Avocado Consulting a appelé les organisations australiennes à renforcer la sécurité de leurs chaînes d’approvisionnement logicielles à la suite d’une récente alerte élevée concernant les attaques de référentiel de code, publiées par le Centre de cybersécurité australien de la Direction des signaux australiens (ACSC).
L’alerte élevée de l’ACSC met en évidence les menaces en cours sur les référentiels de code en ligne, y compris les attaques qui utilisent l’ingénierie sociale, les informations d’identification compromises et les jetons d’authentification, ainsi que la manipulation de packages de logiciels.
Risques dans les référentiels de code
Dennis Baltazar, principaux solutions Cloud et DevSecops à Avocado Consulting, a souligné la gravité des risques rencontrés par les organisations qui s’appuient sur des référentiels de code en ligne.
Il a souligné que les techniques utilisées par les attaquants se sont considérablement déplacées, ce qui rend l’activité malveillante plus difficile à détecter.
Baltazar ajoute: «Ce qui est important ici, ce n’est pas seulement la capacité de l’attaquant, mais aussi l’attaquant.
L’une des vulnérabilités critiques identifiées par Baltazar est la propagation d’informations sensibles telles que les mots de passe, les clés et les jetons sur plusieurs systèmes, communément appelés «Secrets Strawl».
Il dit: « Le plus grand angle mort que nous voyons n’est pas un jour zéro, ce sont les secrets. Les clés et les jetons dans le code ou les journaux CI / CD transforment un mineur de repo en compromis à l’échelle de l’organisation. »
Baltazar recommande que les organisations entreprennent des audits immédiats pour identifier et traiter les comptes privilégiés non gérés et les identités non humaines, réduisant les chemins potentiels pour que les attaquants se déplacent au sein des systèmes d’une organisation.
Améliorer les pratiques de sécurité des développeurs
Avocado Consulting a en outre souligné que la gestion optimale des secrets nécessite de rendre les pratiques sécurisées sans couture pour les développeurs. L’objectif, a suggéré Baltazar devrait être d’intégrer les protections dans les workflows de développement, plutôt que de s’appuyer uniquement sur des procédures manuelles ou des vérifications post-développement.
«Lorsque le développement et la sécurité fonctionnent à partir du même pipeline, la sécurité cesse d’être une porte et devient un accélérateur. Donnez aux ingénieurs des diplômes de courte durée, de la détection secrète par défaut et de la détection secrète par défaut et vous réduisez les incidents tout en augmentant la vitesse», explique Baltazar.
Les recommandations d’Avocado en réponse à l’alerte ACSC incluent l’élimination des secrets du code et des pipelines, en faisant la détection secrète et une par défaut de protection push, des jetons tournants fréquemment et en appliquant l’utilisation de références de courte durée et étroitement portée. Ils conseillent également aux organisations de valider chaque dépendance logicielle par défaut grâce à des mécanismes tels que la version épingle, les hachages d’intégrité et la vérification de la provenance pour empêcher l’introduction de vulnérabilités du code externe.
Une autre pratique préconisée par l’avocat consiste à surveiller le cycle de vie du développement des logiciels d’une manière similaire aux environnements de production, à la base de la base de base pour les développeurs et CI / CD pour détecter et répondre à une activité anormale indiquant des tactiques « vivant-terre » le plus tôt possible.
Questions pour les dirigeants
Baltazar a suggéré que les dirigeants organisationnels utilisent des questions ciblées pour évaluer leur exposition et leur préparation concernant le code et la gestion des informations d’identification:
«Les dirigeants devraient poser deux questions aujourd’hui: savons-nous où les secrets et l’accès privilégié vivent toujours dans le code, les pipelines et les intégrations SaaS – et à quelle vitesse pouvons-nous les tourner ou les supprimer? Et mesurons-nous l’intégrité de la dépendance et le comportement anormal des pipelines avec la même rigueur que nous appliquons aux systèmes de production?»
Baltazar a également mis en évidence les risques plus larges associés à la sécurité inadéquate du référentiel de code.
« Votre code est plus que le code – c’est votre identité, votre infrastructure, votre entreprise qui accède à vos données critiques. Les organisations devraient les traiter comme tout autre actif précieux en s’assurant qu’il est protégé contre les vulnérabilités. »
Il a décrit les éventuels résultats négatifs si les actions appropriées ne sont pas prises, y compris le compromis des clés et des mots de passe cryptographiques, un accès non autorisé à l’infrastructure cloud, un vol d’identité, une escalade des privilèges et un préjudice de réputation et opérationnel à grande échelle.
«Les risques de ne pas agir sont l’exposition de clés cryptographiques et de mots de passe; compromis sur l’infrastructure dans le cloud; vol d’identité et escalade des privilèges; et des dégâts de réputation à long terme et opérationnels. Les bonnes équipes de sécurité tournent les secrets;
Actions recommandées
En termes pratiques, Avocado Consulting conseille aux organisations d’auditer leurs secrets et leurs comptes privilégiés entre les référentiels, les systèmes CI / CD, les environnements cloud et les plateformes SaaS, la révocation des références périmées et la garantie de l’accès approprié. Ils recommandent également des revues complètes des référentiels de code et de la réalisation de l’identité de la charge de travail et de l’analyse des secrets conformément aux cadres de risques reconnus, tels que ceux publiés par OWASP.
En incorporant des commandes conviviales telles que la protection push, la numérisation secrète automatisée à chaque étape de l’intégration du code et l’utilisation de références de courte durée, le conseil en avocat indique que les organisations peuvent faire des pratiques sécurisées par défaut dans leurs processus de chaîne d’approvisionnement logiciels.