Prévenir les retombées d'un piratage de votre plateforme CI/CD

Prévenir la prise de contrôle du cloud après la compromission des identifiants

Les outils d'intégration continue et de livraison/déploiement continu (CI/CD) ne sont plus un luxe pour aucune startup. Les startups les plus agiles ont appris que la meilleure façon de concrétiser de grandes idées ambitieuses est de livrer des changements minimes, incrémentaux et faciles à réviser. Les plus productives d'entre elles déploient 40 fois par jour. Certaines vont même jusqu'à 80 fois par jour. Cela ne peut être fait en toute sécurité qu'en tirant parti d'un outil CI/CD tel que CircleCI, GitHub Actions et les pipelines de GitLab, pour n'en nommer que quelques-uns.

La CI/CD attire les hackers

De nombreuses startups et grandes entreprises utilisent ces outils de nos jours. Pour qu'ils déploient du code sur votre cloud, vous devez y stocker des secrets d'API spéciaux. Cela fait des outils CI/CD des cibles de grande valeur pour les hackers. En fait, ils ont l'habitude d'être piratés tout le temps.

Découvrez ces incidents, qui ne sont que quelques-unes des récentes violations ayant été divulguées publiquement :

Rétrospective de la violation CircleCI avec IOC et TTP

Résumé rapide :

1. Malware sur l'ordinateur portable d'un ingénieur
2. Vol de session SSO active pour une session à distance
4. Génération de jetons d'accès à la production
5. Exfiltration des ENV, jetons et clés clients.
6. Exfiltration des clés de chiffrement CircleCI également.https://t.co/25x9t5NLG6

— Ryan McGeehan (@Magoo) 14 janvier 2023

CircleCI a été victime d'une violation en janvier 2023

• CodeShip : “Notification de sécurité critique : violation GitHub” (2020)
• GitHub : “Exploiter les GitHub Actions sur les projets open source” (2022)
• GitLab : “Mesures que nous avons prises en réponse à une potentielle violation de données chez Okta” (2022)
• Jenkins : “Un bug critique de Jenkins découvert” (2020)

Comme vous pouvez le constater, cela se produit assez régulièrement. Comment défendez-vous les vôtres ?

Comment défendre mon infrastructure cloud contre des violations comme celles-ci ?

Lorsqu'une de ces plateformes CI/CD est piratée, elles divulguent généralement la violation. Cela se produit généralement dans la journée suivant la découverte de la violation. Cependant, une violation pourrait être active pendant des semaines avant d'être détectée. Malheureusement, ce temps peut être utilisé pour escalader l'accès à tous les clients des plateformes.

Aikido vous aide à identifier vos défenses CI/CD

Heureusement, il existe des méthodes pour vous assurer de rester en sécurité même si votre plateforme de choix est piratée. La nouvelle intégration d' Aikido Security avec AWS vous alertera si votre cloud ne prend pas activement l'une des mesures suivantes. Utilisez notre compte d'essai gratuit pour voir si votre cloud dispose déjà de défenses contre ces menaces.

Mesures à prendre pour défendre votre CI/CD :

1. Lors de l'attribution de rôles IAM à votre plateforme CI/CD, assurez-vous qu'ils sont restreints par IP. La plupart des outils CI/CD offrent une option pour n'envoyer le trafic qu'à partir d'un ensemble spécifique d'adresses IP. Cette option rend les jetons API volés inutilisables en dehors de l'infrastructure CI/CD. Un hacker ne pourra pas les utiliser sur ses propres serveurs, ce qui devrait considérablement le ralentir et potentiellement le bloquer complètement.
2. Lors de la création d'identifiants pour les plateformes CI/CD, prenez le temps de définir un accès minimal. Ne donnez pas de droits d'administrateur.
3. Ne mettez pas tous vos œufs dans le même panier : répartissez vos clouds sur plusieurs comptes. Cela minimise l'impact d'une violation. Par exemple, une compromission des identifiants de votre environnement de staging ne devrait pas entraîner une compromission de votre environnement de production.
4. Utiliser l'authentification unique (SSO) ou l'authentification multi-facteurs (MFA). C'est une évidence.

Malheureusement (mais de manière réaliste), vous devriez partir du principe que votre CI/CD sera piraté un jour. Ainsi, le moment venu, assurez-vous de faire pivoter tous les jetons de déploiement dès que possible.