2017年年中，俄羅斯國(guó)家支持的攻擊者在烏克蘭金融軟件包中安裝了惡意蠕蟲(chóng)。當(dāng)企業(yè)更新其軟件時(shí)就會(huì)被成功感染。自此，NotPetya蠕蟲(chóng)病毒迅速傳播，在全球造成數(shù)十億美元的損失。白宮稱其為“歷史上最具破壞性和代價(jià)最高的網(wǎng)絡(luò)攻擊”。

三年后，與俄羅斯相關(guān)的攻擊者劫持了另一款企業(yè)軟件SolarWinds的Orion網(wǎng)絡(luò)監(jiān)控工具集的軟件升級(jí)過(guò)程，無(wú)疑，這起事件再次造成了廣泛且深遠(yuǎn)的影響。針對(duì)此事，全球網(wǎng)絡(luò)安全咨詢公司NCC Group的高級(jí)安全顧問(wèn)Viktor Gazdag表示，“訪問(wèn)軟件開(kāi)發(fā)管道使攻擊者有機(jī)會(huì)接觸網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并獲得知識(shí)產(chǎn)權(quán)?！?/p>

針對(duì)DevOps管道的攻擊正在增加

人們盲目地認(rèn)為，這種類型的攻擊只是孤立的，且依賴于高度專業(yè)和熟練的攻擊者。不幸的現(xiàn)實(shí)是，DevOps管道不僅僅是國(guó)家行為體的攻擊目標(biāo)，同時(shí)也已成為網(wǎng)絡(luò)犯罪團(tuán)伙的熱門(mén)目標(biāo)。

根據(jù)Argon公司于1月份發(fā)布的一項(xiàng)研究顯示，與2020年相比，2021年針對(duì)軟件供應(yīng)鏈的攻擊增長(zhǎng)了300%以上。常見(jiàn)的攻擊策略包括，在流行的開(kāi)源包中植入惡意代碼或利用已存在的漏洞、破壞CI/CD管道工具，以及利用硬編碼憑據(jù)和其他錯(cuò)誤配置和安全問(wèn)題。其中，開(kāi)源組件通道是格外受歡迎的目標(biāo)。

根據(jù)Sonatype公司于2021年9月發(fā)布的一項(xiàng)研究顯示，與2020年相比，2021年針對(duì)開(kāi)源軟件供應(yīng)鏈的攻擊增加了650%。攻擊面非常大。數(shù)據(jù)顯示，超過(guò)3700萬(wàn)個(gè)組件和包位于Top 4開(kāi)源生態(tài)系統(tǒng)中。2021年開(kāi)源軟件下載量達(dá)到2.2萬(wàn)億次，與2020年相比增長(zhǎng)了73%。

為什么DevOps管道易受攻擊

軟件開(kāi)發(fā)人員通常具有較高的權(quán)限級(jí)別和訪問(wèn)權(quán)限。如果正在生產(chǎn)的軟件是為外部使用而設(shè)計(jì)的，那么影響可能會(huì)大得多，攻擊者也有機(jī)會(huì)在最終應(yīng)用中站穩(wěn)腳跟。

因此，DevOps管道應(yīng)該具有更高級(jí)別的安全性。而不幸的現(xiàn)實(shí)是，它們存在很多薄弱的安全實(shí)踐以及暴露的基礎(chǔ)設(shè)施和憑據(jù)。例如，您使用Shodan搜索開(kāi)發(fā)工具“Jenkins”，便可以在互聯(lián)網(wǎng)上看到很多可用和可訪問(wèn)的Jenkins基礎(chǔ)架構(gòu)。

同樣糟糕的是，很多時(shí)候，CI/CD基礎(chǔ)設(shè)施也并未得到與企業(yè)其他領(lǐng)域同等程度的關(guān)注。而隨著現(xiàn)代開(kāi)發(fā)實(shí)踐持續(xù)推進(jìn)，情況正變得越來(lái)越糟。

Gartner分析師Dale Gardner解釋稱，“隨著組織轉(zhuǎn)向DevOps，出現(xiàn)了一種‘對(duì)開(kāi)發(fā)的一些控制舉措有所放松’的趨勢(shì)。我們想要實(shí)現(xiàn)靈活性和敏捷性，而DevOps方法就是我們?cè)噲D快速獲取代碼的產(chǎn)物。但人們認(rèn)為限制和控制舉措阻礙了這一點(diǎn)，因此出現(xiàn)了放松的趨勢(shì)?！?/p>

針對(duì)DevOps管道的攻擊類型

根據(jù)Linux基金會(huì)開(kāi)源供應(yīng)鏈安全主管David Wheeler的說(shuō)法，針對(duì)DevOps管道最常見(jiàn)的三種攻擊類型是依賴項(xiàng)混淆、誤植域名和惡意代碼注入。

依賴項(xiàng)混淆(Dependency confusion)

提及供應(yīng)鏈攻擊，就少不了要提“依賴項(xiàng)混淆”(也稱為命名空間混淆)，特別是因?yàn)檫@種攻擊的簡(jiǎn)單化和自動(dòng)化特質(zhì)，使其日漸受到攻擊者的青睞。得益于在多個(gè)開(kāi)源生態(tài)系統(tǒng)中發(fā)現(xiàn)的固有設(shè)計(jì)缺陷，依賴項(xiàng)混淆能夠在攻擊者端通過(guò)最小的努力甚至是自動(dòng)化的方式發(fā)揮作用。

簡(jiǎn)而言之，如果您的軟件構(gòu)建使用私有的、內(nèi)部創(chuàng)建的依賴項(xiàng)，而該依賴項(xiàng)在公共開(kāi)源存儲(chǔ)庫(kù)中不存在，那么依賴項(xiàng)混淆就會(huì)起作用。攻擊者能夠在公共存儲(chǔ)庫(kù)上以相同的名稱注冊(cè)具有更高版本號(hào)的依賴項(xiàng)。然后，很大的可能是，攻擊者創(chuàng)建的具有更高版本號(hào)的(公共)依賴項(xiàng)——而非您的內(nèi)部依賴項(xiàng)——將被拉入您的軟件構(gòu)建中。

2021年2月，通過(guò)利用PyPI、npm和RubyGems等常用生態(tài)系統(tǒng)中的這個(gè)簡(jiǎn)單缺陷，道德黑客Alex Birsan成功地入侵35家大型科技公司，并為此獲得了超過(guò)130,000美元的漏洞賞金獎(jiǎng)勵(lì)。在Birsan的研究成果披露幾天后，數(shù)以千計(jì)的依賴項(xiàng)混淆模仿包開(kāi)始涌入PyPI、npm 和其他生態(tài)系統(tǒng)。

解決依賴項(xiàng)混淆的方法有很多：

在攻擊者之前搶先在公共存儲(chǔ)庫(kù)上注冊(cè)所有(你的)私有依賴項(xiàng)的名稱。

使用自動(dòng)化解決方案，例如軟件開(kāi)發(fā)生命周期(SDLC)防火墻，以防止沖突的依賴項(xiàng)名稱進(jìn)入您的供應(yīng)鏈。

開(kāi)源存儲(chǔ)庫(kù)的所有者可以采用更嚴(yán)格的驗(yàn)證過(guò)程并實(shí)施命名空間/范圍界定。例如，如果想要在“CSO”命名空間、范圍下注冊(cè)依賴項(xiàng)，那么開(kāi)源存儲(chǔ)庫(kù)可以先驗(yàn)證注冊(cè)的開(kāi)發(fā)人員是否有權(quán)以“CSO”的名義這樣做。

誤植域名(Typosquatting)

Typosquatting中的“typo”指的是人們?cè)阪I盤(pán)上打字時(shí)可能犯的小錯(cuò)誤。Typosquatting也被稱為URL劫持、誤植域名、域名模仿、毒刺網(wǎng)站或虛假URL，在這種網(wǎng)絡(luò)犯罪形式中，黑客使用故意拼寫(xiě)錯(cuò)誤的知名網(wǎng)站名稱注冊(cè)域名。黑客這樣做是為了引誘不知情的訪問(wèn)者訪問(wèn)替代網(wǎng)站，通常為了惡意目的。訪問(wèn)者可能通過(guò)以下兩種方式之一訪問(wèn)這些替代網(wǎng)站：

無(wú)意中將熱門(mén)網(wǎng)站的名稱錯(cuò)誤輸入到網(wǎng)絡(luò)瀏覽器中，例如 gooogle.com 而不是google.com。

被作為更廣泛的網(wǎng)絡(luò)釣魚(yú)攻擊的一部分引誘到網(wǎng)站。

黑客可能會(huì)模仿他們?cè)噲D模仿的網(wǎng)站的外觀，希望用戶泄露信用卡或銀行詳細(xì)信息等個(gè)人信息?；蛘呔W(wǎng)站可能是包含廣告或色情內(nèi)容的優(yōu)化著陸頁(yè)，為其所有者產(chǎn)生高收入來(lái)源。

最早且最著名的Typosquatting攻擊示例涉及Google。2006年，網(wǎng)址劫持者注冊(cè)了網(wǎng)站Goggle.com，用作釣魚(yú)網(wǎng)站操作。多年來(lái)，Google名稱的變體foogle、hoogle、boogle、yoogle(所有這些都是因?yàn)樗鼈兛拷黴werty 鍵盤(pán)上的字母“g”)都已經(jīng)被注冊(cè)，試圖轉(zhuǎn)移搜索引擎的一些流量。

此外，包括麥當(dāng)娜、帕麗斯·希爾頓和珍妮弗·洛佩茲在內(nèi)的名人也都淪為過(guò)Typosquatting的犧牲品。而在2020年美國(guó)總統(tǒng)大選之前，許多候選人也都被具有各種惡意動(dòng)機(jī)的犯罪分子以他們的名義設(shè)置了Typosquatting域名。

對(duì)于組織來(lái)說(shuō)，最好的防御策略是盡量保持領(lǐng)先于Typosquatting攻擊：

先于網(wǎng)址劫持者注冊(cè)您的域名的錯(cuò)別字版本。購(gòu)買重要和明顯的錯(cuò)別字域，并將這些重定向到您的網(wǎng)站。

使用ICANN (互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu))的監(jiān)控服務(wù)。網(wǎng)站所有者可以使用ICANN的商標(biāo)清算所了解其名稱在不同域中的使用情況。

使用SSL證書(shū)發(fā)出信任信號(hào)。SSL證書(shū)是表明您的網(wǎng)站合法的絕佳方式，它們會(huì)告訴最終用戶他們與誰(shuí)連接，并在傳輸過(guò)程中保護(hù)用戶數(shù)據(jù)。

通知利益相關(guān)方。如果您認(rèn)為有人冒充(或準(zhǔn)備冒充)您的組織，請(qǐng)告知您的客戶、員工或其他相關(guān)方注意可疑電子郵件或網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。

關(guān)閉可疑網(wǎng)站或郵件服務(wù)器。

惡意代碼注入

代碼注入是指攻擊者將惡意代碼添加到合法開(kāi)源項(xiàng)目中。他們可以通過(guò)竊取項(xiàng)目維護(hù)者的憑據(jù)并以他們的名義上傳代碼，或篡改開(kāi)源開(kāi)發(fā)工具來(lái)做到這一點(diǎn)。

2021年，明尼蘇達(dá)大學(xué)的研究人員被踢出了Linux貢獻(xiàn)群體，Linux內(nèi)核社區(qū)也撤銷了他們之前提交的所有Linux內(nèi)核代碼，原因在于他們故意提出有缺陷的“補(bǔ)丁”，而這些“補(bǔ)丁”又會(huì)在Linux內(nèi)核源代碼中注入漏洞。盡管該事件被積極制止，但還是證實(shí)了一個(gè)結(jié)論：開(kāi)發(fā)人員分布廣泛，并且沒(méi)有足夠的寬帶來(lái)審核他們提交的每一個(gè)代碼，這些代碼可能是存在缺陷的或完全是惡意的。

更重要的是，社會(huì)工程學(xué)可能來(lái)自最不受懷疑的來(lái)源——在上述案例中，具有“.edu”后綴的電子郵件地址就看似來(lái)自可信的大學(xué)研究人員。

另外一個(gè)突出案例是，任何為GitHub項(xiàng)目做出貢獻(xiàn)的合作者都可以在發(fā)布后更改版本。在此需要強(qiáng)調(diào)，GitHub項(xiàng)目所有者的期望是大多數(shù)貢獻(xiàn)者都能真誠(chéng)地提交代碼到他們的項(xiàng)目之中。但正可謂“一個(gè)老鼠壞一鍋湯”，只要一個(gè)合作者不規(guī)矩就會(huì)損害許多人的供應(yīng)鏈安全。

如何保護(hù)軟件開(kāi)發(fā)管道

企業(yè)組織應(yīng)該做些什么來(lái)保護(hù)他們的軟件開(kāi)發(fā)管道?它應(yīng)該從教育和培訓(xùn)開(kāi)發(fā)人員開(kāi)始，建立最佳實(shí)踐(兩因素身份驗(yàn)證和代碼審查)，并安裝監(jiān)控工具來(lái)標(biāo)記可疑活動(dòng)。

從開(kāi)發(fā)人員入手

在代碼開(kāi)發(fā)和部署過(guò)程的安全性方面，內(nèi)部開(kāi)發(fā)人員和第三方軟件商店都需要監(jiān)督。

當(dāng)使用第三方軟件開(kāi)發(fā)公司時(shí)，我們需要非常嚴(yán)格地審查他們，這包括審查他們的測(cè)試程序，以及他們?cè)陂_(kāi)發(fā)環(huán)境中實(shí)施的安全控制，以確保他們有適當(dāng)?shù)牧鞒毯涂刂拼胧?，可以交付我們足夠安全的東西。

而對(duì)于公司內(nèi)部開(kāi)發(fā)人員來(lái)說(shuō)，最大的問(wèn)題是不要使用可公開(kāi)訪問(wèn)的代碼存儲(chǔ)庫(kù)，因?yàn)樗鼘⒃试S威脅參與者訪問(wèn)你正在進(jìn)行的任何事情。

此外，還可以通過(guò)對(duì)企業(yè)軟件進(jìn)行滲透測(cè)試來(lái)進(jìn)一步提升開(kāi)發(fā)安全性。事實(shí)上，在對(duì)企業(yè)軟件進(jìn)行滲透測(cè)試時(shí)，開(kāi)發(fā)人員總是會(huì)要求參與測(cè)試并觀看白帽黑客的工作，因?yàn)樗麄兿胍私庾约涸谧鍪裁?，并從滲透測(cè)試人員發(fā)現(xiàn)的漏洞中學(xué)習(xí)。它給了開(kāi)發(fā)人員一種不同的思考方式。

使用適當(dāng)?shù)墓ぞ吆涂丶?/h4>

為了幫助公司的開(kāi)發(fā)人員做出正確的決定并確保他們的安全，企業(yè)組織可以實(shí)施多項(xiàng)安全控制措施，例如，多因素身份驗(yàn)證有助于防止外人訪問(wèn)DevOps管道;使用私有代碼庫(kù)，以便開(kāi)發(fā)人員可以從已經(jīng)審查和批準(zhǔn)的代碼中進(jìn)行挑選。

有條件的企業(yè)還可以組建專門(mén)負(fù)責(zé)修補(bǔ)系統(tǒng)的團(tuán)隊(duì)，定期掃描整個(gè)企業(yè)環(huán)境以尋找漏洞，同時(shí)確保部署的所有內(nèi)容都是最新的。

此外，企業(yè)組織還可以部署其他措施來(lái)保護(hù)開(kāi)發(fā)渠道，例如，為非生產(chǎn)暫存環(huán)境和生產(chǎn)環(huán)境設(shè)置單獨(dú)的管道，并限制可以訪問(wèn)這兩個(gè)系統(tǒng)的人員。為了進(jìn)一步鎖定訪問(wèn)權(quán)限，公司還應(yīng)該使用企業(yè)級(jí)訪問(wèn)管理系統(tǒng)，例如Active Directory或LDAP。

最后，建議企業(yè)組織完全跟蹤進(jìn)入其軟件的所有組件，尤其是開(kāi)源庫(kù)。開(kāi)發(fā)人員傾向于在他們的軟件中包含開(kāi)源代碼，但它可能存在錯(cuò)誤和安全漏洞。

要求獲取軟件材料清單(SBOM)，但也要掃描漏洞

許多業(yè)內(nèi)人士一直在推行和倡導(dǎo)軟件材料清單(SBOM)。去年5月，拜登總統(tǒng)發(fā)布了一項(xiàng)行政命令，要求向聯(lián)邦政府提供軟件的供應(yīng)商提供SBOM。兩天后，云原生計(jì)算基金會(huì)發(fā)布了一份最佳實(shí)踐白皮書(shū)，建議所有供應(yīng)商在可能的情況下提供SBOM，并提供明確和直接的依賴項(xiàng)鏈接。

SBOM將幫助公司在其環(huán)境中找到易受攻擊組件的實(shí)例，以做出明智的風(fēng)險(xiǎn)決策。例如，Log4j漏洞早在2021年12月份就進(jìn)行了修補(bǔ)，但截至2022年2月11日，40%的下載仍然是易受攻擊的版本。

有遠(yuǎn)見(jiàn)的軟件供應(yīng)商正開(kāi)始將這些列表包含在他們的軟件中，因?yàn)檫@是他們的客戶希望看到的。當(dāng)然，軟件供應(yīng)商還可以更進(jìn)一步，提供有關(guān)他們的軟件應(yīng)該如何運(yùn)行以及不應(yīng)該如何運(yùn)行的信息。

不過(guò)，無(wú)論SBOM是否會(huì)成為強(qiáng)制性的舉措，企業(yè)組織都應(yīng)該掃描他們的軟件以查找已知漏洞和其他潛在的安全問(wèn)題。Log4j漏洞問(wèn)題的持續(xù)蔓延說(shuō)明許多組織在保護(hù)代碼方面落后了多遠(yuǎn)!

本文翻譯自：https://www.csoonline.com/article/3649798/why-devops-pipelines-are-under-attack-and-how-to-fight-back.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。