CEO Aaron Bray tarafından. Şube
Siber güvenlik son dört yılda önemli ölçüde değişti. Pandemi sırasında, dünyanın dört bir yanındaki kuruluşlar kendilerini hızlanan dijital dönüşüm girişimleri, uzaktan iş gücü ve savunmaları gereken saldırı yüzeyini önemli ölçüde değiştiren bir dizi başka endişeyle karşı karşıya buldu. Ancak çoğu kuruluş, operasyonlarında, süreçlerinde ve sistemlerinde yaşanan değişikliklere yanıt olarak henüz başkalaşım geçirmemiş bir güvenlik duruşuna sahiptir.
Bu değişikliklerin en büyük etkilerinden biri, kuruluşun meşhur güvenlik “taç mücevherlerinin” nerede olduğu ile bir saldırganın bunlara erişmeye çalışırken karşı karşıya kalacağı maliyet arasındaki dengede çarpıcı bir değişim oldu. Geçmişte kuruluşlar büyük ölçüde, öncelikle iş istasyonlarını kullanan geleneksel şirket içi iş gücünden oluşuyordu. işteyken, şirket içinde yaşayan ve sistem yöneticileri tarafından yönetilen etki alanı denetleyicilerine bağlanan. Bu, gücü sistem yöneticilerinin elinde etkili bir şekilde merkezileştirdi ve bu da onları herhangi bir potansiyel saldırganın birincil hedefi haline getirdi.
Bir hesabın güvenliğinin ihlal edilmesi etki alanı yöneticisi ayrıcalıklar, ağa bağlı hemen hemen her şeye erişime olanak tanır. Ek olarak, bu tür bir organizasyonun güvenlik duruşunun, yama bakımı ve ihlal tespiti gibi temel hijyen sorunlarından, güvenlik politikası ve yönlendirmesinin yönetilmesi gibi daha yüksek düzeydeki kaygılara kadar, tamamen güvenlik personeli, yöneticiler ve sistem yöneticileri tarafından tutulan güvenlik personeli tarafından belirlendiğini göz önünde bulundurun. organizasyon. yeteneği önlemek Saldırganların sistemleri başarılı bir şekilde ihlal etmesi, yatay hareket etmesi ve sonuçta bu “Tanrı” hesaplarına erişmesi tamamen kuruluşun güvenliğe ne kadar öncelik verdiğinin ve bazı durumlarda ne kadar eski bagaja maruz kaldıklarının bir fonksiyonudur.
Saldırı Yüzeyi Genişledikçe Hedefler Değişiyor
Bunu modernleştirilmiş kuruluşlarla karşılaştırın: İş açısından kritik birçok varlık artık buluta kaydırıldığında saldırı yüzeyi nasıl görünüyor? Kuruluşlar, daha önce temel iş BT işlevlerini yerine getirmek için giderek daha fazla üçüncü taraflardan yararlanıyor (ör. Office365 ve G Suite), birçok çalışan uzaktan çalışıyor ve daha fazla geliştirme süreci, yavaş ve kontrollü sürümlerden etkili sürümlere geçiş yaptı sürekli? Temel olarak bu, geleneksel sistem yöneticisi hesaplarının muhtemelen daha önce olduğu gibi merkezileştirilmiş kimlik bilgilerine sahip olmadığı ve kimlik avı gibi daha karmaşık olmayan yaklaşımların (örneğin istismar) dışındaki geleneksel erişim vektörlerinin daha önce olduğundan daha pahalı olduğu anlamına gelir. Örneğin, tüm işlevin etkin bir şekilde Microsoft’a devredildiği bir durumda, yama yapılmamış bir posta sunucusu veya etki alanı denetleyicisi bulmak çok daha zorlayıcı hale geliyor.
Ek olarak, mühendislik ekipleri artık çok daha az güvenlik kontrolüyle, daha önce sahip olduklarından çok daha fazla erişime sahip. Pek çok kuruluşun geliştirici sistemlerinde uç nokta koruması yoktur veya derleme ve test dizinleri için politika istisnaları vardır. Bulut altyapısı genellikle “kod olarak” korunur. Birçok modern, iş açısından kritik varlık artık Sürekli Entegrasyon / Sürekli Dağıtım (CI/CD) çözümleri aracılığıyla okunan, değiştirilen, test edilen ve dağıtılan bir dizi komut dosyasıyla tanımlanıyor.
Aynı şey genellikle çoğu modern geliştirme süreci için de geçerlidir. Büyük işletmeler artık sahaya çıkıyor yüzlerce veya binlerce her gün inşaat sayısı. Güvenlik açısından bakıldığında, yazılım geliştiricileri ve CI/CD sistemleri artık iş açısından kritik öneme sahip çok sayıda işlevselliğe erişime sahip. Çalıştırmak için geliştiriciler genellikle bulut altyapısına, üretim verileri için kimlik bilgilerine ve fikri mülkiyete yönetici erişimine sahiptir; çok az güvenlik aracı içeren veya hiç içermeyen sistemlerden, neredeyse evrensel yerel yönetim ayrıcalıklarından ve bilgisayardan bir şeyler indirmek için sınırsız erişimden bahsetmeye bile gerek yok. interneti aç.
Bu, dengelerin değiştiği anlamına geliyor. Geçmişte sistem yöneticileri, saldırganların geniş erişim elde etmek ve kuruluş genelinde cezasız bir şekilde çalışma yeteneği elde etmek için kullandıkları hızlı ve kolay hedeflerdi. Saldırganların bu hedeflere ulaşması zorlaştı ve çok daha pahalı hale geldi; ödüller artık önemli ölçüde azaldı.
Öte yandan, modern kuruluşlar, CI/CD altyapıları da dahil olmak üzere, geliştirme iş gücü ve süreçleri tarafından gerçekleştirilen faaliyetlerde kesinlikle şaşırtıcı miktarda riskle karşı karşıyadır ve karşılaşılan zorlukları hafifletmeye ve hatta bunlarla ilgili fikir vermeye yardımcı olacak şaşırtıcı derecede az sayıda araç mevcuttur.
Saldırganlar bunun da ötesinde kimlik bilgilerini, üretim verilerini, fikri mülkiyet haklarını ve daha fazlasını çalmak için bu açık kanallardan yararlanarak dikkat çekti. Belki de bu olayların çoğunun en korkutucu yönü, birçok kuruluşun bu faaliyetlere ilişkin temel görünürlükten bile yoksun olması veya standart uç nokta ürünleri gibi daha geleneksel kontrollere güvenmeye çalışmasıdır. hiç Bu tür saldırıların temsil ettiği tehdit modeliyle uyum sağlayın. Bu, tespit edilmemiş olsa da bu türden daha birçok ihlalin halihazırda devam ettiği anlamına geliyor.
Peki saldırganlar ilk erişim elde etmek için bu kanalları nasıl kullanıyor ve bu, tehdit modelini gerçekten nasıl değiştiriyor? Rakiplerin şu anda kuruluşlarda yer edinmek için kullandığı en aktif vektörlerden biri Açık Kaynak Yazılım (OSS) ekosistemidir. Bu ilk bakışta biraz anlaşılmaz görünse de, OSS geliştirme ve tüketiminin nasıl geliştiğini ve bu ifadenin gerçekte neleri gerektirdiğini kısaca ele alalım.
Açık Kaynak Yazılım: Ödüller ve Riskler
OSS, daha önce nispeten zengin bir tarihe sahip olmasına rağmen, son yirmi yılda ön plana çıktı. Bugünlerde hükümetlerden düzenlemeye tabi endüstrilere ve reklam ajanslarına kadar neredeyse her kuruluş, iş açısından kritik işlevler için ona güveniyor. Bu, geliştirme maliyetlerinde büyük düşüşler ve sahaya çıkış süresinin kısaltılması da dahil olmak üzere pek çok harika şeye yol açtı. Ancak keskin kenarlarla birlikte gelir.
Sorunlu lisanslar ve düzeltme eki uygulanmamış güvenlik açıkları gibi daha geleneksel sorunların birçoğu nispeten iyi anlaşılmış olsa da, son birkaç yılda süreçlerin başka bir yerden taşınmasıyla ön plana çıkan bir dizi yeni sorun da mevcut. statik ile sürekliTemelde güvenlik düşünülmeden tasarlanmış sistemler tarafından desteklenmektedir.
Bir erişim vektörü olarak açık kaynak ekosistemi gerçekte ne anlama geliyor ve bunun geliştiricilerle ilişkisi nedir? Her düzeydeki modern yazılım projelerinin çoğunun binlerce üçüncü taraf, açık kaynaklı yazılım paketi içerdiğini düşünün. Bu paketler dünyanın her yerinden on binlerce gönüllü yazılım geliştiricisi tarafından yayınlanmakta, yönetilmekte ve bakımı yapılmaktadır. Bazılarının büyük bir kuruluştan kurumsal desteği olsa da, temelde bu kişiler arasında geleneksel bir tedarikçi ilişkisi yoktur. yaratmak OSS ve olanlar tüketmek BT. Her şey etkili bir şekilde olduğu gibi sağlanır.
Bu paketler kaldırılır ve devasa, karmaşık bir ağdaki iş açısından kritik sistemlere dahil edilir. Örneğin, bir yazılım geliştiricisi yaygın bir iş sorununu çözmek için popüler bir paket kurabilir. O paket olabilir bağlıdır sessizce aşağı çekilip kurulacak iki veya üç paket daha. Bu iki veya üç paketin her biri de muhtemelen daha fazla pakete bağlı olacaktır, vb. Bir güvenlik uygulayıcısının bakış açısına göre, bu tek, zararsız ve popüler paketi yükleyen tek yazılım geliştiricisi, artık yazılım kapsayan bir tedarik zincirini etkili bir şekilde entegre etmiştir. binlerce tarafından sürdürülen olası bireysel yazılım paketlerinin onbinlerce Kuruluşunuzla hiçbir ilişkisi olmayan veya herhangi bir inceleme süreci olmayan yabancıların iş açısından kritik bir yazılım parçasına aktarılması. Daha da kötüsü, her biri Bu binlerce yazılım paketinden biri kod yürütme becerisine sahip oluyor her zaman yazılım geliştiricisi veya CI/CD çalıştırıcısı “kur” veya “güncelle” tuşuna basar.
Geliştiricilerin paket aldığı en büyük, en aktif yazılım paketi yöneticilerinin analizi, 2. çeyrekte her gün ortalama yaklaşık 28.000 paketin yayınlandığını buldu; bu paket yöneticilerinin çoğunun kadrosunda gerçek bir çekirdek ekip olduğu göz önüne alındığında şaşırtıcı bir miktar. Genellikle yayınlanan tüm yazılımı yönetmeye ve önceliklendirmeye çalışmaktan bir ila üç kişi sorumludur. Bu ekosistemler, geliştiricilerin yazılım oluşturmak için paketleri aldıkları birincil konumlar olsa da, içindekiler büyük ölçüde incelenmemiştir. Aslında, kötü aktivite patlamaları bu ekosistemlerden bazılarının işlevlerinin bir kısmını tamamen kapatmasını tetikledi.
Phylum’un 1. Çeyrek ve 2. Çeyrek Güvenlik araştırmacıları için araştırma raporları, kötü aktörlerin spam olan yüz binlerce paketi dağıttığı veya kötü niyetli kişilerin spam olan yüz binlerce paketi dağıttığı olaylarda bir artış olduğunu belirtti. spam veya aktif olarak kötü niyetli; bunların büyük çoğunluğu yazılım geliştiricileri ve CI/CD altyapısını hedef aldı. Bu saldırıların bazıları spreyle ve dua et yaklaşımını benimserken, birçoğu çok daha hedeflidir. Bağımlılık karışıklığı gibi saldırılar, kötü niyetli aktörlerin, yazılım tedarik zincirleri aracılığıyla kuruluşları cerrahi olarak hedeflemesine olanak tanır ve şaşırtıcı çeşitlilikte olabilen yazım hatası saldırılarındaki büyük artış, ilgili kuruluşların kullandığı popüler açık kaynaklı paketleri hedefleme eğilimindedir. Ek olarak, tehdit aktörleri kendilerine yer edinmek amacıyla paket sağlayıcılara karşı da saldırılar gerçekleştirdi.
Yazılım Geliştiricileri: Kraliyet Mücevherlerinin Yeni Bekçileri
Yazılım geliştiricileri, geçmişe göre çok daha az güvenlik ve gözetimle, çok daha fazla ayrıcalığa sahip olan, yeni yüksek değerli hedefler haline geldi. Saldırganlar, son yıllarda yazılım tedarik zinciri kaynaklı saldırılar ve ihlallerdeki çarpıcı artışın ve son dönemdeki birçok ihlalde yazılım geliştiricilere yönelik hedefli saldırıların da gösterdiği gibi, bundan yararlanıyor.
Dijital dönüşümün yol açtığı organizasyonel değişikliklere uyacak şekilde güvenlik duruşunu ayarlama konusunda kuruluşların yapması gereken işler var. Bu güvenlik açıklarını kapatmaya hızlı bir şekilde odaklanmak artık kritik öneme sahip çünkü artık daha çok bir Ne zamanziyade eğeraçık kaynak ekosisteminden yüklenen kötü amaçlı bir paket sonucunda herhangi bir müdahaleye gerek kalmadan ihlal meydana gelir.
yazar hakkında
Adım Aaron Bray, Phylum’un CEO’su ve Kurucu Ortağı. Aaron’un yazılım mühendisliği ve bilgi güvenliği alanında 14 yıllık deneyimi var. Küresel Tehdit Emülasyonu hücresinin geliştirilmesine liderlik etmek üzere Sony’ye katılmadan önce ABD İstihbarat Topluluğu’nda 11 yıl çalıştı. Aaron’un geçmiş araştırmaları program sentezi, kötü amaçlı yazılım çeşitliliği, yazılım anormalliği tespiti ve doğal dil işleme tekniklerinin ikili analize uygulanması üzerine odaklanmıştı. Aaron’a çevrimiçi olarak [email protected] ve https://www.linkedin.com/in/aaron-bray-422ba06a/ adresinden ve şirket web sitemiz http://www.phylum.io adresinden ulaşılabilir.