Blog

May 29, 2023

Cómo proteger su canalización de CI/CD

Seguridad de contenedores La integración continua y la entrega/implementación continua (CI/CD) han conquistado a los desarrolladores de aplicaciones, con equipos de ciberseguridad empresarial comprometidos para proteger los canales de CI/CD. OWASP

Seguridad de contenedores

La integración continua y la entrega/implementación continua (CI/CD) han conquistado a los desarrolladores de aplicaciones, con equipos de ciberseguridad empresarial comprometidos para proteger los canales de CI/CD. Los 10 principales riesgos de seguridad de CI/CD de OWASP aclaran a qué prestar atención.

Por: Trend Micro 29 de agosto de 2023 Tiempo de lectura: (palabras)

Guardar en publicación

El otoño pasado, el Proyecto Abierto Mundial de Seguridad de Aplicaciones (OWASP) anunció un nuevo proyecto centrado en los 10 principales riesgos de seguridad para las canalizaciones de CI/CD. (CI/CD significa integración continua y entrega/implementación continua, una especie de enfoque de "movimiento perpetuo" para el desarrollo de software).

El top 10 refleja cuán extendido se ha vuelto CI/CD y cuán vulnerables pueden ser sus canales debido a la complejidad de la pila de tecnología, el mayor uso de la automatización y la infraestructura como código y una mayor integración de terceros. También destaca otro caso en el que los profesionales tradicionales de la ciberseguridad asumen responsabilidades ampliadas a medida que las operaciones de seguridad y la seguridad en la nube continúan convergiendo.

Mínimo privilegio, confianza cero

Según nuestra evaluación, los 10 principales riesgos de seguridad de CI/CD de OWASP se dividen en tres categorías generales: riesgos de acceso y credenciales; riesgos de integración y dependencia; y riesgos de configuración. Si hay un mensaje recurrente, es que las organizaciones deben adoptar principios de privilegios mínimos siempre que sea posible y abrazar el espíritu del enfoque Zero Trust.

Riesgos de acceso y credenciales en el proceso de CI/CD

Gestión inadecuada de identidades y accesos

La naturaleza abierta y continua de CI/CD hace que más personas y máquinas participen en el ecosistema de desarrollo en todas sus fases y etapas. Incluso una identidad comprometida tiene el potencial de causar daños bastante graves.

Según OWASP, las identidades pueden sufrir diversas debilidades, desde permisos demasiado amplios hasta caducidad. Recomienda el mapeo continuo de todas las identidades internas y externas, eliminando permisos innecesarios y no otorgando permisos generales a todos los usuarios o grupos grandes. Las cuentas obsoletas deben tener una vida útil definida. Se deben prohibir las cuentas locales (aquellas que no se administran de forma centralizada), junto con el uso de direcciones de correo electrónico personales o no empresariales, el autorregistro y las cuentas compartidas.

Higiene de credenciales insuficiente

Los malos actores valoran las credenciales por el acceso que dan a recursos de alto valor y las oportunidades que ofrecen para implementar códigos y artefactos maliciosos. Pueden exponerse de varias maneras en el proceso de CI/CD.

Si se envían a una rama del repositorio de gestión de cambios de software (SCM), cualquier persona con acceso al repositorio puede leer las credenciales. Se pueden dejar a la vista cuando se utilizan de forma insegura en procesos de construcción e implementación o capas de imágenes y también se pueden imprimir en salidas de consola.

Las recomendaciones de OWASP son rotar las credenciales con regularidad, aplicar siempre el principio de privilegio mínimo, usar credenciales temporales en lugar de estáticas y eliminar cualquier secreto o credencial de los artefactos una vez que ya no sean necesarios.

Controles de acceso basados ​​en tuberías (PBAC) insuficientes

Los nodos de ejecución de CI/CD acceden a sistemas y recursos tanto internos como externos. Los delincuentes pueden utilizar ese acceso para difundir código malicioso, explotando todos los permisos asociados con la etapa de canalización en la que se ejecuta el código.

Para remediar esto, OWASP dice que los nodos con diferentes niveles de sensibilidad o requisitos de recursos no deben ser compartidos por múltiples canalizaciones. También recomienda una forma de privilegio mínimo para garantizar que cada paso del proceso pueda acceder solo a los secretos que necesita y no a otros. Una vez que se ejecuta la canalización, el nodo debe restaurarse a su "estado prístino" y cada nodo debe tener parches de seguridad completamente actualizados.

Riesgos de integración y dependencia en el proceso de CI/CD

Abuso de la cadena de dependencia

El código en el proceso de CI/CD puede depender de otro código para funcionar, y esas dependencias pueden usarse para importar paquetes maliciosos al proceso de desarrollo.

OWASP ha identificado cuatro ataques comunes a la cadena de dependencia: confusión de dependencia (nombrar paquetes maliciosos de la misma manera que paquetes legítimos); secuestro de dependencias (reemplazar paquetes legítimos por otros maliciosos); 'typosquatting' (nombrar paquetes maliciosos variaciones de errores ortográficos comunes de paquetes legítimos populares); y 'brandjacking' (camuflar paquetes maliciosos como marcas confiables).

OWASP dice que se debe prohibir la obtención de paquetes de Internet o de fuentes no confiables, y se debe verificar que todos los paquetes privados estén dentro del alcance de la organización. Cualquier script de instalación debe ejecutarse sin acceso a secretos o recursos confidenciales, y los nombres de los proyectos internos nunca deben publicarse en repositorios públicos.

Ejecución de oleoducto envenenado

Todo el proceso de CI/CD también puede verse "envenenado" con código malicioso si un atacante obtiene acceso a los sistemas de control de fuentes. Las canalizaciones que utilizan código no revisado son especialmente susceptibles.

Las organizaciones deben restringir las canalizaciones que ejecutan código no revisado a nodos aislados, y todos los archivos de configuración de CI deben revisarse antes de que se ejecute la canalización. OWASP recomienda limitar las canalizaciones que se pueden activar en repositorios públicos y proteger las canalizaciones confidenciales con reglas de protección de sucursales en el SCM. Y si los usuarios no necesitan ciertos permisos en el repositorio de SCM, no deberían tenerlos.

Uso no regulado de servicios de terceros

El acceso de terceros a los recursos internos de una organización está integrado en el modelo CI/CD, y se puede utilizar un tercero comprometido para penetrar en todo el ecosistema. Para ilustrar este punto, OWASP da el ejemplo de un tercero con permisos de escritura que está siendo explotado para enviar código a un repositorio que luego activa una compilación e infecta el sistema de compilación.

Los remedios recomendados incluyen:

Validación de integridad de artefactos incorrecta

Los artefactos en la canalización de CI/CD son fragmentos de código o datos utilizados en el proceso de compilación que se guardan o permanecen accesibles para el sistema. Si no están validados, se pueden utilizar para introducir códigos o artefactos maliciosos en el proceso.

Una vez más, OWASP tiene algunas recomendaciones: validar la integridad de todos los recursos desde el desarrollo hasta la producción; incorporar tecnología de firma de código segura; implementar software de verificación de artefactos; y monitorear la "desviación de configuración" en los activos de CI/CD. Estos se aplican igualmente a artefactos internos y externos/de terceros.

Riesgos de configuración en el proceso de CI/CD

Mecanismos de control de flujo insuficientes

Muchos de los riesgos resumidos hasta ahora se ven exacerbados por el hecho de que una vez que un atacante tiene acceso a alguna parte del proceso de CI/CD, tiene prácticamente rienda suelta para enviar código malicioso a donde quiera debido a la falta de mecanismos de control de flujo.

La recomendación de OWASP es garantizar que ninguna persona, máquina o programa pueda "enviar código y artefactos confidenciales a través del proceso sin verificación o validación externa" mediante:

Configuración del sistema insegura

Las configuraciones subóptimas pueden ser una fuente importante de riesgo en las canalizaciones de CI/CD. Los atacantes pueden aprovechar activos autoadministrados que están desactualizados, sin parches o que tienen privilegios de administrador instalados en el sistema operativo. También pueden explotar sistemas con permisos de acceso excesivos, higiene de credenciales inadecuada o configuraciones inseguras relacionadas con la autorización, el registro y otras funciones.

Las organizaciones deben abordar las vulnerabilidades de configuración manteniendo un inventario completo y actualizado de sistemas y versiones, y verificando periódicamente las vulnerabilidades conocidas. OWASP también recomienda acceso y permisos con privilegios mínimos junto con revisiones periódicas de la configuración.

Registro y visibilidad insuficientes

Como lo expresa OWASP: "La existencia de sólidas capacidades de registro y visibilidad es esencial para que una organización pueda prepararse, detectar e investigar un incidente relacionado con la seguridad". La ciberseguridad de TI tiende a hacer un buen trabajo en esto, pero los sistemas y procesos de ingeniería no tienen la misma protección.

Esto se puede abordar manteniendo un mapa actualizado del entorno, configurando fuentes de registros programáticas y humanas apropiadas, agregando y correlacionando registros de diferentes sistemas para la recopilación de inteligencia y utilizando alertas para señalar anomalías y posibles actividades maliciosas.

Este tipo de acciones se pueden tomar con capacidades extendidas de detección y respuesta (XDR), centralizando registros y telemetría en la seguridad de la nube y las herramientas de AppSec. Rompa los silos de seguridad en la nube y aproveche la información de esas herramientas como parte de un enfoque XDR más amplio para buscar, investigar y responder a amenazas en una única plataforma.

Proteja su proceso de CI/CD

Las 10 listas principales de OWASP son recursos invaluables para los equipos de ciberseguridad, especialmente aquellos que provienen del mundo tradicional de los centros de operaciones de seguridad (SOC) y que ahora se encuentran en el apuro de la seguridad de las aplicaciones, la protección de DevOps y las defensas de la nube.

El top 10 de procesos de CI/CD es una adición bienvenida al conjunto, ya que refuerza de manera inequívoca que controles y equilibrios sólidos, permisos estrictamente restringidos y una mentalidad general de Confianza Cero son cruciales para mantener seguros los activos y datos de la empresa mientras se aprovecha la naturaleza abierta e iterativa. del modelo CI/CD.

Estas medidas se alinean con la posición de Trend Micro de que un enfoque Zero Trust es fundamental en entornos de desarrollo distribuido. Las organizaciones necesitan Zero Trust Secure Access y evaluaciones continuas de los riesgos relacionados con la identidad y los dispositivos para proporcionar una base segura para los equipos de DevOps en rápido movimiento. Trend Vision One ayuda a impulsar el desarrollo seguro al incluir registros de identidad y comportamiento del usuario como parte de las investigaciones, escanear artefactos en busca de vulnerabilidades y malware, y más. Todo es parte de nuestro compromiso de ayudar a los equipos de seguridad a asumir nuevas responsabilidades en la empresa creada por software y respaldar el uso estratégico de la nube por parte de las empresas.

Próximos pasos

Para obtener más información de Trend Micro sobre la seguridad de la canalización de CI/CD, consulte estos recursos:

Tendencia Micro

Centro de recursos de DevOps