Attivo Networks warnt vor Angriffen auf DevOps-Strukturen DevSecOps durch Täuschung von Angreifern

Redakteur: Stephan Augsten

DevOps beschleunigt Prozesse, schafft aber laut Attivo Networks auch neue Angriffsvektoren. So böten CI/CD-, sprich Continuous-Integration- und -Delivery-Mechanismen potenziellen Angreifern neue Möglichkeiten, in das Netzwerk einzudringen.

Firmen zum Thema

In DevOps-Umgebungen lässt sich Sicherheit unter anderem damit umsetzen, Angriffe mit einem Honeypot-Ansatz zu erkennen.
In DevOps-Umgebungen lässt sich Sicherheit unter anderem damit umsetzen, Angriffe mit einem Honeypot-Ansatz zu erkennen.
(Bild: geralt / Pixabay )

Kontinuierliche Entwicklungsprozesse bergen die Gefahr, dass bösartiger Code eine Anwendung schon früh im Develpoment Lifecycle infiltriert und sich dann im gesamten Netzwerk verbreiten kann, warnt Attivo Networks. Es sei daher besonders wichtig, über DevSecOps-Ansätze alle Versuche der Manipulation in der Entwicklungsphase schon im Keim zu ersticken.

Im Rahmen einer Security-Integraton eine DevSecOps-Mentalität zu schaffen, sei allerdings mitunter eine große Herausforderung, da die Entwicklung an sich keine inhärenten Sicherheitsanforderungen stelle. Und sie erst kurz vor dem Einsatz zu injizieren, führt oft zum Opfern der Sicherheit zugunsten einer schnellen Markteinführung. Während des gesamten Entwicklungsprozesses ist es laut Attivo insbesondere von Bedeutung, kontinuierlich zu prüfen, ob Angreifer in der Lage waren, bösartigen Code in die Umgebung einzuschleusen.

Verschiedene Möglichkeiten helfen dabei, die Prozesse abzusichern. Attivo hat sich auf die Täuschung der Angreifer spezialisiert und hat die Möglichkeiten je nach Entwicklungsphase aufgeschlüsselt. Täuschungs- oder Deception-Technologien kommen dabei vor allem in den drei Phasen Build, Deployment und Betrieb zum Einsatz. Cyber-Täuschung lasse sich aber auch in der Planungsphase einsetzen.

Planungsphase

Die Planungsphase findet in erster Linie offline statt und beinhaltet die Schaffung der Grundlagen für die Entwicklung. Angreifer können hier versuchen, Zugang zu Code zu erhalten, Änderungen vorzunehmen und Malware im Netzwerk zu verbreiten. Dagegen können gefälschte Code Repositories, Dokumente, Netzwerkfreigaben, die auf Dateiserver verweisen, und andere Mittel der Täuschung eingesetzt werden, um Angreifer vom wahren Ziel abzulenken. Häufig werden zur Verwaltung von DevOps-Projekten webbasierte Projektmanagement-Tools verwendet, und Sicherheitsteams können gefälschte Instanzen dieser Tools erstellen.

Build-Phase

In der Build-Phase beginnt die eigentliche Softwareentwicklung. Hier können Angreifer versuchen, Computer, Zielbetriebssysteme, Active Directory (AD) oder andere Bereiche anzugreifen, in denen sie die Entwicklung stören können. Zudem werden sie AD-Aufklärung auf der Suche nach hochwertigen Servern und Code-Repositories betreiben. Gefälschte Repositories, getarnte Netzwerkfreigaben und andere Täuschungsmittel, die schon während der Planphase eingesetzt werden, können auch hier Angreifer zum Entgleisen bringen. Auch gefälschte Jenkins-Server oder Github-Code-Depots sind hier attraktive Ziele für potentielle Angreifer.

Deployment

In der Deployment-Phase werden Angreifer versuchen, sich Zugangsdaten mit der Berechtigung zur Ausführung von Code zu beschaffen. Wenn sie diese erlangen, können sie sich Zugang zum Deployment verschaffen, um Code zu modifizieren und im gesamten System zu verteilen. In dieser Phase sollten Decoy-Technologien gemeinsam mit anderen Sicherheitsmethoden eingesetzt werden, wie z.B Einmal-Passwörtern für den Zugriff auf Konfigurationsdateien. Verteidiger können auch gefälschte Zugangsdaten in Konfigurationsdateien einbetten und neben den echten Zugangsdaten platzieren, um Angreifer auszutricksen.

Betriebsphase

Im regulären Betrieb werden Angreifer primär auf die Endpunkte abzielen, in der Hoffnung, ihre Malware von dort aus im gesamten Netz zu verbreiten. Deception-Technologien können diese Risiken reduzieren. Wenn die Verteidiger entsprechende Netzwerk-Köder eingesetzt haben, werden die Angreifer diese anstelle der eigentlichen Endpunkte anvisieren. Endpunktköder können Angreifer dann zu Decoy-Systemen führen. Da kompromittierte Zugangsdaten ein wesentlicher Bestandteil der Art und Weise sind, wie Angreifer DevOps ins Visier nehmen, kann die Suche nach Fehlkonfigurationen und gestohlenen Berechtigungsnachweisen, die sich auf Entwickler-Endpunkten befinden, die Angriffsfläche weiter reduzieren.

(ID:47056921)