Prevención de la toma de control de la nube tras el compromiso de credenciales
Las herramientas de integración continua y entrega/despliegue continuo (CI/CD) ya no son un lujo para ninguna startup. Las startups más ágiles han aprendido que lanzar ideas grandes y ambiciosas funciona mejor entregando cambios pequeños, incrementales y fáciles de revisar. Las más productivas entre ellas lanzan 40 veces al día. Algunas incluso hasta 80 veces al día. Esto solo se puede hacer de forma segura aprovechando una herramienta de CI/CD como CircleCI, GitHub Actions y las pipelines de GitLab, por nombrar algunas.
CI/CD atrae a los hackers
Muchas startups y empresas más grandes están utilizando estas herramientas hoy en día. Para que desplieguen código en tu nube, debes almacenar secretos de API especiales dentro de ellas. Esto convierte a las herramientas de CI/CD en objetivos de alto valor para los hackers. De hecho, tienen un historial de ser hackeadas constantemente.
Echa un vistazo a estos incidentes, que son solo algunas de las recientes brechas que se han hecho públicas:
Retrospectiva de la brecha de CircleCI con IOCs y TTPs
Resumen rápido:
1. Malware en portátil de ingeniería
2. Robo de sesión SSO activa para una sesión remota
4. Generación de tokens de acceso a producción
5. Exfiltración de ENVs, tokens y claves de clientes.
6. También se exfiltraron las claves de cifrado de CircleCI.https://t.co/25x9t5NLG6
— Ryan McGeehan (@Magoo) 14 de enero de 2023
CircleCI sufrió una brecha de seguridad en enero de 2023
- CodeShip: “Notificación de seguridad crítica: brecha de seguridad en GitHub” (2020)
- GitHub: “Explotando GitHub Actions en proyectos de código abierto” (2022)
- GitLab: “Acciones que hemos tomado en respuesta a una posible brecha de Okta” (2022)
- Jenkins: “Descubierto un error crítico en Jenkins” (2020)
Como puedes ver, ocurre con bastante regularidad. ¿Cómo proteges el tuyo?
¿Cómo defiendo mi infraestructura cloud contra brechas como estas?
Cuando una de estas plataformas CI/CD es hackeada, suelen revelar la brecha. Esto suele ocurrir en el plazo de un día desde que detectan la brecha. Sin embargo, una brecha podría estar activa durante semanas antes de que la descubran. Desafortunadamente, ese tiempo puede ser utilizado para escalar el acceso a todos los clientes de las plataformas.
Aikido le ayuda a identificar sus defensas de CI/CD.
Afortunadamente, existen algunos métodos para asegurarte de que permanezcas seguro incluso si tu plataforma elegida es hackeada. La nueva integración de Aikido Security con AWS te alertará si tu nube no toma activamente ninguna de las siguientes medidas. Utiliza nuestra cuenta de prueba gratuita para ver si tu nube ya tiene defensas contra estas amenazas.
Pasos a seguir para defender tu CI/CD:
- Al asignar roles IAM a su plataforma CI/CD, asegúrese de que estén restringidos por IP. La mayoría de las herramientas CI/CD tienen una opción para enviar tráfico solo desde un conjunto específico de direcciones IP. Esa opción hace que los tokens de API robados sean inutilizables fuera de la infraestructura CI/CD. Un hacker no podrá usarlos en sus propios servidores, lo que debería ralentizarlos mucho y, potencialmente, bloquearlos por completo.
- Al crear credenciales para plataformas CI/CD, dedique tiempo a configurar un acceso mínimo. No otorgue derechos de administrador.
- No pongas todos tus huevos en la misma cesta: divide tus nubes en múltiples cuentas. Esto minimiza el efecto de una brecha de seguridad. Por ejemplo, una brecha en las credenciales de tu entorno de staging no debería resultar en una brecha en tu entorno de producción.
- Utiliza el inicio de sesión único (SSO) o la autenticación multifactor (MFA). Es algo obvio, realmente.
Lamentablemente (pero siendo realistas), deberías asumir que tu CI/CD será hackeado algún día. Así que, cuando llegue el momento, asegúrate de rotar todos los tokens de despliegue lo antes posible.
Protege tu software ahora.
.jpg)
.avif)
