De 2019 à 2022, l’augmentation annuelle moyenne des attaques contre la chaîne d’approvisionnement logicielle a dépassé 700 %, une tendance croissante dont l’impact économique devrait dépasser 80 milliards de dollars en 2026. Consciente de la gravité de ce problème, le National Security Agency (NSA) et la Agence de cybersécurité et de sécurité des infrastructures (CISA) libéré directives cruciales sécuriser CI/CD environnements, répondant à la menace croissante des soi-disant acteurs cybernétiques malveillants (MCA) exploitant les vulnérabilités.
Ces lignes directrices se concentrent spécifiquement sur la prévention de la divulgation de secrets au sein CI/CD pipelines et offrir des informations spécifiques.
Quels sont les plus critiques CI/CD menaces à la sécurité ?
Comme l'indiquent les directives de la NSA, sécuriser un CI/CD L'environnement exige de reconnaître et de se défendre contre divers types de menaces de sécurité qui peuvent avoir un impact CI/CD opérations. Voici quelques risques courants rencontrés dans CI/CD pipelines, avec le OWASP Top 10 CI/CD Risques de sécurité:
- Mécanismes de contrôle de flux insuffisants:Ce risque fait référence au manque de contrôles appropriés pour gérer le flux de données et de tâches dans le CI/CD pipeline. Sans ces contrôles, des modifications non autorisées pourraient être introduites dans le pipeline, conduisant à des failles de sécurité potentielles.
- Gestion inadéquate des identités et des accès:Ce risque implique de ne pas gérer correctement qui a accès à l'information. CI/CD pipeline et ce qu'ils peuvent faire. Sans une gestion appropriée des identités et des accès, des personnes non autorisées pourraient accéder au pipeline et introduire des modifications malveillantes.
- Abus de la chaîne de dépendance: Ce risque fait référence à la possibilité pour des attaquants d'exploiter les vulnérabilités des dépendances utilisées par votre logiciel. Si ces dépendances ne sont pas correctement gérées et sécurisées, elles pourraient constituer une avenue d’attaque.
- Empoisonné Pipeline Internationaux:Ce risque implique que les attaquants introduisent potentiellement du code malveillant dans le CI/CD pipeline. Cela pourrait conduire à l'exécution de code malveillant dans l'environnement de production.
- PBAC insuffisant (Pipeline-Contrôles d'accès basés): Ce risque fait référence à l'absence de contrôles d'accès appropriés basés sur pipeline. Sans ces contrôles, des personnes non autorisées pourraient accéder à des parties sensibles du système. pipeline.
- Hygiène insuffisante des informations d’identification:Ce risque implique de ne pas gérer et sécuriser correctement les informations d'identification utilisées dans le CI/CD pipeline. Si ces informations d'identification sont compromises, cela pourrait permettre à un attaquant d'accéder au pipeline.
- Configuration du système non sécurisée: Ce risque fait référence à des failles de sécurité potentielles dues à
systèmes mal configurés dans le CI/CD pipeline. Les attaquants pourraient exploiter ces vulnérabilités. - Utilisation non gouvernée de services tiers: Ce risque implique l'utilisation de services tiers sans surveillance et contrôle appropriés. Ces services pourraient introduire des failles de sécurité s’ils ne sont pas correctement gérés et sécurisés.
- Validation incorrecte de l'intégrité des artefacts:Ce risque fait référence au manque de validation appropriée des artefacts produits par le CI/CD pipeline. Sans validation appropriée, des artefacts malveillants ou compromis pourraient être introduits dans l’environnement de production.
- Journalisation et visibilité insuffisantes: Ce risque implique une journalisation et une visibilité insuffisantes sur le
activités dans le CI/CD pipeline. Il pourrait être difficile de détecter et de répondre aux incidents de sécurité sans une journalisation et une visibilité appropriées.
Les pires scénarios de menace et comment y remédier
Les attaquants acquièrent les informations d'identification d'un développeur pour accéder à un référentiel Git :
- Minimisez l’utilisation d’informations d’identification à long terme.
- Utilisez des règles à deux personnes (2PR) pour toutes les mises à jour de code.
- Sécurisez les comptes d'utilisateurs et mettez en œuvre des politiques de moindre privilège.
- Mettre en œuvre la segmentation du réseau et le filtrage du trafic
- SSCS des outils tels que Xygéni automatiquement détecter les erreurs de configuration dans ces domaines et appliquer des politiques d'entreprise sécurisées.
Compromission de la chaîne d'approvisionnement d'une bibliothèque d'application, d'un outil ou d'une image de conteneur dans un CI/CD pipeline:
- Restreindre les bibliothèques et les outils non fiables et analyser commitoutils adaptés.
- Mettre en œuvre les outils EDR et l'audit.
- Rester CI/CD outils, logiciels et systèmes d'exploitation à jour.
- Xygéni plateforme automatiquement met à jour ses capacités d'analyse à chaque analyse pour détecter les derniers composants malveillants qui pourraient avoir un impact sur la version de votre logiciel.
Compromis d'un CI/CD environnement qui modifie les configurations ou injecte des dépendances malveillantes:
- Analyser commitcode ted et intégrer l'analyse de sécurité dans CI/CD.
- Mettre en œuvre le SBOM et SCA et mettre en œuvre des outils EDR.
- Ajouter des signatures à CI/CD configurez-le et vérifiez-le.
- Xygéni capacités dans analyser l'ensemble des actifs impliqués dans le développement de logiciels, construction et livraison permettre la détection de toute menace pendant la CI/CD traiter et générer le SBOM comme preuve pour votre audit et vos clients.
L'image suivante montre différents vecteurs d'attaque en utilisant l'exemple d'un CI/CD pipelineCes vecteurs d’attaque sont très similaires à ceux utilisés dans d’autres CI/CD attaques.
Activer une véritable approche Zero Trust :
Stratégies de durcissement actif de la NSA
Cette ligne directrice répertorie plusieurs stratégies qui pourraient être utilisées pour améliorer la protection de la chaîne d’approvisionnement logicielle. Vous trouverez ici un aperçu des plus importants :
Adoptez la cryptographie recommandée par la NSA
L’utilisation d’algorithmes cryptographiques obsolètes et faibles présente des risques importants pour CI/CD pipelines. Cela pourrait entraîner l’exposition de données sensibles, des fuites de données, une authentification compromise et des sessions non sécurisées.
En exploitant ces vulnérabilités, des acteurs malveillants pourraient contourner le CI/CD pipeline et compromettre la chaîne d'approvisionnement en logiciels. Pour atténuer ces risques, la NSA et CISUne recommandation visant à mettre en œuvre et à configurer des algorithmes cryptographiques robustes, tels que ceux spécifiés par l'Institut national de Standards et de la technologie (NIST), lors de la mise en place d'applications et de services cloud.
Minimisez l’utilisation des informations d’identification à long terme
En matière d’authentification humaine, privilégiez toujours la fédération d’identité et les jetons de sécurité résistants aux attaques de phishing. Ces mesures doivent être utilisées pour obtenir des clés SSH temporaires et d’autres clés.
De même, pour l’authentification de logiciel à logiciel, il est conseillé de minimiser autant que possible l’utilisation d’informations d’identification logicielles à long terme.
Les détecteurs d'outils comme Xygeni prennent en charge la détection de tout type d'informations d'identification et de secrets dans des dizaines de formats tout au long de la chaîne d'approvisionnement logicielle : code, pipelines, IaC configurations, etc.
Ajouter des signatures à CI/CD configuration et toujours les vérifier
Tout au long du CI/CD Quel que soit le stade de développement, il est essentiel de garantir que le code est signé de manière cohérente et correcte, la signature étant vérifiée.
Si la signature ne parvient pas à être validée, enquêter de manière approfondie sur la cause du problème de validation.
Atténuez les risques liés aux mots de passe grâce à l'authentification multifacteur (MFA)
Il pourrait également être complété par un contrôle d’accès basé sur les rôles (RBAC). De nos jours, la MFA est couramment utilisée dans toutes sortes de services. Il permet de renforcer la sécurité, tout en s'appliquant aux utilisateurs internes et externes.
Suivant le principe du moindre privilège, RBAC garantit que les utilisateurs reçoivent uniquement les autorisations nécessaires pour effectuer leurs tâches spécifiques.
Les politiques d'entreprise doivent tenir compte des configurations obligatoires actuelles. Les capacités automatisées de conformité et d'audit de SSCS les outils les appliquent tous à l’ensemble de l’infrastructure DevOps.
Mettre en œuvre des politiques de moindre privilège pour CI/CD L’accès
Il est crucial de donner accès aux développeurs uniquement aux pipelines et composants qui sont directement pertinents pour les tâches qui leur sont assignées.
La mise en œuvre de la séparation des tâches est cruciale, car les développeurs responsables de l'archivage du code source n'ont pas besoin du privilège nécessaire pour mettre à jour l'environnement de construction. De même, les ingénieurs supervisant les builds n’ont pas besoin d’un accès en lecture-écriture au code source. Pour un guide plus détaillé sur la mise en œuvre des contrôles de sécurité, reportez-vous à NISTSP 800-53.
Utiliser la règle de deux personnes (2PR) pour les mises à jour du code
Le respect de règles à deux personnes favorise non seulement la qualité du code, mais réduit également la probabilité d'introduire avec succès un code malveillant si les informations d'identification d'un développeur sont compromises.
SSCS des outils comme Xygeni, incluent généralement une vérification spécifique déterminant si le projet nécessite une révision du code avant pull requests (les demandes de fusion) sont fusionnées.
Cette vérification suit la sécurité Open SSF actuelle standard.
Sécuriser les comptes d'utilisateurs et les secrets
L'audit des comptes d'utilisateurs et la configuration des contrôles d'accès basés sur les principes du moindre privilège et de la séparation des tâches sont essentiels.
De plus, la gestion sécurisée des secrets, des jetons et des informations d'identification au sein du CI/CD pipeline est primordial.
Ne transmettez jamais de secrets en clair, où que ce soit dans le pipeline, garantissant qu'ils ne sont jamais intégrés dans un logiciel pouvant faire l'objet d'une ingénierie inverse.
Maintenir un enregistrement complet de tous les composants tiers et open source dans la base de code en mettant en œuvre une nomenclature logicielle (SBOM):
Le SBOM Aide les organisations à comprendre les vulnérabilités potentielles du code et à prévenir l'utilisation de composants obsolètes et non autorisés. La conformité aux réglementations, telles que les exigences de la FDA pour les dispositifs médicaux, peut imposer l'utilisation de ces composants. SBOMs.
Autres mesures essentielles pendant le processus de développement
À identifier les vulnérabilités, il est crucial de intégrer l'analyse de sécurité dans le CI/CD pipeline facilement. L'intégration doit être considérée comme facile à chaque étape : dans le poste de travail (avant le téléchargement), dans un commit, ou dans la construction nocturne à l'aide de garde-corps.
Maintenir à jour les logiciels, les systèmes d'exploitation et CI/CD Outils: Mettre à jour régulièrement CI/CD Outils, car ils peuvent contenir des bugs et des vulnérabilités. Utiliser des systèmes centralisés de gestion des correctifs, notamment des processus d'intégrité et de validation des logiciels pour les systèmes d'exploitation et les mises à jour logicielles.
Restreindre les bibliothèques non fiables et supprimer les ressources temporaires:Utilisez uniquement des logiciels, des outils, des bibliothèques et des artefacts provenant de sources fiables et sécurisées pour minimiser les menaces pesant sur l' CI/CD pipeline. Assurez-vous toujours que sa configuration est appropriée pour empêcher l’exécution potentielle de code ou l’introduction de portes dérobées. Il est également important de rSupprimez les applications inutiles et protégez les points finaux.
En savoir plus sur la plateforme Xygeni, téléchargez la fiche technique de la plateforme Xygeni
