אלו עשרת סיכוני האבטחה המרכזיים לסביבות ותהליכי CI/CD
חברת Cider Security מפרסמת מחקר חדש המתאר את הסיכונים לעולמות ה-CI/CD. דניאל קריבלביץ', מייסד שותף ו-CTO ב-Cider Security: "מערכות ותהליכי CI/CD הם הלב הפועם של כל ארגון R&D״
עמי רוחקס דומבה
| 17/03/2022
תמונת המייסדים. קרדיט: ויקטור לוי
חברת Cider Security, שפיתחה מערכת הפעלה לעולמות ה- Application Security, מפרסמת מחקר חדש שסוקר את עשרת סיכוני האבטחה המרכזיים לסביבות ותהליכי CI/CD. מדובר במכלול של מערכות ותהליכים האחראים על כך שקוד הנכתב בידי מפתחים, יגיעה בצורה אוטומטית לסביבות ה- Production.
בשנים האחרונות, ובפרט מאז התעצמות דיסיפלינת ה- DevOps, גופי הפיתוח האיצו את השימוש ב- CI/CD מה שאפשר גמישות, מהירות וגיוון טכנולוגי בתהליכי הפיתוח, אך בעת ובעונה אחת יצר מכלול של הזדמנויות ושיטות תקיפה חדשות המנוצלות על בסיס קבוע ומתמשך על ידי האקרים רבים בעולם.
המחקר החדשני מרכז בפעם הראשונה את הסיכונים המרכזיים אותם מומחי Application Security נדרשים להכיר על מנת להתאים את התהליכים ויכולות האבטחה המוטמעים בארגון לשיטות התקיפה המרכזיות בהם משתמשים תוקפים כיום. המחקר ישמש כמדריך לצוותי אבטחת מידע שיסייע להם לבנות תוכניות למזעור סיכוני אבטחה סביב מערכות ותהליכי CI/CD.
תהליך המחקר התפרס על פני תשעה חודשים ומבוסס על ניתוח מאות סביבות CI/CD, דיונים עם עשרות מומחי מהמובילים בעולם לנושאי Application Security, וניתוח האנטומיה של מתקפות ופגיעויות CI/CD שפותחו בשנים האחרונות.
רשימת הסיכונים אשר מונה כוללת:
CICD-SEC-1: Insufficient Flow Control Mechanisms
CICD-SEC-2: Inadequate Identity and Access Management
CICD-SEC-3: Dependency Chain Abuse
CICD-SEC-4: Poisoned Pipeline Execution (PPE)
CICD-SEC-5: Insufficient PBAC (Pipeline-Based Access Controls)
CICD-SEC-6: Insufficient Credential Hygiene
CICD-SEC-7: Insecure System Configuration
CICD-SEC-8: Ungoverned Usage of 3rd Party Services
CICD-SEC-9: Improper Artifact Integrity Validation
CICD-SEC-10: Insufficient Logging and Visibility
המחקר בוצע בשיתוף פעולה עם מומחים בתעשייה במגוון רחב של ענפים ודיסציפלינות, מייקל קואטס, לשעבר מנהל אבטחת המידע ב-Twitter, אדריאן לודוויג, מנהל אבטחת מידע ב- Atlassian, אסתה סינגהל, מנהלת Application Security ב-Netflix, ג׳ונתן קלאודיוס, מנהל אבטחת מידע ב-Mozilla.
ג'ונתן יפה, מנהל אבטחת המידע ב- Lemonade, רון פלד, מייסד ומנכ"ל של ProtectOps, טראוויס מק-פיק, מנהל product security ב-Databricks, יפתח עמית, Advisory CSO ב- Rapid7 ונוספים.
דניאל קריבלביץ', מייסד שותף ו-CTO ב-Cider Security: "מערכות ותהליכי CI/CD הם הלב הפועם של כל ארגון R&D. הם מאפשרים הזדמנויות ויתרונות גדולים, אך בעת ובעונה אחת מאפשרים פרצות רבות לתוקפים, אשר מבינים כי תהליכי ה- CI/CD מייצרים נתיב גישה לנכסים החשובים ביותר של הארגון: סביבות ה-Production, המכילות את המידע הכי רגיש והמערכות הכי קריטיות בארגון.
״מטרתנו בפרסום המחקר היא לסייע לצוותי האבטחה להבין בצורה מעמיקה את האיומים הפוטנציאליים אליהם הצוותים נדרשים להיערך. מדובר בתרומה מאוד משמעותית לקהילת אבטחת המידע, אשר תייצר בסיס איכותי ורחב לשיח בתוך קהילת אבטחת המידע סביב האיומים המרכזיים בעולומות ה- CI/CD, והטכנולוגיות והתהליכים הנדרשים כדי לתת מענה לאותם האיומים.״
חברת Cider Security מפרסמת מחקר חדש המתאר את הסיכונים לעולמות ה-CI/CD. דניאל קריבלביץ', מייסד שותף ו-CTO ב-Cider Security: "מערכות ותהליכי CI/CD הם הלב הפועם של כל ארגון R&D״
תמונת המייסדים. קרדיט: ויקטור לוי
חברת Cider Security, שפיתחה מערכת הפעלה לעולמות ה- Application Security, מפרסמת מחקר חדש שסוקר את עשרת סיכוני האבטחה המרכזיים לסביבות ותהליכי CI/CD. מדובר במכלול של מערכות ותהליכים האחראים על כך שקוד הנכתב בידי מפתחים, יגיעה בצורה אוטומטית לסביבות ה- Production.
בשנים האחרונות, ובפרט מאז התעצמות דיסיפלינת ה- DevOps, גופי הפיתוח האיצו את השימוש ב- CI/CD מה שאפשר גמישות, מהירות וגיוון טכנולוגי בתהליכי הפיתוח, אך בעת ובעונה אחת יצר מכלול של הזדמנויות ושיטות תקיפה חדשות המנוצלות על בסיס קבוע ומתמשך על ידי האקרים רבים בעולם.
המחקר החדשני מרכז בפעם הראשונה את הסיכונים המרכזיים אותם מומחי Application Security נדרשים להכיר על מנת להתאים את התהליכים ויכולות האבטחה המוטמעים בארגון לשיטות התקיפה המרכזיות בהם משתמשים תוקפים כיום. המחקר ישמש כמדריך לצוותי אבטחת מידע שיסייע להם לבנות תוכניות למזעור סיכוני אבטחה סביב מערכות ותהליכי CI/CD.
תהליך המחקר התפרס על פני תשעה חודשים ומבוסס על ניתוח מאות סביבות CI/CD, דיונים עם עשרות מומחי מהמובילים בעולם לנושאי Application Security, וניתוח האנטומיה של מתקפות ופגיעויות CI/CD שפותחו בשנים האחרונות.
רשימת הסיכונים אשר מונה כוללת:
CICD-SEC-1: Insufficient Flow Control Mechanisms
CICD-SEC-2: Inadequate Identity and Access Management
CICD-SEC-3: Dependency Chain Abuse
CICD-SEC-4: Poisoned Pipeline Execution (PPE)
CICD-SEC-5: Insufficient PBAC (Pipeline-Based Access Controls)
CICD-SEC-6: Insufficient Credential Hygiene
CICD-SEC-7: Insecure System Configuration
CICD-SEC-8: Ungoverned Usage of 3rd Party Services
CICD-SEC-9: Improper Artifact Integrity Validation
CICD-SEC-10: Insufficient Logging and Visibility
המחקר בוצע בשיתוף פעולה עם מומחים בתעשייה במגוון רחב של ענפים ודיסציפלינות, מייקל קואטס, לשעבר מנהל אבטחת המידע ב-Twitter, אדריאן לודוויג, מנהל אבטחת מידע ב- Atlassian, אסתה סינגהל, מנהלת Application Security ב-Netflix, ג׳ונתן קלאודיוס, מנהל אבטחת מידע ב-Mozilla.
ג'ונתן יפה, מנהל אבטחת המידע ב- Lemonade, רון פלד, מייסד ומנכ"ל של ProtectOps, טראוויס מק-פיק, מנהל product security ב-Databricks, יפתח עמית, Advisory CSO ב- Rapid7 ונוספים.
דניאל קריבלביץ', מייסד שותף ו-CTO ב-Cider Security: "מערכות ותהליכי CI/CD הם הלב הפועם של כל ארגון R&D. הם מאפשרים הזדמנויות ויתרונות גדולים, אך בעת ובעונה אחת מאפשרים פרצות רבות לתוקפים, אשר מבינים כי תהליכי ה- CI/CD מייצרים נתיב גישה לנכסים החשובים ביותר של הארגון: סביבות ה-Production, המכילות את המידע הכי רגיש והמערכות הכי קריטיות בארגון.
״מטרתנו בפרסום המחקר היא לסייע לצוותי האבטחה להבין בצורה מעמיקה את האיומים הפוטנציאליים אליהם הצוותים נדרשים להיערך. מדובר בתרומה מאוד משמעותית לקהילת אבטחת המידע, אשר תייצר בסיס איכותי ורחב לשיח בתוך קהילת אבטחת המידע סביב האיומים המרכזיים בעולומות ה- CI/CD, והטכנולוגיות והתהליכים הנדרשים כדי לתת מענה לאותם האיומים.״
