Pada awal Januari, penyedia layanan saluran pengembangan CircleCI memperingatkan pengguna tentang pelanggaran keamanan, mendesak perusahaan untuk segera mengubah kata sandi, kunci SSH, dan rahasia lain yang disimpan atau dikelola oleh platform.
Grafik serangan pada layanan DevOps membuat perusahaan kebingungan untuk menentukan ruang lingkup pelanggaran, membatasi kemampuan penyerang untuk memodifikasi proyek perangkat lunak, dan menentukan rahasia pengembangan mana yang telah disusupi. Pada hari-hari berikutnya, perusahaan merotasi token autentikasi, mengubah variabel konfigurasi, bekerja dengan penyedia lain untuk kedaluwarsa kunci, dan terus menyelidiki insiden tersebut.
“Pada titik ini, kami yakin bahwa tidak ada aktor tidak sah yang aktif di sistem kami; namun, karena sangat berhati-hati, kami ingin memastikan bahwa semua pelanggan mengambil tindakan pencegahan tertentu untuk melindungi data Anda juga,” perusahaan itu dinyatakan dalam penasehat minggu lalu.
Grafik Kompromi CircleCI adalah insiden terbaru yang menggarisbawahi peningkatan fokus penyerang pada layanan dasar perusahaan. Layanan identitas, seperti Okta dan LastPass, telah mengungkapkan kompromi sistem mereka dalam satu tahun terakhir, sementara layanan yang berfokus pada pengembang, seperti Kendur dan GitHub, bergegas menanggapi serangan yang berhasil pada kode sumber dan infrastruktur mereka juga.
Banyaknya serangan pada alat inti perusahaan menyoroti fakta bahwa perusahaan harus mengharapkan jenis penyedia ini menjadi target reguler di masa depan, kata Lori MacVittie, seorang insinyur dan penginjil terkemuka di perusahaan keamanan cloud F5.
“Karena kami lebih mengandalkan layanan dan perangkat lunak untuk mengotomatiskan semuanya, mulai dari pengembangan hingga pengujian hingga penerapan, layanan ini menjadi permukaan serangan yang menarik,” katanya. “Kami tidak menganggapnya sebagai aplikasi yang akan menjadi fokus penyerang, tetapi memang begitu.”
Identitas & Layanan Pengembang Di Bawah Cyberattack
Penyerang akhir-akhir ini berfokus pada dua kategori utama layanan: identitas dan sistem manajemen akses, serta infrastruktur pengembang dan aplikasi. Kedua jenis layanan mendukung aspek penting infrastruktur perusahaan.
Identitas adalah perekat yang menghubungkan setiap bagian organisasi serta menghubungkan organisasi itu dengan mitra dan pelanggan, kata Ben Smith, CTO lapangan di NetWitness, sebuah perusahaan deteksi dan respons.
“Tidak masalah produk apa, platform apa, yang Anda manfaatkan… musuh telah menyadari bahwa satu-satunya hal yang lebih baik daripada organisasi yang berspesialisasi dalam autentikasi adalah organisasi yang berspesialisasi dalam autentikasi untuk pelanggan lain,” katanya.
Layanan dan alat pengembang, sementara itu, miliki menjadi layanan perusahaan lain yang sering diserang. Pada bulan September, aktor ancaman memperoleh akses ke saluran Slack untuk para pengembang di Rockstar Games, misalnya, mengunduh video, tangkapan layar, dan kode dari game Grand Theft Auto 6 yang akan datang. Dan pada 9 Januari, Slack mengatakan bahwa itu ditemukan bahwa “token karyawan Slack dalam jumlah terbatas telah dicuri dan disalahgunakan untuk mendapatkan akses ke repositori GitHub kami yang dihosting secara eksternal.”
Karena layanan identitas dan pengembang sering memberikan akses ke berbagai aset perusahaan — mulai dari layanan aplikasi hingga operasi hingga kode sumber — mengkompromikan layanan tersebut dapat menjadi kunci kerangka bagi seluruh perusahaan, kata Smith dari NetWitness.
“Mereka adalah target yang sangat menarik, yang mewakili buah yang menggantung rendah,” katanya. “Ini adalah serangan rantai pasokan klasik — serangan pipa ledeng, karena pipa ledeng bukanlah sesuatu yang terlihat setiap hari.”
Untuk Cyberdefense, Kelola Rahasia dengan Bijak & Buat Playbook
Organisasi harus bersiap menghadapi yang terburuk dan mengakui bahwa tidak ada cara sederhana untuk mencegah dampak dari peristiwa yang begitu luas dan berdampak, kata Ben Lincoln, konsultan senior pengelola di Bishop Fox.
“Ada cara untuk melindungi dari ini, tetapi mereka memiliki beberapa biaya tambahan,” katanya. “Jadi saya bisa melihat pengembang enggan mengimplementasikannya sampai terbukti bahwa itu diperlukan.”
Di antara taktik defensif, Lincoln merekomendasikan manajemen rahasia yang komprehensif. Perusahaan harus dapat "menekan tombol" dan memutar semua kata sandi, kunci, dan file konfigurasi sensitif yang diperlukan, katanya.
“Anda perlu membatasi paparan, tetapi jika ada pelanggaran, mudah-mudahan Anda memiliki tombol tekan untuk segera merotasi semua kredensial itu,” katanya. “Perusahaan harus merencanakan jauh-jauh hari sebelumnya dan memiliki proses yang siap dijalankan jika hal terburuk terjadi.”
Organisasi juga dapat mengatur jebakan untuk penyerang. Berbagai strategi seperti honeypot memungkinkan tim keamanan memiliki peringatan dengan ketelitian tinggi bahwa penyerang mungkin ada di jaringan mereka atau di layanan. Membuat akun dan kredensial palsu, disebut kenari kredensial, dapat membantu mendeteksi kapan pelaku ancaman memiliki akses ke aset sensitif.
Namun, dalam semua cara lain, perusahaan perlu menerapkan prinsip tanpa kepercayaan untuk mengurangi area permukaan serangan mereka — tidak hanya mesin, perangkat lunak, dan layanan — tetapi juga operasi, kata MacVittie.
“Biasanya, operasi tersembunyi dan aman di balik parit besar [di perusahaan], sehingga perusahaan tidak terlalu memedulikannya,” katanya. “Dengan cara aplikasi dan layanan digital dibangun saat ini, operasi melibatkan banyak identitas aplikasi-ke-aplikasi, mesin-ke-aplikasi, dan penyerang mulai menyadari bahwa identitas tersebut sama berharganya.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools
