现代软件开发的基石CI/CD:敏捷与风险并存

VSole2023-05-24 16:32:13

如今,软件的开发不再是由单个开发人员在独立的机器上来完成,取而代之的情况是,多名开发者可以同时处理同一应用的不同模块或功能,而互不干扰。这种协作的方式可以让组织无需等待某个固定的时间才能发布软件,而是在准备好后立即推出软件的更新与升级。

CI/CD(持续集成/持续交付)通过对构建过程进行标准化,实现了安全从共享资源向越来越隔离的资源的转变,并且在每次变更时都会进行自动化检查,从而加快了软件的交付速度。随着CI/CD的出现,自动化和基础设施即代码(IaC)变得更加重要,越来越多的第三方(外部供应商)参与其中,新的框架和编程语言也被迅速采用。

敏捷的代价是更高的风险 

然而,从精简和自动化的共享CI/CD管道中获得的敏捷性,也使得组织更容易成为网络不法分子所攻击的目标。

随着CI/CD功能的不断升级,企业对其应用的需求也迅速增加。然而这些相互连接的管道已经超出了许多组织的成熟度和自我保护能力所能驾驭的范畴,使得CI/CD成为攻击者的主要目标。

CI/CD管道中汇集了应用程序代码、构造工具、第三方组件、机密、身份以及云资源

CI/CD扩大了组织的攻击面。如今,攻击者已经十分善于利用此类系统来对软件供应链进行攻击。而这一点也在2020年备受关注的SolarWinds事件中得到了证明。SolarWinds事件中,与俄罗斯有牵连的Nobelium组织破坏了该IT软件套件制造商的构建过程,并将恶意代码植入到应用程序中,从而流向用户的系统。

根据Palo Alto Network公司在2022年12月的报道,去年间供应链攻击事件的数量就增加了51%。CI/CD管道特别容易出现诸如配置错误(可能会暴露敏感信息并成为恶意代码的入口)和许可凭证(可能会导致横向移动和CI中毒)之类的问题。

CI/CD管道面临的多重威胁

目前,常见的初始入侵技术包括:软件开发生命周期(SDLC)资源的配置错误、恶意依赖项以及涉及到内部开发人员的攻击。

在实践中,这就意味着攻击者可以通过操纵CI/CD管道的输入(包括代码和配置),来获得一个攻击的突破点。随后攻击者就可以尝试着进行横向移动,通过滥用广泛的令牌和其他授予资源访问权限(通常是基于位置的权限,)的错误配置,来更加深入地访问目标系统,并对软件交付的后续阶段进行恶意操作。最终,攻击者便得以滥用组织的生产资源,破坏交付给第三方的产品,从而传播攻击。

另一方面,针对CI/CD基础设施的攻击可以帮助攻击者对构建阶段的软件进行操纵,使得CI/CD基础设施成为利用终端用户信任的攻击面。

相比于更加牢固和监控严密的生产环境来说,CI/CD管道更容易成为被攻击的目标。因为CI/CD管道受到的安全关注往往较少,并且在构建、打包以及部署阶段,开发人员所执行的内容也几乎没有日志记录。

众所周知,相比于直接攻击生产环境,通过CI/CD管道来注入恶意软件或利用漏洞要更加容易得手。攻击者自然也很清楚这一点。

组织内部的攻击者可以在软件构建阶段通过添加配置来注入恶意的依赖项。由于在软件的构建阶段,缺乏记录关于代码操作的详细日志,所以这些注入相较于恶意配置或源提交来说,是“不可见的”。

除非后续阶段对生成的二进制文件进行详细扫描,否则这些注入代码会被无声无息地植入到产品中,而不会被发现。

根据全球开放式Web应用安全计划(The Open Worldwide Application Security Project,OWASP)的报道,最近针对CI/CD生态系统的滥用事件数量激增,且攻击的频率和规模也在逐渐上涨。

防御措施尚未成熟

如今,不法分子正迅速改进技术以“瞄准”CI/CD,而对此的防御措施却仍处于初步阶段,安全团队仍在努力找寻对风险进行检测、理解和管理的方法。为了在最佳安全状态与开发速度之间寻求一个平衡点,安全团队正在努力寻找最有效的安全控件,以使开发工程能够在保持敏捷性的前提下,始终处于一个安全的最佳状态。

现代软件交付所携带的大量组件以及CI/CD不断增长的复杂性,使软件供应链安全的考虑变得更加复杂。组织必须采取一些涵盖源完整性、开发完整性、发布完整性、依赖性以及访问控制的深度防御措施。

例如组织可以使用安全供应链消费框架(Secure Supply Chain Consumption Framework,S2C2F)来对自己的开发过程进行评估。自2019年以来,该工具一直由微软这个软件巨头所开发和使用,旨在保护其自身的开发过程。

2022年11月,微软将S2C2F贡献给了开源安全基金会 (Open Source Security Foundation,OpenSSF)。该框架旨在解决针对开源软件的真实供应链威胁。组织可以使用该框架进行评估,以了解如何改进开源软件消费实践的安全性。

要采取的安全步骤

企业需要解决CI/CD的错误配置问题,限制对CI/CD基础架构和相关服务的访问,并将检测活动扩展到CI/CD基础架构。同时,他们还需要加强基础设施即代码(IaC)的防篡改能力。

DevOps团队则应该通过对依赖关系进行清点和理解,来尽可能地对其进行削减和监控,从而解决第三方依赖风险。随着组织成熟度和信心的增加,就可以逐步在内部对这些依赖关系进行固定、代理以及重建。”

此外,开发人员作为一种关键因素,也需要被考虑在组织的安全计划中。例如对开发人员也要启用多因素身份验证(MFA)以及条件访问等控制。同时还要对其在CI/CD基础架构上所拥有的权限进行审查。这些都应成为零信任策略中最小权限原则的一部分

无论是DevOps的发展,还是对敏捷开发的应用,CI/CD管道都是其中不可或缺的一部分。但所有这些都使得开发过程更容易成为攻击者的目标。攻击者深谙CI/CD的脆弱性,因此将重点放在了软件供应链上。为了保护组织的安全,必须采取措施来加强对该过程的安全防护。

软件ci
本作品采用《CC 协议》,转载必须注明作者和本文链接
2022年的RSA会议上,来自Coalfire的副总裁和首席战略官Dan Cornelld的议题《What Executives Need to Know about CI/CD Pipelines and Supply Chain Security》从使用CI/CD管道的安全性出发,首先向各位观众讲述了什么是CI/CD管道,并提出我们为何需要关注CI/CD使用过程中的安全风险,
思科发出警告针对CVE-2020-3118高严重性漏洞的攻击,该漏洞会影响运行Cisco IOS XR软件的多个运营商级路由器。该漏洞存在于Cisco IOS XR软件Cisco发现协议实施中,并且可能允许未经身份验证的相邻攻击者执行任意代码或导致重新加载受影响的设备。“该漏洞是由于对来自思科发现协议消息中某些字段的字符串输入进行的不正确验证所致。攻击者可以通过向受影响的设备发送恶意的Cisco发现协议数据包来利用此漏洞。”
思科小型企业交换机软件存在可被远程攻击利用的漏洞CVE-2018-15439, 该漏洞可使攻击者绕过用户身份验证机制获得完全控制权限,专家称,成功的攻击可能允许远程攻击者破坏整个网络。思科220系列和200E系列智能交换机不受影响,运行Cisco IOS软件Cisco IOS XE软件Cisco NX-OS软件的设备也不受影响。
最新消息,思科修复了其产品中的多个缺陷,其中包括 NX-OS 和 FXOS 软件中的三个高严重性缺陷。攻击者可以利用这三个问题导致拒绝服务 (DoS) 情况。
RaaS在Reveton扎根Reveton通过向被感染的电脑发送虚假的警察机构信息进行勒索入侵者甚至冒充美国联邦调查局或其他执法机构,强迫受害者支付罚款。据报道,Reveton的网络攻击者每月从受害者那里赚取约40万美元。Reveton定期发布新功能和新定制的赎金信息。毫无疑问,RaaS导致了勒索软件事件的持续上升。
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解措施,以增强 IT 和 OT 网络。
回想起大约两个月前,我们报告了Samba网络软件中一个7年前的严重远程代码执行漏洞,允许黑客远程完全控制易受攻击的Linux和Unix机器。我们将该漏洞命名为SambaCry,因为它与两个多月前在全球造成严重破坏的WannaCry勒索软件所利用的Windows SMB漏洞相似。
外媒消息思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的 IOS 映像,以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。
Samba网络软件中存在一个7年的关键远程代码执行漏洞;入侵Linux计算机并安装恶意软件来挖掘加密货币。同一组黑客现在正通过一个新的后门攻击Windows计算机,这是一个基于QT的重新编译版本,与用于攻击Linux的恶意软件相同。
2021年5月18日,《美国创新与竞争法案》(United States Innovation and Competition Act of 2021)通过,由芯片和ORAN5G紧急拨款、《无尽前沿法案》、《2021战略竞争法案》、国土安全和政府事务委员会相关条款、《2021迎接中国挑战法案》和其他事项六部分构成。该法案进一步强化了《无尽前沿法案》提出的在科技领域赢得与中国的竞争的目标,提出了十大
VSole
网络安全专家