Os seus pipelines CI/CD além de bonitos e automatizados estão seguros também? Veja abaixo a lista dos 10 maiores riscos em pipelines de DevOps e suas origens.





Material OWASP👇🏽





Ambientes, processos e sistemas de CI/CD são o coração de qualquer software moderno
organização. Eles entregam o código da estação de trabalho de um engenheiro para a produção. Combinado
com o surgimento da disciplina DevOps e arquiteturas de microsserviços, sistemas CI/CD e
processos remodelaram o ecossistema de engenharia:





A pilha técnica é mais diversificada, tanto em relação a linguagens de codificação quanto a
tecnologias e estruturas adotadas posteriormente (por exemplo, GitOps, K8s).





A adoção de novas linguagens e frameworks está cada vez mais rápida, sem grandes
barreiras técnicas.





Há um aumento no uso de práticas de automação e infraestrutura como código (IaC).





Terceiros, tanto na forma de provedores externos quanto dependências no código,
tornaram-se uma parte importante de qualquer ecossistema de CI/CD, com a integração de um novo
serviço que normalmente não requer mais do que adicionar 1-2 linhas de código.






Essas características permitem uma entrega de software mais rápida, flexível e diversificada. No entanto,
eles também reformularam a superfície de ataque com uma infinidade de novos caminhos e
oportunidades para os atacantes. Adversários de todos os níveis de sofisticação estão voltando sua atenção para CI/CD, realizando CI/CD. Os serviços fornecem um caminho eficiente para alcançar as joias da coroa de uma organização. A indústria é testemunhando um aumento significativo na quantidade, frequência e magnitude de incidentes e ataques
vetores com foco no abuso de falhas no ecossistema CI/CD, incluindo –





O comprometimento do sistema de compilação SolarWinds, usado para espalhar malware para
18.000 clientes.





A violação do Codecov, que levou à exfiltração de segredos armazenados no ambiente
variáveis ​​em milhares de pipelines de construção em várias empresas.





A violação do PHP, resultando na publicação de uma versão maliciosa do PHP contendo um
porta dos fundos.





A falha Confusão de Dependência, que afetou dezenas de empresas gigantes, e
abusa de falhas na maneira como as dependências externas são buscadas para executar códigos maliciosos
estações de trabalho do desenvolvedor e ambientes de construção.





Os compromissos dos pacotes ua-parser-js, coa e rc NPM, com milhões
de downloads semanais cada, resultando em código malicioso executado em milhões de build
ambientes e estações de trabalho do desenvolvedor.






Enquanto os atacantes adaptaram suas técnicas às novas realidades do CI/CD, a maioria dos defensores
ainda estão no início de seus esforços para encontrar as maneiras certas de detectar, entender e gerenciar
os riscos associados a esses ambientes. Buscando o equilíbrio certo entre o ótimo
velocidade de segurança e engenharia, as equipes de segurança estão em busca da segurança mais eficaz
controles que permitirão que a engenharia permaneça ágil sem comprometer a segurança.










Avaliação OWASP do Risco de Injeção





As avaliações de risco OWASP no Top Ten de aplicativos da Web concentram-se em quatro aspectos e atribui uma pontuação para cada um. Aqui estão as pontuações para o risco de injeção:





Aspecto de riscoPontuação
Explorabilidade do vetor de ataque3 – Fácil
Prevalência da fraqueza de segurança2 – Comum
Detectabilidade da falha de segurança3 – Fácil
Impactos técnicos de um ataque3 – Grave





A pontuação de exploração mostra que, se houver uma oportunidade para um ataque de injeção, o ataque será fácil de explorar. A comunidade de segurança catalogou inúmeras técnicas para aproveitar injeções de todos os tipos.





Nos primórdios da Internet, as vulnerabilidades de injeção eram comuns. À medida que a Internet amadureceu, especialmente a Web, os servidores vulneráveis ​​tornaram-se recursos valiosos. Os agentes de ameaças aprenderam como explorá-los e os desenvolvedores aprenderam como identificá-los e corrigi-los. As plataformas de servidor modernas contêm recursos e serviços para bloquear ou impedir injeções.





Muitas vezes, no entanto, um servidor só pode bloquear injeções se o desenvolvedor estiver ciente das vulnerabilidades e tentar evitá-las. Se o desenvolvedor falhar em evitá-los ou aplicar uma proteção incorretamente, o ataque se tornará possível. Assim, o risco é considerado comum, mas não generalizado.





Existem técnicas automatizadas bem conhecidas para detectar vulnerabilidades de injeção em software implantado. Agentes de ameaças podem usá-los em scanners para localizar servidores vulneráveis. Assim, a detectabilidade é classificada como fácil.





Os ataques de injeção geralmente fornecem acesso a poderosas ferramentas do sistema. Comandos injetados podem instalar malware. Comandos de banco de dados injetados podem corromper o banco de dados ou recuperar seu conteúdo e podem fornecer uma alavanca para acessar outros recursos do sistema. Assim, o impacto técnico é grave.





Calculamos uma pontuação geral de risco aplicando o cálculo:





Média(Exploração, Prevalência, Detectabilidade) * Média Técnica(3, 2, 3) * 3 = 8,0





Os ataques de injeção são o primeiro risco que examinamos porque atingem a pontuação de risco mais alta. Nenhum outro risco na edição de 2017 iguala ou supera essa pontuação.