勒索软件是当今组织面临严重的网络安全威胁。勒索病毒感染组织的方式之一是通过DevOps管道——Kaseya攻击就是一个很好的例子。企业正在过渡到DevSecOps工作流程,来确保软件更安全。
勒索软件攻击的兴起
作为一种恶意软件,勒索软件将受害者计算机上的数据锁定或加密,攻击者要求付款才能将其释放给受害者。勒索软件攻击的动机通常是金钱。与其他类型的攻击不同,受害者通常会被告知发生了攻击,并获得有关如何恢复的说明。通常要求使用比特币等虚拟货币付款,因此不会透露网络犯罪分子的身份。
近年来,备受瞩目的勒索软件攻击影响了全球数以百万计的组织,影响了关键基础设施和全球供应链。最近的几个例子:
Colonial Pipeline
攻击:攻击者破解了该公司的一个VPN密码,并在公司网络上部署了勒索软件,导致其大范围的燃料管道关闭,造成美国东海岸的燃料短缺。该公司承认向攻击者支付了450万美元的赎金。
Kaseya 攻击:攻击者将勒索软件注入到受信任的 IT 解决方案的软件更新中,该解决方案已分发给数千个组织,使它们感染了勒索软件。
JBS Foods
:全球最大的肉类产品供应商受到勒索软件攻击,导致三个国家的屠宰场关闭,全球肉类供应链中断。该公司向攻击者支付了1100万美元赎金。
这些灾难性的攻击表明,对各种规模的组织都需要强大的勒索软件预防策略。
DevSecOps是什么?
组织可以更好地准备和防御勒索软件和网络攻击的一种方法是采用一种被称为“左移”的开发方法。左移意味着从一开始就在DevOps管道中构建安全性。
DevSecOps(开发、安全和运营的简称)是一种在整个开发生命周期(规划、开发、构建、测试、部署、运营和监控)中支持安全的组织模式。它是一种管理方法,将应用程序开发、安全性、操作和基础设施作为代码(IaaS)组合在一个自动的、连续的交付周期中。
在软件开发过程的每个阶段应用安全性可降低合规成本,并有助于更快地交付更安全的软件。在 DevSecOps
模型中,每个员工和团队(包括开发和运营)都对安全负责,他们必须做出决策、构建和测试软件产品以促进安全。
DevSecOps的另一个方面是,它在开发管道本身构建防御,防止供应链攻击和持续集成/持续交付(CI/CD)流程的恶意破坏。
DevSecOps 流程步骤:勒索软件注意事项
大多数组织将采取以下步骤从传统的 DevOps 过渡到 DevSecOps。
第 1 步:开发
包括采用“如何做”的方法,该方法收集所有可用的资源,用于指导实现可靠的实践,并为当前和未来的团队成员建立代码审查系统。
防范勒索软件:向开发人员介绍可能导致勒索软件和相关威胁的漏洞。
第 2 步:构建和测试
DevSecOps 实施使用自动化构建工具来执行测试驱动的开发,而不会增加开发时间。使用自动测试来快速生成发布工件,通过静态代码分析工具(SAST)确保设计符合编码和安全要求。
防范勒索软件:验证已知的勒索软件漏洞不存在于任何软件工件中,包括第三方组件和容器映像。
第 3 步:部署
DevSecOps 管道采用自动化进行配置和部署,以实现快速和一致的开发。它通常涉及使用基础架构即代码 (IaC)工具和服务来自动化和标准化整个基础架构的安全配置。
防范勒索软件:确保IaC模板、部署工具和云环境被扫描并验证无恶意软件和勒索软件。
第 4 步:更新
软件项目需要经常升级。IaC 工具可以帮助快速有效地更新和保护整个基础架构。它有助于最大限度地减少人为错误的范围并监视 0 day 漏洞。
防范勒索软件:保护 CI/CD 基础设施,以防止可能在更新期间注入勒索软件的供应链攻击。同时,应优先考虑并立即部署可以防止勒索软件威胁的安全更新。
第 5 步:监控
持续的实时监控工具可以帮助我们了解系统的性能,并在早期阶段识别漏洞和漏洞利用。
防范勒索软件:在生产环境中使用特定于勒索软件的监视。这包括文件完整性监控(FIM)和端点检测和响应(EDR)等工具,这些工具可以识别在早期阶段似乎是勒索软件的进程。
第 6 步:进化
随着威胁和技术领域的不断发展,DevSecOps的实践应该适应保持敏捷和相关性。理想情况下,实现应该不断地审查安全性、性能和功能实践,并进行改进以适应外部趋势和内部目标。
防范勒索软件:应根据相关行业近期勒索软件攻击的经验,不断审查和更新勒索软件控制措施。
结论
建议组织可以在哪些方面添加措施以防止勒索软件感染其供应链:
开发:避免代码中存在勒索软件漏洞以及在选择软件组件时。
构建/测试:验证所有软件工件是否没有勒索软件漏洞和已知的勒索软件可执行文件。
部署:以确保 IaC 模板和 CI/CD 系统没有勒索软件。
更新:快速部署相关补丁,防止勒索软件渗透软件更新。
监控:在所有危害 CI/CD 管道的端点上使用勒索软件监控解决方案。
通过更新安全措施来适应不断演变的勒索软件威胁,从而不断发展。
https://resources.infosecinstitute.com/topic/a-devsecops-process-for-ransomware-prevention/
本文作者:中科天齐软件安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/184238.html