用於預防勒索軟體的 DevSecOps 流程

zktq2021發表於2022-07-27
dev

勒索軟體是當今組織面臨嚴重的網路安全威脅。勒索病毒感染組織的方式之一是透過DevOps管道——Kaseya攻擊就是一個很好的例子。企業正在過渡到DevSecOps工作流程,來確保軟體更安全。

勒索軟體攻擊的興起

作為一種惡意軟體,勒索軟體將受害者計算機上的資料鎖定或加密,攻擊者要求付款才能將其釋放給受害者。勒索軟體攻擊的動機通常是金錢。與其他型別的攻擊不同,受害者通常會被告知發生了攻擊,並獲得有關如何恢復的說明。通常要求使用比特幣等虛擬貨幣付款,因此不會透露網路犯罪分子的身份。

近年來,備受矚目的勒索軟體攻擊影響了全球數以百萬計的組織,影響了關鍵基礎設施和全球供應鏈。最近的幾個例子:

Colonial Pipeline 攻擊:攻擊者破解了該公司的一個VPN密碼,並在公司網路上部署了勒索軟體,導致其大範圍的燃料管道關閉,造成美國東海岸的燃料短缺。該公司承認向攻擊者支付了450萬美元的贖金。

Kaseya 攻擊:攻擊者將勒索軟體注入到受信任的 IT 解決方案的軟體更新中,該解決方案已分發給數千個組織,使它們感染了勒索軟體。

JBS Foods :全球最大的肉類產品供應商受到勒索軟體攻擊,導致三個國家的屠宰場關閉,全球肉類供應鏈中斷。該公司向攻擊者支付了1100萬美元贖金。

這些災難性的攻擊表明,對各種規模的組織都需要強大的勒索軟體預防策略。

DevSecOps是什麼?

組織可以更好地準備和防禦勒索軟體和網路攻擊的一種方法是採用一種被稱為“左移”的開發方法。左移意味著從一開始就在DevOps管道中構建安全性。

DevSecOps(開發、安全和運營的簡稱)是一種在整個開發生命週期(規劃、開發、構建、測試、部署、運營和監控)中支援安全的組織模式。它是一種管理方法,將應用程式開發、安全性、操作和基礎設施作為程式碼(IaaS)組合在一個自動的、連續的交付週期中。

在軟體開發過程的每個階段應用安全性可降低合規成本,並有助於更快地交付更安全的軟體。在 DevSecOps 模型中,每個員工和團隊(包括開發和運營)都對安全負責,他們必須做出決策、構建和測試軟體產品以促進安全。

DevSecOps的另一個方面是,它在開發管道本身構建防禦,防止供應鏈攻擊和持續整合/持續交付(CI/CD)流程的惡意破壞。

DevSecOps 流程步驟:勒索軟體注意事項

大多陣列織將採取以下步驟從傳統的 DevOps 過渡到 DevSecOps。

第 1 步:開發

包括採用“如何做”的方法,該方法收集所有可用的資源,用於指導實現可靠的實踐,併為當前和未來的團隊成員建立程式碼審查系統。

防範勒索軟體:向開發人員介紹可能導致勒索軟體和相關威脅的漏洞。

第 2 步:構建和測試

DevSecOps 實施使用自動化構建工具來執行測試驅動的開發,而不會增加開發時間。使用自動測試來快速生成釋出工件,透過 靜態程式碼分析工具(SAST) 確保設計符合編碼和安全要求。

防範勒索軟體:驗證已知的勒索軟體漏洞不存在於任何軟體工件中,包括第三方元件和容器映像。

第 3 步:部署

DevSecOps 管道採用自動化進行配置和部署,以實現快速和一致的開發。它通常涉及使用基礎架構即程式碼 (IaC) 工具和服務來自動化和標準化整個基礎架構的安全配置。

防範勒索軟體:確保IaC模板、部署工具和雲環境被掃描並驗證無惡意軟體和勒索軟體。

第 4 步:更新

軟體專案需要經常升級。IaC 工具可以幫助快速有效地更新和保護整個基礎架構。它有助於最大限度地減少人為錯誤的範圍並監視0 day 漏洞。

防範勒索軟體:保護 CI/CD 基礎設施,以防止可能在更新期間注入勒索軟體的供應鏈攻擊。同時,應優先考慮並立即部署可以防止勒索軟體威脅的安全更新。

第 5 步:監控

持續的實時監控工具可以幫助我們瞭解系統的效能,並在早期階段識別漏洞和漏洞利用。

防範勒索軟體:在生產環境中使用特定於勒索軟體的監視。這包括檔案完整性監控(FIM)和端點檢測和響應(EDR)等工具,這些工具可以識別在早期階段似乎是勒索軟體的程式。

第 6 步:進化

隨著威脅和技術領域的不斷髮展,DevSecOps的實踐應該適應保持敏捷和相關性。理想情況下,實現應該不斷地審查安全性、效能和功能實踐,並進行改進以適應外部趨勢和內部目標。

防範勒索軟體:應根據相關行業近期勒索軟體攻擊的經驗,不斷審查和更新勒索軟體控制措施。

結論

建議組織可以在哪些方面新增措施以防止勒索軟體感染其供應鏈:


開發:避免程式碼中存在勒索軟體漏洞以及在選擇軟體元件時。

構建/測試:驗證所有軟體工件是否沒有勒索軟體漏洞和已知的勒索軟體可執行檔案。

部署:以確保 IaC 模板和 CI/CD 系統沒有勒索軟體。

更新:快速部署相關補丁,防止勒索軟體滲透軟體更新。

監控:在所有危害 CI/CD 管道的端點上使用勒索軟體監控解決方案。


透過更新安全措施來適應不斷演變的勒索軟體威脅,從而不斷髮展。




來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2907765/,如需轉載,請註明出處,否則將追究法律責任。

相關文章