認証情報の漏洩後のクラウド乗っ取りを防止する
継続的インテグレーションおよび継続的デリバリー/デプロイメント(CI/CD)ツールは、スタートアップ企業にとって贅沢品ではなくなりました。最も迅速に動くスタートアップ企業は、大規模で野心的なアイデアを実現するには、小さな増分でレビューしやすい変更をリリースするのが最適であることを学びました。最も生産性の高い企業では、1日に40回リリースを行い、中には1日80回に達するところもあります。これは、CircleCI、GitHub Actions、GitLabのパイプラインなどのCI/CDツールを活用することによってのみ安全に実現できます。
CI/CDはハッカーを引き付けます
今日、多くのスタートアップ企業や大企業がこれらのツールを使用しています。これらのツールにコードをクラウドにデプロイさせるためには、特別なAPIシークレットをそれらの中に保存する必要があります。そのため、CI/CDツールはハッカーにとって価値の高い標的となります。実際、これらは常にハッキングされてきた歴史があります。
公開された最近の侵害の一部である、以下のインシデントをご覧ください:
CircleCI侵害の事後分析(IOCとTTPを含む)
簡単な要約:
1. エンジニアリング用ラップトップにマルウェア
2. リモートセッションのアクティブなSSOセッションを窃取
4. 本番環境のアクセストークンを生成
5. 顧客のENV、トークン、キーを外部に持ち出し
6. CircleCIの暗号化キーも外部に持ち出しhttps://t.co/25x9t5NLG6
— Ryan McGeehan (@Magoo) 2023年1月14日
CircleCIは2023年1月に侵害されました
- CodeShip: “重要なセキュリティ通知: GitHub侵害” (2020)
- GitHub: 「オープンソースプロジェクトにおけるGitHub Actionsのエクスプロイト」 (2022)
- GitLab: 「潜在的なOkta侵害に対応して取った措置」 (2022)
- Jenkins: 「深刻なJenkinsのバグが発見されました」 (2020)
ご覧の通り、これはかなり頻繁に発生しています。どのように防御していますか?
このような侵害からクラウドインフラストラクチャをどのように防御すればよいですか?
これらのCI/CDプラットフォームのいずれかがハッキングされた場合、通常は侵害を公表します。これは、侵害に気づいてから1日以内に発生する傾向があります。しかし、侵害は発見されるまで数週間活動し続ける可能性があります。残念ながら、その時間はプラットフォームの全顧客へのアクセスをエスカレートするために利用される可能性があります。
AikidoはCI/CD防御を特定するのに役立ちます。
幸いなことに、選択したプラットフォームがハッキングされた場合でも安全を確保するためのいくつかの方法があります。Aikido SecurityのAWSとの新しい連携により、クラウドが以下の対策を講じていない場合にアラートが通知されます。無料トライアルアカウントを使用して、クラウドがこれらの脅威に対する防御策をすでに備えているか確認してください。
CI/CDを防御するためのステップ:
- CI/CDプラットフォームにIAMロールを割り当てる際は、IPによって制限されていることを確認してください。ほとんどのCI/CDツールには、特定のIPアドレスセットからのみトラフィックを送信するオプションがあります。このオプションにより、盗まれたAPIトークンはCI/CDインフラストラクチャ外では使用できなくなります。ハッカーは自身のサーバーでそれらを使用できなくなり、これにより活動が大幅に遅延し、完全にブロックされる可能性もあります。
- CI/CDプラットフォームの認証情報を作成する際は、最小限のアクセス権限を設計するのに時間をかけてください。管理者権限を付与しないようにしてください。
- リスクを分散しましょう。クラウドを複数のアカウントに分割してください。これにより、侵害の影響を最小限に抑えることができます。例えば、ステージング環境の認証情報が侵害されても、本番環境の侵害にはつながらないようにすべきです。
- シングルサインオン(SSO)または多要素認証(MFA)を使用してください。これは当然のことです。
残念ながら(しかし現実的に)、CI/CDはいずれハッキングされると想定すべきです。その時が来たら、すべてのデプロイトークンをできるだけ早くローテーションするようにしてください。
