Gochenaur表示，開發(fā)人員可能會(huì)采取許多其他措施來(lái)幫助他們生成更安全的代碼。一種有助于提供安全培訓(xùn)和激勵(lì)的策略是由第三方和內(nèi)部團(tuán)隊(duì)進(jìn)行滲透測(cè)試。他說(shuō)，“這將對(duì)所開發(fā)產(chǎn)品的質(zhì)量產(chǎn)生巨大影響?！?/p>

事實(shí)上，當(dāng)Gochenaur對(duì)公司軟件進(jìn)行滲透測(cè)試時(shí)，開發(fā)人員總是要求參加測(cè)試并觀看白帽黑客的工作。他說(shuō)，“他們想了解自己在做什么，并從滲透測(cè)試人員發(fā)現(xiàn)的漏洞中學(xué)習(xí)。它給了開發(fā)人員一種不同的思考方式。現(xiàn)在，當(dāng)我引入第三方服務(wù)時(shí)，我的一個(gè)要求是技術(shù)團(tuán)隊(duì)可以了解發(fā)生了什么，并向第三方學(xué)習(xí)?！?/p>

使用適當(dāng)?shù)墓ぞ吆涂丶?/h4>

為了幫助該公司的開發(fā)人員做出正確的決策，并確保他們的安全，Ensono公司實(shí)施了多項(xiàng)安全控制措施。例如，多因素身份驗(yàn)證有助于防止外部人員訪問(wèn)DevOps管道。該公司使用私有代碼庫(kù)，以便開發(fā)人員可以從已經(jīng)審核和批準(zhǔn)的代碼中進(jìn)行選擇。

Ensono公司還擁有專門負(fù)責(zé)修補(bǔ)系統(tǒng)的團(tuán)隊(duì)，以確保部署的所有內(nèi)容都是最新的。Gochenaur說(shuō)，“我們定期掃描整個(gè)環(huán)境以尋找漏洞。”

凱捷公司的DevOps架構(gòu)師Venky Chennapragada表示，企業(yè)可以做其他事情來(lái)幫助鎖定他們經(jīng)常錯(cuò)過(guò)的開發(fā)管道。例如，企業(yè)應(yīng)該為非生產(chǎn)暫存環(huán)境和生產(chǎn)設(shè)置單獨(dú)的管道，并限制訪問(wèn)這兩個(gè)系統(tǒng)的人員。為了進(jìn)一步鎖定訪問(wèn)權(quán)限，企業(yè)應(yīng)該使用企業(yè)級(jí)訪問(wèn)管理系統(tǒng)，例如Active Directory或LDAP。

許多企業(yè)為軟件開發(fā)團(tuán)隊(duì)提供單獨(dú)的用戶數(shù)據(jù)庫(kù)或使用內(nèi)置的用戶管理工具，而擁有一個(gè)單獨(dú)的系統(tǒng)更容易。

Chennapragada說(shuō)，“如果我要與Active Directory或LDAP集成，就會(huì)進(jìn)行安全審計(jì)。一些工程師可能想繞過(guò)安全審計(jì)，因?yàn)樗麄儧](méi)有正確安裝東西?！?/p>

基于角色的訪問(wèn)是可能會(huì)讓開發(fā)人員感到討厭的另一種控制方法。Chennapragada說(shuō)， “授予完全訪問(wèn)權(quán)限總是很容易，而不必創(chuàng)建用戶組和角色，但這是一種不好的做法?！?/p>

最后，Chennapragada建議企業(yè)仔細(xì)跟蹤進(jìn)入其軟件的所有組件，尤其是開源庫(kù)。他說(shuō)，“開發(fā)人員傾向于在他們的軟件中包含開源代碼，它可能存在錯(cuò)誤和安全漏洞?！?/p>

外部庫(kù)需要經(jīng)過(guò)安全掃描和代碼審查，開發(fā)人員應(yīng)僅限于使用經(jīng)過(guò)認(rèn)證的依賴項(xiàng)。而其他有吸引力的工具包括操作系統(tǒng)變體和插件。例如，Linux有數(shù)百萬(wàn)種不同的風(fēng)格。Chennapragada說(shuō)，“確保他們使用的任何版本都經(jīng)過(guò)強(qiáng)化，并且是最新的。流行的開發(fā)工具Jenkins是一個(gè)開源自動(dòng)化服務(wù)器，帶有各種插件。插件的安全可能非常脆弱。網(wǎng)絡(luò)攻擊者可以將惡意代碼放入插件中，從而接管受害者的系統(tǒng)?！?/p>

網(wǎng)絡(luò)安全供應(yīng)商ImmuniWeb公司首席執(zhí)行官Ilia Kolochenko說(shuō)，有許多可用的安全控制和流程，它們成本不高，也不會(huì)產(chǎn)生太多開銷，但確實(shí)需要一些深思熟慮的計(jì)劃或培訓(xùn)。例如，AWS公司提供了成本不高甚至免費(fèi)的內(nèi)置安全控制和工具，他說(shuō)?！叭藗儾粫?huì)選擇它們，因?yàn)樗麄儾恢肋@些工具，或者認(rèn)為不需要它們，或者很難挖掘和利用它們。”

他說(shuō)，“云計(jì)算使部署持續(xù)安全監(jiān)控和事件響應(yīng)等工具變得更加容易。可以檢測(cè)到可疑活動(dòng)并立即停止它，用干凈的文件替換，并在不離線的情況下繼續(xù)操作。云計(jì)算提供了許多很好的機(jī)會(huì)來(lái)自動(dòng)化其持續(xù)安全監(jiān)控和事件響應(yīng)，但有些人沒(méi)有使用它。"

提供軟件材料清單(SBOM)，但也掃描漏洞

許多業(yè)內(nèi)人士一直在推動(dòng)軟件材料清單(SBOM)。去年5月，美國(guó)總統(tǒng)拜登發(fā)布了一項(xiàng)行政命令，要求向美國(guó)的政府部門提供軟件材料清單(SBOM)。在兩天后，云原生計(jì)算基金會(huì)發(fā)布了一份最佳實(shí)踐白皮書，建議所有供應(yīng)商在可能的情況下提供軟件材料清單(SBOM)，并提供明確和直接的依賴關(guān)系鏈接。

軟件材料清單(SBOM)將幫助企業(yè)在其環(huán)境中找到易受網(wǎng)絡(luò)攻擊組件的實(shí)例。例如，Log4j在去年12月進(jìn)行了修補(bǔ)，但截至2月11日，40%的下載仍然是易受網(wǎng)絡(luò)攻擊的版本。

技術(shù)咨詢機(jī)構(gòu)Ascent Solutions公司的IEEE高級(jí)成員、網(wǎng)絡(luò)安全策略師Kayne McGladrey說(shuō)：“如果你買一塊面包，其包裝上就會(huì)寫上成分清單。而采用軟件也需要企業(yè)了解軟件材料清單(SBOM)，并做出明智的風(fēng)險(xiǎn)決策。”

McGladrey期望有遠(yuǎn)見的軟件供應(yīng)商開始將這些列表包含在他們的軟件中，因?yàn)檫@是他們的客戶希望看到的東西。他建議軟件供應(yīng)商提供有關(guān)他們的軟件應(yīng)該如何運(yùn)行以及不應(yīng)該如何運(yùn)行的信息。他說(shuō)，“如果軟件供應(yīng)商提供了他們軟件的正常行為列表，我們可以說(shuō)，‘這個(gè)軟件的行為異常，因?yàn)樗B接到不應(yīng)該連接的服務(wù)器?！?/p>

無(wú)論軟件材料清單(SBOM)是否成為強(qiáng)制性的，企業(yè)都應(yīng)該掃描他們的軟件以查找已知漏洞和其他潛在的安全問(wèn)題。網(wǎng)絡(luò)安全供應(yīng)商N(yùn)TT Application Security公司的研究員Ray Kelly說(shuō)，現(xiàn)在所有主要的掃描軟件都在尋找易受攻擊的Log4j數(shù)據(jù)包。

很明顯，很多企業(yè)并沒(méi)有使用這些工具。Kelly說(shuō)，“盡管補(bǔ)丁已經(jīng)發(fā)布了兩個(gè)月，但還有些公司仍在使用舊版本的Log4j，這說(shuō)明他們?cè)诒Ｗo(hù)代碼安全方面遠(yuǎn)遠(yuǎn)落后。”

新聞標(biāo)題：為什么DevOps管道受到網(wǎng)絡(luò)攻擊以及如何反擊
文章路徑：http://www.5511xx.com/article/dpcdped.html