CircleCI, LastPass, Okta en Slack: cyberaanvallers richten zich op core enterprise-tools

Begin januari waarschuwde de ontwikkelingspijplijnserviceprovider CircleCI gebruikers voor een inbreuk op de beveiliging en drong er bij bedrijven op aan om de wachtwoorden, SSH-sleutels en andere geheimen die zijn opgeslagen op of worden beheerd door het platform onmiddellijk te wijzigen.

De aanval op de DevOps-service liet het bedrijf worstelen om de reikwijdte van de inbreuk te bepalen, het vermogen van aanvallers om softwareprojecten aan te passen te beperken en te bepalen welke ontwikkelingsgeheimen waren gecompromitteerd. In de tussenliggende dagen rouleerde het bedrijf authenticatietokens, veranderde configuratievariabelen, werkte het samen met andere providers om sleutels te laten verlopen en ging het verder met het onderzoeken van het incident.

“Op dit moment zijn we ervan overtuigd dat er geen ongeautoriseerde actoren actief zijn in onze systemen; uit voorzorg willen we er echter voor zorgen dat alle klanten bepaalde preventieve maatregelen nemen om ook uw gegevens te beschermen”, aldus het bedrijf aldus vorige week in een advies.

De CircleCI-compromis is het meest recente incident dat de toenemende focus van aanvallers op fundamentele bedrijfsservices onderstreept. Identiteitsdiensten, zoals Okta en LastPass, hebben het afgelopen jaar gecompromitteerde systemen bekendgemaakt, terwijl op ontwikkelaars gerichte services, zoals Slack en GitHub, haastte zich om ook te reageren op succesvolle aanvallen op hun broncode en infrastructuur.

De overvloed aan aanvallen op core enterprise-tools benadrukt het feit dat bedrijven mogen verwachten dat dit soort providers in de toekomst regelmatig doelwit zullen worden, zegt Lori MacVittie, een vooraanstaande ingenieur en evangelist bij cloudbeveiligingsbedrijf F5.

"Naarmate we meer vertrouwen op services en software om alles te automatiseren, van de ontwikkeling, het testen tot de implementatie, worden deze services een aantrekkelijk aanvalsoppervlak", zegt ze. "We beschouwen ze niet als applicaties waar aanvallers zich op zullen richten, maar dat zijn ze wel."

Identiteits- en ontwikkelaarsservices onder cyberaanval

Aanvallers hebben zich de laatste tijd gericht op twee belangrijke categorieën services: identiteits- en toegangsbeheersystemen en ontwikkelaars- en applicatie-infrastructuur. Beide typen services ondersteunen kritieke aspecten van de bedrijfsinfrastructuur.

Identiteit is de lijm die elk onderdeel van een organisatie verbindt en die organisatie verbindt met partners en klanten, zegt Ben Smith, field CTO bij NetWitness, een detectie- en responsbedrijf.

"Het maakt niet uit welk product, welk platform je gebruikt... tegenstanders hebben ingezien dat het enige dat beter is dan een organisatie die gespecialiseerd is in authenticatie, een organisatie is die gespecialiseerd is in authenticatie voor andere klanten", zegt hij.

Ontwikkelaarsservices en -tools hebben ondertussen een andere vaak aangevallen bedrijfsservice worden. In september een bedreigingsactor toegang gekregen tot het Slack-kanaal voor de ontwikkelaars van Rockstar Games, bijvoorbeeld het downloaden van video's, screenshots en code van de aankomende Grand Theft Auto 6-game. En op 9 januari Slack zei dat het het had ontdekt dat "een beperkt aantal Slack-werknemerstokens werd gestolen en misbruikt om toegang te krijgen tot onze extern gehoste GitHub-repository."

Omdat identiteits- en ontwikkelaarsservices vaak toegang geven tot een breed scala aan bedrijfsmiddelen - van applicatieservices tot bewerkingen tot broncode - kan het compromitteren van die services een skeletsleutel zijn voor de rest van het bedrijf, zegt Smith van NetWiness.

"Het zijn heel erg aantrekkelijke doelen, die laaghangend fruit vertegenwoordigen", zegt hij. "Dit zijn klassieke aanvallen op de toeleveringsketen - een loodgietersaanval, omdat het loodgieterswerk niet iets is dat dagelijks zichtbaar is."

Beheer geheimen verstandig voor cyberdefensie en stel draaiboeken op

Organisaties moeten zich voorbereiden op het ergste en erkennen dat er geen eenvoudige manieren zijn om de impact van zulke ingrijpende gebeurtenissen te voorkomen, zegt Ben Lincoln, senior consultant bij Bishop Fox.

"Er zijn manieren om je hiertegen te beschermen, maar die hebben wel wat overhead", zegt hij. "Dus ik zie dat ontwikkelaars terughoudend zijn om ze te implementeren totdat duidelijk wordt dat ze nodig zijn."

Onder de defensieve tactieken beveelt Lincoln het uitgebreide beheer van geheimen aan. Bedrijven zouden met een druk op de knop alle benodigde wachtwoorden, sleutels en gevoelige configuratiebestanden moeten kunnen roteren, zegt hij.

"Je moet de blootstelling beperken, maar als er een inbreuk is, heb je hopelijk een drukknop om al die inloggegevens onmiddellijk te roteren", zegt hij. "Bedrijven moeten van tevoren uitgebreid plannen en een proces klaar hebben staan als het ergste gebeurt."

Organisaties kunnen ook vallen zetten voor aanvallers. Een verscheidenheid aan honeypot-achtige strategieën stelt beveiligingsteams in staat om een betrouwbare waarschuwing te krijgen dat aanvallers zich mogelijk in hun netwerk of op een service bevinden. Valse accounts en inloggegevens maken, zogenaamde credential canaries, kan helpen detecteren wanneer bedreigingsactoren toegang hebben tot gevoelige activa.

Op alle andere manieren moeten bedrijven echter zero-trust-principes toepassen om hun aanvalsgebied te verkleinen van - niet alleen machines, software en services - maar ook operaties, zegt MacVittie.

"Traditioneel waren operaties verborgen en veilig achter een grote gracht [in de onderneming], dus bedrijven schonken er niet zoveel aandacht aan", zegt ze. "Door de manier waarop applicaties en digitale diensten vandaag de dag worden gebouwd, zijn bij operaties veel app-naar-app- en machine-naar-app-identiteiten betrokken, en aanvallers beginnen zich te realiseren dat die identiteiten net zo waardevol zijn."

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
Bron: https://www.darkreading.com/attacks-breaches/circleci-lastpass-okta-slack-cyberattackers-target-enterprise-tools

Generatieve data-intelligentie

CircleCI, LastPass, Okta en Slack: Cyberaanvallers richten zich op kernbedrijfstools

Identiteits- en ontwikkelaarsservices onder cyberaanval

Beheer geheimen verstandig voor cyberdefensie en stel draaiboeken op

🔴Ethereum ETF's uitgesteld | Deze week in Crypto – 11 maart 2024

In ziekte en gezondheid: een gids voor zorgverleners om kracht en hoop te vinden – World News Report – Verbinding met het medische marihuanaprogramma

Laatste intelligentie

Clean Group kondigt nieuwe kantoorlocatie aan in Sydney CBD en verbeterde commerciële schoonmaakdiensten – World News Report – Verbinding met het medische marihuanaprogramma

Winstmaximalisatie in 2024: een alomvattende blik op ValueZone.AI

Britse minister van Defensie maakt Italiaanse levering van stormschaduwraketten aan Oekraïne bekend

Live verslaggeving: SpaceX lanceert 23 Starlink-satellieten op Falcon 9-vlucht vanaf Cape Canaveral

Drie sleutels voor de eilandbewoners om Game Five te winnen

Lakers behalen felbegeerde overwinning tegen Denver, nu met 3-1 achter in de reeks