AppSec mühendisi açılış konuşması, Log4j’nin Equifax ihlalinden ders alınmadığını ortaya çıkardığını söyledi
Ağlarınızın meşhur arka kapısını kapatmak “riskleri azaltır” [of attacks] muazzam bir düşüş”, dedi uygulama güvenliği mühendisi Sean Wright, Cuma günkü Tüm Gün DevOps’ta.
Açılış konuşmacısı, Aralık ayında SolarWinds olayının açık kaynak ekosistemini sarsmasından bu yana mantar gibi artan bir tehdit olan ‘yeni nesil’ tedarik zinciri saldırılarında %742’lik bir artışa karşı kendilerini korumak için güvenlik ekiplerini “uygun erişim kontrollerini uygulamaya” çağırdı. 2020.
Saldırganlar, diğer tekniklerin yanı sıra yazım hatası, bağımlılık karışıklığı, kötü niyetli kod enjeksiyonları, paketlerdeki güvenlik açıkları, protesto yazılımı ve paket yazarı hesaplarının ele geçirilmesinden yararlanıyor (ikincisi, paket yöneticilerini çok faktörlü kimlik doğrulama (MFA) uygulamaya yönlendiriyor).
İLİŞKİLİ Araştırmacılar, açık kaynak depolarına yönelik siber saldırılarda %633 artış tespit etti
“Sunucularınızın gerçekten iyi tanımlandığından emin olun. [in terms of] neyle ve kiminle konuşabilecekleri” dedi. WrightTeknik aksaklıkların ardından sanal açılış sunumunu yeniden kaydeden , canlı görüntüsünü kısa kesti.
Wright, “Sunucularınız asla ve asla açık giden erişime sahip olmamalıdır” diye tavsiyede bulundu.
Wright, birçok modern tedarik zinciri saldırısının “birçok kuruluşun gelen şeyleri filtrelediği, ancak ne olup bittiğine asla dikkat etmediği gerçeğinden yararlandığını” ekledi.
akıntıya karşı yüzmek
Açık kaynak ekosisteminin boyutundaki çarpıcı artış, saldırganları, saldıran uygulamaların ötesinde, yukarı akış bileşenlerini hedeflemeye kadar çeşitlendirmeye ikna etti. Bir şey olursa, Wright bunu daha erken ve daha büyük ölçekte yapmadıklarına şaşırdı.
Bağlam için, kendi araştırması, 2015 ve 2022 arasında çeşitli paket yöneticileri arasında trilyonlarca indirme isteği olduğunu, Java indirmelerinin %3,870, JavaScript’in %13,900 ve .NET’in %34,100 oranında arttığını gösterdi.
Tipik bir uygulama 20-30 bağımlılığa sahip olduğunda ve bunların her biri 10.000 kod satırı gibi bir şeyle genellikle 5-10 bağımlılığa sahip olduğunda, güvenlik açıklarını bulmak ‘samanlıktaki iğne’ sorunu değil, ‘açık okyanusta bir iğne’ sorunudur. ” Wright’a göre meydan okuma.
AppSec mühendisi Sean Wright, açık kaynak ekosisteminde çarpıcı bir büyüme gösteriyor
Google’ın Açık Kaynak Bilgileri gibi kaynaklar bu nedenle paha biçilmezdir. Bu “harika” araç, açık kaynak paketleri için bağımlılık grafikleri oluşturur ve bunlara sahiplik, lisans, popülerlik ve diğer meta verilerle açıklamalar ekler.
Wright ayrıca, çoğalan yazılım malzeme listesinin (SBOM’ler) merkezi bir görünümü için Dependancy Track’in kullanılmasını tavsiye etti.
Bir güvenlik açığı ortaya çıktığında, CVSS derecesi genellikle bir hatanın anlaşılması derinleştikçe değiştiğinden, güvenlik ekiplerine önem derecesinden çok vektöre dikkat etmelerini tavsiye etti.
Yapı sisteminizi temizleyin
Eski yazılım geliştiricisi, paket yöneticilerinin hileli paketleri halka açık depolardan hızlı bir şekilde kaldırmasına rağmen, önbelleğe alma kullanımlarının geliştiricilerin özel depolarını ve yerel derleme sistemlerini “temizlemesi” gerektiği konusunda uyardı.
Yazılım tedarik zincirini (SLSA, Sigstore Cosign, NIST rehberliği ve OSSF Güvenlik Puan Kartları) güçlendirmeye yönelik bir dizi yeni girişimi övdü, ancak bu kaynaklara rağmen yapılacak çok iş var.
En son yazılım tedarik zinciri saldırı haberlerinin devamını okuyun
Ne de olsa kritik Log4j hatası, kuruluşların Apache Struts hatası tarafından sunulan ve Equifax’ın 2017’deki itibarını sarsan dersi dikkate almadığını gösterdi – “indirmelerin %33’ünün hala savunmasız sürüm olduğunu görüyoruz”, diye yakındı.
“Genellikle herhangi bir rastgele yabancının kod tabanınıza kod işlemesine izin vermezsiniz,” diye bitirdi. “Ama rastgele geliştiricilerin paketlerini indirirken yaptığımız tam olarak bu.”
Tüm Gün DevOps, 24 saat yazılım geliştirici odaklı bir konferanstır. Sunumlar isteğe bağlı olarak görüntülenebilir.
KAÇIRMAYIN Passport-SAML auth bypass, kritik, yukarı akış XMLDOM hatasının düzeltilmesini tetikler