27 июля Маккензи Джексон и Эрик Фуррье провели живой вебинар на тему «Обнаружение вторжений в DevOps-средах с помощью токенов AWS canary». Они также рассказали о запуске ggcanary, или канарных токенов GitGuardian, и продемонстрировали потрясающую демонстрацию. Было вдохновляюще слушать об их пути и о том, что они делают, поэтому я решил подытожить то, что узнал за время семинара.
Вот некоторые важные ссылки, которые могут понадобиться вам для более четкого понимания происходящего:
- Вебинар
- YouTube
- Блог
- GitHub
Каждый этап конвейера DevOps сегодня является привлекательной целью для злоумышленников. Начиная от планирования (Jira, slack, Figma и т.д.), кода (vs code, JetBrains и т.д.), тестирования (Jenkins, GitLab и т.д.), упаковки (Docker hub, nexus и т.д.), безопасности (synk, vercode и т.д.) до развертывания (chef, ansible и т.д.) и мониторинга (grafna, datadog и т.д.). Чтобы понять все в деталях, необходимо знать, что такое атака по цепочке поставок.
Атаки на цепочки поставок: Атака цепочки поставок, также называемая атакой цепочки создания стоимости или атакой третьей стороны, происходит, когда кто-то проникает в вашу систему через внешнего партнера или поставщика, имеющего доступ к вашим системам и данным. За последние несколько лет поверхность атаки типичного предприятия значительно изменилась, поскольку к конфиденциальным данным прикоснулось больше поставщиков и провайдеров услуг, чем когда-либо прежде.
Пример атаки на цепочку поставок: взлом системы Codecov
Переменные окружения клиентов Codecov были отправлены на удаленный сервер сложными злоумышленниками, которые воспользовались ошибкой в способе создания докер-образов Codecov. Согласно другим разоблачениям, злоумышленники смогли получить доступ к частным git-репозиториям, используя учетные данные git в среде CI, а затем использовать содержащиеся там секреты и данные. Подробнее об этом можно прочитать здесь: ссылка
Обнаружение вторжения в цепочке поставок
Это может быть сделано несколькими способами. Наиболее популярными являются
-
сетевой: Сетевая система обнаружения вторжений (NIDS) обнаруживает вредоносный трафик в сети. NIDS обычно требует беспорядочного доступа к сети, чтобы анализировать весь трафик, включая весь одноадресный трафик.
-
на базе хоста: Система обнаружения вторжений на базе хоста — это система обнаружения вторжений, которая способна отслеживать и анализировать внутренние компоненты вычислительной системы, а также сетевые пакеты на ее сетевых интерфейсах, аналогично тому, как работает система обнаружения вторжений на базе сети.
-
канареечный (или медовый) токен: Канареечный маркер — это файл, URL, ключ API или другие ресурсы, доступ к которым отслеживается. Как только к ресурсу был получен доступ, включается сигнал тревоги, уведомляющий владельца объекта о таком доступе. Как правило, канареечные маркеры используются в среде, чтобы помочь защитникам определить взломанную систему или ресурс, к которому не следует обращаться. В момент доступа к файлу может быть запущено электронное письмо или другой тип уведомления, чтобы уведомить владельца системы, а затем могут быть приняты соответствующие меры.
Как обнаружить скомпрометированные среды разработчиков и DevOps с помощью канареечных маркеров?
Канареечные токены можно создать и развернуть в репозиториях кода, конвейерах CI/CD, системах управления проектами и тикетов, таких как Jira, или даже в инструментах обмена мгновенными сообщениями, таких как Slack. При срабатывании токены canary помогут предупредить вас о вторжении в среду разработчиков.
канареечные токены
Учетные данные AWS используются в качестве маркеров в ggcanary, системе обнаружения вторжений от GitGuardian. Современные фабрики программного обеспечения сложны, и существует множество инструментов DevOps, которые затрудняют обнаружение компрометации. С ggcanary, мы считаем, инженеры по безопасности и обнаружению могут увеличить свои шансы поймать вторжение в этой части организации, намеренно раскрывая учетные данные AWS.
ключевые особенности токенов ggcanary
- использование terraform для управления инфраструктурой токенов canary
- развертывание до 5000 токенов canary
- отслеживание каждого действия в журналах AWS CloudTrail
- получать в реальном времени оповещения по электронной почте о срабатывании токенов
- ggcanary использует такие современные технологии, как Terraform и AWS.
Почему стоит использовать секреты aws в качестве токенов canary?
- Секретные ключи AWS входят в число наиболее часто утекающих секретов
- популярные сканеры секретов с открытым исходным кодом поддерживают ключи AWS
Как это работает под капотом?
Эта простая архитектурная диаграмма объясняет поток данных. Посетите репозиторий GitHub
для более глубокого погружения в код.
Заключение
Ggcanary — это самое простое решение для команд безопасности по созданию и управлению медовыми токенами AWS в больших масштабах. Это инновационный и блестящий подход к обеспечению безопасности цепочек поставок программного обеспечения, таких как системы управления контролем исходного кода (SCM), конвейеры непрерывной интеграции и непрерывного развертывания (CI/CD), а также реестры программных артефактов в качестве точек входа.
В целом, вебинар был чрезвычайно информативным мероприятием, которое, несомненно, повлияет на мой взгляд на разработку в будущем. Докладчик был очень внятным и знающим, но при этом оставался интересным, что приковывало внимание аудитории. Время потрачено с пользой!