[Códé~cóv 테이크어웨이 — 지금까지 우리가 알고 있는 것]

[누구도 그렇게 빨리 상기시킬 필요는 없지만, 최근 여러 조직에서 지속적 통합 (CÍ) 프로세스를 지원하는 Có~décó~v의 툴셋에 대한 위반은 오늘날 존재하는 엄청난 밀도의 상호 의존성과 그에 따른 공급망 공격에 대한 노출을 다시 한 번 강조합니다.]

[또한 신뢰할 수 있는 공급업체가 제공하는 소프트웨어를 신뢰하는 경우가 많기 때문에 고객은 업데이트가 호스트에서 로컬로 수행하는 작업뿐 아니라 네트워크 연결 및 데이터 전송 측면에서도 업데이트가 수행하는 작업을 제대로 테스트하지 않습니다.이 모든 것은 조직에서 실행되는 소프트웨어를 제대로 이해하지 못하는 경우가 많다는 뜻입니다.]

[이것이 Códé~cóv에서 일어난 일과 어떤 관련이 있습니까¿~]

[Códé~cóv는 고객의 C~Í 파이프라인에 통합할 수 있는 보고 기능을 제공합니다. 특히 Cód~écóv~의 도구는 테스트의 일부로 실행되는 코드의 양을 보고하므로 검증 프로세스의 격차를 식별하는 데 도움이 됩니다.그런 다음 이러한 지표는 보고 및 분석을 위해 SááS~ 플랫폼에 업로드됩니다.]

[데이터 업로드는 CÍ 프로세스의 일부로 실행되는 총칭하여 “Bá~sh Úp~lóád~érs”라고 하는 스크립트를 통해 촉진됩니다.이러한 업로더 스크립트가 변조될 경우 공격자는 업로드를 자신이 선택한 서버로 리디렉션할 뿐만 아니라 포함시키려는 데이터를 지정하여 C~Í 프로세스에 잠재적으로 액세스할 수 있는 모든 것을 제공할 수 있습니다.]

[Códé~cóv의 경우 C~ódéc~óv의 도커 이미지 생성 프로세스에서 발생한 오류로 인해 사용 가능한 Gó~óglé~ Clóú~d Stó~rágé~ 자격 증명이 유출되어 초기 손상이 발생했습니다.공격자는 이러한 자격 증명을 사용하여 Básh~ Úpló~ádér~ 스크립트의 수정된 버전을 게시할 수 있었으며, 이를 변경하여 해당 스크립트가 실행된 CÍ 프로세스에서 사용할 수 있는 모든 환경 변수의 내용을 수집하여 자체 서버에 업로드할 수 있었습니다.]

[이 수정된 스크립트는 Códé~cóv 사이트에서 직접 구할 수 있었기 때문에 고객이 신뢰했으며 거의 검증 없이 다운로드 및 통합되었을 것입니다.C~Í 프로세스의 환경 변수는 일반적으로 관련 암호를 코드에 삽입하여 런타임에 필요한 리소스에 액세스하는 데 사용됩니다.따라서 악성 업로더 스크립트는 이러한 정보에 액세스하고 이를 공격자에게 전송하여 자격 증명 및 기타 민감한 정보를 정상적으로 수집할 수 있습니다.]

[지속적인 네트워크 액세스가 더 이상 없더라도 (그리고 보안 침해로 인해 이러한 사실이 입증되는지 여부는 아직 밝혀지지 않았습니다) 스토리지 버킷, 데이터베이스 등 인터넷에 액세스할 수 있는 다양한 리소스에 대한 액세스를 제공한다는 점에서 이러한 비밀은 보물 상자입니다. 클라우드 서비스 관련 응용 프로그램에서 사용한 것입니다.이들 역시 현재 손상되었을 가능성이 높습니다.]

[손상된 Básh~ Úpló~ádér~ 스크립트를 CÍ 파이프라인에 통합했을 수 있다고 생각하는 조직은 최소한 CÍ~ 파이프라인에 액세스할 수 있는 모든 비밀을 긴급히 재설정해야 합니다.이 경우 업데이트된 보안 정보를 받을 수 있도록 영향을 받은 응용 프로그램을 재배포해야 하는 것이 거의 확실하지만, 도난당한 자격 증명의 노출을 연장하는 것보다 이 방법을 사용하는 것이 좋습니다.]

[비밀 유출 외에도 CÍ 파이프라인에 대한 지속적인 권한 액세스는 악용될 가능성이 높습니다.정의에 따르면 파이프라인의 책임은 새 소프트웨어 빌드를 생성하여 리포지토리에 게시하는 것입니다.파이프라인 인프라 자체가 손상되면 공격자는 콘텐츠를 변경할 수 있으며, 다운스트림 시스템이나 생성된 아티팩트 내에서 나중에 사용할 수 있도록 백도어를 삽입할 수 있습니다.그렇다면 공격자와 그 촉수의 모든 흔적이 제거되었다는 확신을 가지려면 얼마나 많은 재구축이 필요할까요¿]

[다음으로 CÍ 인프라에서 사용할 수 있는 네트워크 액세스를 살펴보는 것이 좋습니다.일반적으로 이들은 버전 제어 시스템, 모니터링 인프라, 자동화된 테스트, 빌드 프로세스, 구성 관리 및 지속적 배포를 포함하나 이에 국한되지 않는 다른 주요 구성 요소에 직접 액세스할 수 있습니다.또한 FÓ~SS 구성 요소를 많이 사용하기 때문에 CÍ~ 파이프라인은 관련 종속성을 가져오기 위해 공용 리포지토리에 대한 인터넷 액세스를 필요로 하는 경우가 많습니다.]

[CÍ 파이프라인이 요구하는 고밀도 연결 요구 사항에도 불구하고 세그멘테이션이 여전히 중요한 보안 제어 역할을 할 수 있을까요¿]

[의 가치를 고려할 때] [마이크로 세그멘테이션][다음과 같은 두 가지 방법으로 표현할 수 있습니다.]

1. [마이크로 세그멘테이션을 사용하면 가치가 높은 자산을 링펜싱하여 네트워크의 나머지 부분에 대한 노출을 제한할 수 있으므로 공격자가 이러한 자산에 접근하고 악용하기가 더 어려워집니다.]
2. [마이크로 세그멘테이션을 사용하면 모든 워크로드를 둘러싸는 고유한 최소 권한 액세스 규칙 기반 마이크로페리미터를 가질 수 있습니다.이를 통해 보안 침해가 발생하더라도 공격 표면 접속 권한이 부여된 대상에만 노출되므로 궁극적으로 공격자가 다음에 수행할 수 있는 작업이 제한됩니다.]

[이를 CÍ 파이프라인에 관련시키는 한 가지 접근 방식은 다음과 같습니다.]

• [CÍ 파이프라인은 확실히 가치가 높은 자산이며 차단되어야 하는 자산입니다.]
• [연결 관점에서 볼 때 내부 및 외부 종속성이 많을 수 있지만 이러한 종속성을 잘 이해하고 잘 정의해야 합니다.]
• [이 정보를 사용하여 허용 목록CÍ 파이프라인이 이러한 잘 이해된 종속성에만 액세스하고 해당 종속성에서만 액세스할 수 있도록 하는 기반 마이크로 세분화 정책을 구축할 수 있습니다.]
• [인터넷 액세스가 필요한 경우 승인된 저장소 목록에 대해서만 허용되어야 하며 제한되지 않은 인터넷 액세스는 허용되지 않아야 합니다.이는 명시적으로 정의된 대상 사이트 목록에만 액세스를 제한하며, C&C 및 데이터 유출 시도를 방지하는 효과적이고 간단한 제어 수단이기도 합니다.]

[이를 통해 인증되지 않은 장치나 승인되지 않은 포트 및 프로토콜을 통해 CÍ 파이프라인에 액세스하지 못하도록 보호할 수 있습니다.또한 CÍ~ 파이프라인이 손상된 경우 나머지 네트워크에 대한 노출을 제한할 수 있습니다.또한 개선되었습니다. 분할 제어 기능은 종종 시스템 상호 작용에 대한 훨씬 더 나은 가시성과 함께 진행되므로 사고 탐지 및 대응 팀이 잠재적 침해를 조사할 때 활용할 수 있는 풍부한 데이터를 제공합니다.]

[Íllú~míó에서는 고객이 활용할 수 있도록 지원합니다. 마이크로 세그멘테이션 이러한 격리 및 모니터링을 설정하기 위해서입니다.계정 팀에 문의하여 어떻게 지원해 드릴 수 있는지 알아보십시오.]