Перейти к содержанию

Как защитить DevOps | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В прошлом году на новостных IT-сайтах появилась информация об «отравлении» репозитория RubyGems, официального канала распространения библиотек для языка Ruby. Некий злоумышленник загружал на этот ресурс поддельные сборки кода, дополненные вредоносным скриптом. То есть все программисты, которые использовали этот код в своих разработках, невольно заражали компьютеры своих пользователей зловредом, подменяющим адреса криптовалютных кошельков.

Разумеется, это не первая атака на цепочку поставок, проведенная через открытые репозитории. Но сейчас такой сценарий, похоже, набирает популярность. И это неудивительно — ведь в результате одной успешной атаки можно скомпрометировать десятки или сотни тысяч пользователей. Все зависит только от популярности ПО, разработчики которого воспользуются кодом из «отравленного» репозитория и станут звеньями в цепи.

Как вредоносные пакеты оказываются в репозиториях?

В случае с RubyGems злоумышленник создал в репозитории множество проектов с именами, похожими на популярные легитимные сборки кода. Эта техника называется typosquatting: она подразумевает, что разработчик может опечататься при вводе названия пакета и загрузить вредоносный, или, получив несколько пакетов в ответ на поисковой запрос, не понять, какой из них подлинный. Эту тактику злоумышленники применяли и при атаках через Python Package Index, и при загрузке фальшивых образов на Docker Hub. Да и вообще это самый распространенный метод «отравления».

В инциденте с криптокошельками Copay, о котором мы писали некоторое время назад, злоумышленники использовали библиотеку, репозиторий которой размещался на GitHub. Ее создатель потерял интерес к своему детищу и был только рад, когда какой-то новичок попросил права администратора, чтобы продолжить работу. В результате популярная библиотека, которую использовали многие разработчики в своих продуктах, была скомпрометирована.

Иногда злоумышленникам удается воспользоваться учетной записью легитимного разработчика без его ведома и заменить пакеты поддельными. Так случилось в инциденте с ESLint, библиотеки которого размещались в онлайновой базе данных npm (Node Package Manager).

Компрометация среды компиляции

Не следует забывать также, что компании, разрабатывающие программные продукты, всегда были интересными целями для операторов APT-атак. Инциденты, в ходе которых киберпреступники охотятся на клиентов таких компаний, периодически привлекают внимание экспертов по безопасности:

  • В августе 2017 года в инструменты, созданные компанией NetSarang, были встроены вредоносные модули. По одной из версий — злоумышленники как-то скомпрометировали серверы сборки ПО.
  • В 2018 году каким-то злоумышленникам удалось инфицировать сервер сборки приложений компании Piriform, после чего программы CCleaner с чистым исходным кодом при компиляции получали в довесок вредоносное ПО.
  • В 2019-м наши эксперты рассказали об APT-кампании ShadowHammer, в ходе которой в код нескольких компаний был встроен бэкдор. Согласно результатам расследования, атаковавшие либо имели доступ к исходному коду, либо внедряли вредоносный код на этапе компиляции.

Успешная компрометация среды компиляции позволяет не просто «заразить» конечный продукт — это приводит к выпуску вредоносных программ с легитимной цифровой подписью достойного доверия разработчика. Именно поэтому процесс разработки нуждается в усиленной защите от постороннего вмешательства.

Корень проблемы

На самом деле опасность представляет собой не использование публичных репозиториев, а несовершенство современного подхода к разработке ПО — методологии DevOps. Это набор практик,  цель которых — ускорить цикл разработки программы и доставки ее на рынок без потери качества. Давно известно, что безопасность и удобство находятся на разных чашах весов. А в современных условиях, для того чтобы оставаться конкурентоспособными, разработчикам необходимо оперативно выпускать новые версии программ. Так что любая «просадка» в удобстве выливается либо в падение качества, либо в задержки с выходом на рынок (TTM). В результате разработчики стараются минимизировать или полностью обойти вмешательство безопасников в свою деятельность.

Это приводит к тому, что информационная безопасность практически выпускает из рук эту часть инфраструктуры. Но ведь по факту и разработка, и IT, и безопасность делают одно дело — работают на то, чтобы клиент своевременно получил качественный и безопасный продукт. Самое распрекрасное обновление не обрадует конечного пользователя, если в нем будет бэкдор или шпион. Поэтому, на наш взгляд, для процесса создания качественного и безопасного софта индустрия должна перейти к методологии DevSecOps.

DevSecOps — это попытка подружить безопасность и разработку, внедрив культуру кибербезопасности и практическое применение проверок на всех стадиях процесса создания ПО без ущерба для гибкости и скорости. И мы знаем, как обеспечить техническую сторону этого процесса.

Наше решение

На рынке сейчас не так много инструментов, которые созданы специально для защиты процесса разработки программного обеспечения. Поэтому при обновлении нашего решения Kaspersky Security для виртуальных и облачных сред мы учли потребности программистов. В результате мы снабдили его компоненты технологиями, позволяющими интегрировать в процесс разработки инструменты безопасности, работающие без ущерба для производительности. И в первую очередь — технологии для сканирования репозиториев, образов и контейнеров, как раз для предотвращения атак через цепочку поставок.

Теперь благодаря Kaspersky Security для виртуальных и облачных сред разработчики могут добавить дополнительные шаги проверки в процессы непрерывной интеграции (CI) и непрерывной доставки (CD), в том числе и с использованием инструментов TeamCity и Jenkins. Причем интеграция возможна как при помощи командной строки, так и через программный интерфейс приложения (API).

Разумеется, это не все, что мы изменили в нашем решении. Узнать больше о Kaspersky Security для виртуальных и облачных сред и в целом о защите процесса DevOps можно на странице продукта.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как защититься от слежки через stalkerware и AirTag | Блог Касперского
      От KL FC Bot
      Следить за вами теперь могут не только спецслужбы или миллионеры, нанявшие частных детективов. Слежка так проста и дешева, что ей пользуются и ревнивые супруги, и автомобильные угонщики, и даже избыточно подозрительные работодатели. Им не нужно выглядывать из-за угла, прятаться в магазинах и даже приближаться к жертве. Для слежки прекрасно подойдут смартфон и один из маячков-трекеров, работающих по Bluetooth, — например, Apple AirTag, Samsung Smart Tag или Chipolo. Согласно одному из исков к Apple, этот способ шпионажа используется в самых разных преступлениях — от слежки за бывшими до подготовки убийств.
      К счастью для всех нас, защита существует! В рамках кампании «Лаборатории Касперского» по противодействию сталкингу мы расскажем, как за вами могут следить и что с этим делать.
      Слежка онлайн и офлайн
      Слежку за жертвой обычно реализуют одним из двух способов.
      Способ первый, чисто программный. На смартфон жертвы устанавливается коммерческое приложение для слежки — мы называем эту категорию stalkerware или spouseware. Часто такие приложения рекламируются как «приложения родительского контроля», но от легитимного родительского контроля они отличаются скрытностью — после установки деятельность приложения никак не анонсируется. Чаще всего приложение вообще незаметно на устройстве, но иногда оно маскируется подо что-то невинное, будь то мессенджер, игра или приложение-фотоальбом. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять атакующему переписки со смартфона и другую конфиденциальную информацию, включать звукозапись с микрофона.
      Главным недостатком stalkerware для атакующего является усложненная установка — для нее нужно заполучить разблокированный смартфон жертвы на некоторое время. Поэтому во многих случаях, особенно когда сталкингом занимается бывший партнер или автоугонщик, в ход идет второй способ.
      Способ второй, с беспроводным маячком. Жертве подкидывают следящее устройство. В машине его могут засунуть в любое малозаметное место — например, за номерной знак — а человеку трекер подкладывают в сумку или другие личные вещи.
       
      View the full article
    • KL FC Bot
      Простые и эффективные советы для защиты от хакеров | Блог Касперского
      От KL FC Bot
      С киберпреступниками рано или поздно сталкиваются практически все — от детей до пенсионеров. И если вы все время откладывали на потом свою кибербезопасность, потому что эта тема кажется вам слишком сложной, то держите пять очень простых советов, которые легко понять и просто выполнять. Но каждый из них сильно улучшит вашу защиту от самых распространенных киберугроз. Мы подготовили этот пост в рамках информационной кампании Интерпола #ThinkTwice, призванной улучшить осведомленность об основных методах кибермошенничества и простых, но надежных способах противодействовать им.
      Автоматизируйте пароли
      Пароли к каждому сайту и приложению должны быть длинными (минимум 12 символов) и никогда не должны повторяться. Придумывать и запоминать столько паролей не может никто, поэтому храните, создавайте и вводите их при помощи менеджера паролей. Вам придется придумать и запомнить только один (длинный!) мастер-пароль к нему, а все остальное — от создания до заполнения паролей — будет происходить автоматически.
      Важные нюансы: менеджер паролей нужно установить на все свои устройства, чтобы вводить пароли с удобством повсюду. Данные будут синхронизироваться между всеми вашими устройствами, и, сохранив пароль в смартфоне, вы сможете автоматически подставить его в поле ввода на компьютере, и наоборот. Кстати, в менеджере паролей можно хранить в зашифрованном виде не только пароли, но и пин-коды, данные кредитных карт, адреса, заметки и даже сканы документов.
      Уровень PRO: для максимальной безопасности отключите вход в парольный менеджер по биометрии — так вам придется каждый раз вводить мастер-пароль, зато никто не сможет получить доступ ко всем вашим данным, не зная мастер-пароля (на стикере его писать не надо).
       
      View the full article
    • KL FC Bot
      Как защитить школу от кибератак | Блог Касперского
      От KL FC Bot
      Один из самых неприятных трендов последних лет — это рост количества кибератак на образовательные учреждения. К примеру, в США школьное образование стало одной из наиболее атакуемых сфер. По данным британского Управления уполномоченного по информации (ICO), количество атак на школы с 2022 по 2023 год выросло на 55%. Аналогичную картину можно наблюдать и в других регионах. В России, к счастью, сфера образования не столь часто подвергается атакам злоумышленников, тем не менее школы также уязвимы для киберугроз. Попробуем разобраться, почему так происходит и как школам правильно защищать свои компьютеры.
      Причины уязвимости школ
      Рост количества кибератак на образовательные учреждения обусловлен рядом факторов.
      Зависимость от технологий. Образовательные учреждения быстро цифровизируются и, как следствие, все больше зависят от ИТ-инфраструктуры — как непосредственно в учебном процессе, так и в административной работе. А устоявшихся ИБ-практик в них, чаще всего, нет. Ценные данные. Школы хранят немало конфиденциальной информации, включая данные о студентах, преподавателях и финансах, утечка которых может иметь серьезнейшие последствия. Дефицит ресурсов. В образовательных учреждениях наблюдается серьезная нехватка бюджетов, а также квалифицированных ИТ-специалистов — и в особенности в сфере информационной безопасности. Низкая осведомленность пользователей. Изрядная часть пользователей компьютеров в школах — ученики, имеющие невысокий уровень знаний о кибербезопасности, что делает их более уязвимыми для фишинговых атак, заражения вредоносными программами и других киберугроз. Да и преподаватели зачастую разбираются в вопросе ИБ ненамного лучше. Если из-за атаки вымогателей временно закроется сеть магазинов, это, конечно же, неприятно, но в основном для самой организации, — покупатели, как правило, легко могут найти ей замену. Если же из-за кибератаки перестает работать школа, последствия намного серьезнее: учащиеся теряют доступ к образованию, из-за чего страдает их успеваемость, а родители сталкиваются с проблемами организации ухода за детьми.
       
      View the full article
    • KL FC Bot
      Обновление Kaspersky Password Manager | Блог Касперского
      От KL FC Bot
      Мы ежедневно трудимся, чтобы наши продукты и решения оставались одними из лучших — как по нашему собственному мнению, так и по версии независимых исследователей. Делаем это всесторонне: добавляем новые фичи, боремся с новыми вредоносными программами, облегчаем миграцию и всячески улучшаем пользовательский опыт.
      Сегодня расскажем о большом обновлении Kaspersky Password Manager для мобильных устройств, которое, уверены, сделает хранение и управление паролями, кодами двухфакторной аутентификации и шифрованными документами еще удобнее. Во всех магазинах приложений это обновление появится в течение ноября 2024 года. О продвинутой фильтрации, работе поиска, синхронизации и многом другом — в этом материале.
      Коротко о главном
      Мобильной версии нашего менеджера паролей в этом году исполняется 10 лет (а версии для компьютеров — и все 15), и за это время нам удалось собрать лучшие практики в одном приложении. Несколько последних лет мы проводили исследования, в которых изучали шаблоны поведения пользователей Kaspersky Password Manager, и на их основе глобально поменяли навигацию в мобильных версиях менеджера паролей.
      Что нового:
      Заменили боковое меню с основными функциями продукта на навигационную панель, теперь все функции распределены по разделам. Создали отдельный раздел для поиска внутри приложения и улучшили сценарии его работы. Сделали работу с избранными записями еще удобнее, теперь они закрепляются в самом верху списка записей. Создали и вывели кнопку раздела «Синхронизация» на видное место. Сгруппировали генератор, импорт и проверку паролей в отдельный раздел «Инструменты». Изменения доступны всем пользователям Kaspersky Password Manager для Android (версии приложения 9.2.106 и выше) и iOS (версии приложения 9.2.92 и выше).
       
      View the full article
    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
×
×
  • Создать...