Empêcher la prise de contrôle du nuage après la compromission des informations d'identification
Les outils d'intégration et de livraison/déploiement continus (CI/CD) ne sont plus un luxe pour les startups. Les startups qui évoluent le plus rapidement ont appris que la diffusion de grandes idées ambitieuses fonctionne mieux en diffusant de minuscules changements incrémentaux et faciles à réviser. Les plus productives d'entre elles effectuent 40 envois par jour. Certaines vont même jusqu'à 80 fois par jour. Cela ne peut être fait en toute sécurité qu'en utilisant un outil CI/CD tel que CircleCI, GitHub Actions, et les pipelines de GitLab, pour n'en citer que quelques-uns.
CI/CD attire les hackers
Un grand nombre de startups et de grandes entreprises utilisent ces outils de nos jours. Pour qu'ils déploient du code sur votre cloud, vous devez y stocker des secrets d'API spéciaux. Cela fait des outils CI/CD des cibles de grande valeur pour les pirates informatiques. En fait, ils ont l'habitude d'être piratés en permanence.
Jetez un coup d'œil à ces incidents, qui ne sont que quelques-unes des violations récentes qui ont été rendues publiques :
CircleCI breach retrospective with/ IOCs and TTPs
Quick TLDR :
1. Malware on eng laptop
2. Vol d'une session SSO active pour une session distante
4. Création de jetons d'accès à la production
5. Exfiltration des ENV, tokens et clés des clients.
6. Les clés de cryptage CircleCI ont également été exfiltrées.https://t.co/25x9t5NLG6
- Ryan McGeehan (@Magoo) 14 janvier 2023
CircleCI a été violé en janvier 2023
- CodeShip : "Notification de sécurité critique : GitHub breach" (2020)
- GitHub : " Exploitation des actions GitHub sur les projets open source" (2022)
- GitLab : "Mesures prises en réponse à une violation potentielle d'Okta" (2022)
- Jenkins : "Découverte d'un bogue critique dans Jenkins" (2020)
Comme vous pouvez le constater, cela arrive assez régulièrement. Comment défendez-vous le vôtre ?
Comment défendre mon infrastructure en nuage contre de telles violations ?
Lorsque l'une de ces plates-formes CI/CD est piratée, elle divulgue généralement la faille. Cela se produit généralement dans la journée qui suit la découverte de la faille. Cependant, une brèche peut rester active pendant des semaines avant d'être découverte. Malheureusement, ce temps peut être mis à profit pour élargir l'accès à tous les clients des plateformes.
Aikido vous aide à identifier vos défenses CI/CD
Heureusement, il existe des méthodes pour s'assurer que vous restez en sécurité même si la plateforme de votre choix est piratée. La nouvelle intégration d'Aikido Securityavec AWS vous alertera si votre cloud ne prend pas activement l'une des mesures suivantes. Utilisez notre compte d'essai gratuit pour voir si votre cloud dispose déjà de défenses contre ces fils.
Les étapes à suivre pour défendre votre CI/CD :
- Lorsque vous attribuez des rôles IAM à votre plateforme CI/CD, assurez-vous qu'ils sont restreints par IP. La plupart des outils CI/CD disposent d'une option permettant de n'envoyer que le trafic provenant d'un ensemble spécifique d'adresses IP. Cette option rend les jetons d'API volés inutilisables en dehors de l'infrastructure CI/CD. Un pirate ne pourra pas les utiliser sur ses propres serveurs, ce qui devrait les ralentir considérablement, voire les bloquer complètement.
- Lorsque vous créez des identifiants pour les plateformes CI/CD, prenez le temps de concevoir un accès minimal. Ne donnez pas de droits d'administrateur.
- Ne mettez pas tous vos œufs dans le même panier : répartissez vos nuages sur plusieurs comptes. Cela permet de minimiser l'effet d'une violation. Par exemple, une violation des informations d'identification de votre environnement de préparation ne devrait pas entraîner une violation de votre environnement de production.
- Utiliser l'authentification unique (SSO) ou l'authentification multifactorielle (MFA). C'est une évidence.
Malheureusement (mais de manière réaliste), vous devez supposer que votre CI/CD sera piraté un jour. Le moment venu, assurez-vous de changer tous les jetons de déploiement le plus rapidement possible.
.jpg)
.svg)
.png)
.jpg)
.jpg)
.jpg)
.png)