GitProtect.io’ya göre, DevSecOps ekiplerinin her birkaç günde bir karşılaştığı gerçekler kesintiler, insan hataları, siber saldırılar, veri ihlalleri, fidye yazılımları, güvenlik açıkları ve bunların sonucunda ortaya çıkan veri kayıplarıdır.
DevSecOps
Geliştirme süreçlerine güvenliği entegre etme olanağı, geliştirme ve operasyon ekiplerinin güvenlik ekipleriyle birlikte çalıştığı ve tüm süreçlerinin birleştirildiği DevSecOps’un ortaya çıkmasına neden oldu. DevSecOps’ta güvenlik sonradan akla gelen bir şey değil, yazılım geliştirme yaşam döngüsünün başlangıcından itibaren entegre edilen temel bir bileşendir.
Ancak, tüm teknolojik gelişmelerde olduğu gibi, DevSecOps yolculuğu da zorluklardan uzak değildir. DevOps’un hızlı temposu, modern siber tehditlerin karmaşıklıklarıyla birleştiğinde, proaktif ve bilgili bir yaklaşım gerektirir. Kuruluşlar, geliştiricilerden güvenlik analistlerine kadar her ekip üyesinin yazılım geliştirme yaşam döngüsünü güçlendirmede rolünü oynadığından emin olarak dikkatli, çevik ve işbirlikçi olmalıdır.
2023 yılında, DevOps servislerinin (GitHub, Bitbucket, GitLab ve Jira) işleyişi üzerinde en büyük olumsuz etkiye sahip olayların sayısı %14’ü aşmadı:
- GitHub %13,94 olay kaydetti
- Bitbucket 8,33%
- GitLab 7,89%
- Jira sadece %4
Sorunların çoğu bileşenlerin çalışmasını etkileyerek çeşitli düzeylerde performans düşüklüğüne yol açtı.
Bir yıllık RepoJacking
GitHub kullanıcılarını etkileyen olaylar 2023’te bir önceki yıla göre %21’den fazla arttı. Yılın ilk çeyreği bu açıdan en aktif olanıydı.
GitHub için, RepoJacking adı verilen bir metodolojinin yılıydı. AquaSec’ten araştırmacılar, 9 milyon deponun bu saldırıya karşı savunmasız olabileceği sonucuna vardı, Checkmarx ekibi GitHub’ın açığının 4K’dan fazla paketi RepoJacking’e maruz bırakabileceğini keşfetti ve son olarak, VulnCheck bu sorunu araştırıyordu ve 15K’dan fazla Go modülü deposunun bu tür bir saldırıya karşı savunmasız olduğunu buldu.
Bilgisayar korsanları ayrıca GitHub’ı meşru bir kamu hizmetinde kötü amaçlı yazılım barındırmak için kullandılar ve gerçek komuta ve kontrol (C2) adresini almak için bir deaddrop çözücü olarak kullandılar, bu da tehdit aktörüne güvenilir ve ucuz bir saldırı altyapısı oluşturması için yeşil ışık yaktı ve diğer kullanıcıları ve verilerini tehdit etti.
Atlassian’ın büyük etki olarak kabul ettiği olayların yaklaşık üçte biri, kullanıcıların bu olayları bir şekilde deneyimlediği anlamına geliyor. 2023’te Bitbucket ile ilgili olay sayısı bir önceki yıla kıyasla biraz azaldı ancak %2,04’lük bir farktan bahsediyoruz. Ne yazık ki Jira kullanıcıları bir yıl öncesine göre %50 daha fazla olay deneyimleyebilir – toplamda 75 olay. Bu bize her 5 günde bir olayın endişe verici istatistiklerini veriyor.
Geçtiğimiz yıl Atlassian çoğunlukla CVSS puanları 9’un üzerinde olan yüksek ciddiyetteki kusurlarla boğuştu – şablon enjeksiyonu güvenlik açığı veya kritik Uzaktan Kod Yürütme (RCE) hataları – sadece birkaçını saymak gerekirse. Atlassian ayrıca çalışanlarından birine yapılan bir saldırıya kurban gitti ve bu da şirketin dahili verilerinin sızdırılmasına neden oldu.
Hizmet performansı sorunları GitLab müşterilerini etkiliyor
GitLab’daki olayların yaklaşık %32’sinin hizmet performansını etkilediği ve müşterilerin tam kapasiteyle çalışmasını engellediği tespit edildi.
En aktif aylar Haziran ve Ağustos’tu (ayda 10 olay). Haziran’da 1 hizmet kesintisi olayı ve 4 küçük etiket kısmi kesintiler olarak gerçekleşti.
Ağustos ayında GitLab, yalnızca servis sağlayıcının güvenliğini baltalamakla kalmayıp aynı zamanda yenilikçi bir Proxyjacking planını da mümkün kılan oldukça yetenekli bir saldırıya kurban gitti. Saldırganlar başlangıçta, fidye yazılımı, veri hırsızlığı ve diğer takip eden saldırılara kapı açabilecek olan CVE-2021-22205 güvenlik açığını (CVSS puanı 10.0) kullanarak konteynere erişim sağlamayı başardılar. GitLab’in güvenlik tavsiyesi neydi? Elbette, tehlikeye atılmış örneği iptal etmek ve en son iyi çalışan yedeklemeyi yeni bir GitLab örneğine geri yüklemek için kuruluşun güvenlik olayı ve felaket kurtarma süreçlerini takip etmek.
Diğer önemli olaylar arasında, teknoloji şirketlerinin çalışanlarının kişisel hesaplarını hedef alan bir sosyal mühendislik kampanyası olan RCE açıkları, GitLab’daki kritik hesap ele geçirme açıkları ve daha fazlasını sayabiliriz.
Araştırmacılar, tehdit aktörlerinin kötü amaçlı amaçları için GitHub’ı kullanmaya başladığını fark ettiler ve “son zamanlarda, kötü amaçlı yazılım barındırmak için GitHub açık kaynaklı geliştirme platformunun kullanımının arttığını gözlemledik” diye bildirdiler. Kötü amaçlı aktörlerin kullandığı yeni yöntemler arasında gizli Gist’leri kullanmak ve git commit mesajları aracılığıyla kötü amaçlı komutlar vermek vardı. Yani, numara, kötü amaçlı yazılımlarını meşru bir genel hizmette barındırabilmeleri ve gerçek komut ve kontrol (C2) adresini almak için bunu bir dead-drop çözücü olarak kullanabilmeleriydi.
Bu teknikler, düşman aktörlerin kötü niyetli ağ trafiğini tehlikeye atılmış bir ağdaki meşru iletişimlerin içinde gizlemelerine izin verdi. Bu durumda, tehditleri hızlı ve etkili bir şekilde belirlemek ve ele almak zor olurdu. Sonuç olarak, bir GitHub deposuna karşılık gelen enfekte uç nokta şüpheli olarak bildirilmeyebilir ve bu da bir tehdit aktörüne güvenilir ve ucuz bir saldırı altyapısı oluşturması ve diğer kullanıcıları ve verilerini tehdit etmesi için yeşil ışık yakabilir.
DevOps güvenlik zorluklarından bazıları nelerdir?
DevOps güvenlik sorunları ve zorlukları genellikle geliştiricilerin ve operasyon ekiplerinin güvenlik ekipleriyle farklı sayfalarda olmasından kaynaklanır.
Geliştiriciler yazılımlarını mümkün olduğunca hızlı bir şekilde boru hattına sokmak isterken, güvenlik ekipleri güvenliği entegre etmek ve bulabildikleri her son güvenlik açığını ve hatayı ortadan kaldırmakla meşguldür. Ve bu makuldür, çünkü iyi tanımlanmış bir ağ çevresi ve güvenli yazılım için geliştirme sürecinin her aşamasında güvenliği entegre etmeye yönelik önlemler olmadan, bir kuruluş siber güvenlik tehditleri, veri ihlalleri ve veri kaybıyla uğraşmak zorundadır.
Bu nedenle, bir dahaki sefere “DevOps verilerini neden koruyalım?” diye sormak yerine, sadece veri kaybını ve saatlerce süren kesintiye uğramış iş sürekliliğini düşünün.