fbpx

חברת Cider Security מפרסמת מחקר חדש הסוקר 10 סיכוני האבטחה סביב תהליכי הפיתוח

חברת Cider Security, שפיתחה מערכת הפעלה ראשונה מסוגה בעולם לעולמות ה- Application Security, מפרסמת היום מחקר חדש שסוקר את עשרת סיכוני האבטחה המרכזיים לסביבות ותהליכי CI/CD. מדובר במכלול של מערכות ותהליכים האחראים על כך שקוד הנכתב בידי מפתחים, יגיעה בצורה אוטומטית לסביבות ה- Production.

בשנים האחרונות, ובפרט מאז התעצמות דיסיפלינת ה- DevOps, גופי הפיתוח האיצו את השימוש ב- CI/CD מה שאפשר גמישות, מהירות וגיוון טכנולוגי בתהליכי הפיתוח, אך בעת ובעונה אחת יצר מכלול של הזדמנויות ושיטות תקיפה חדשות המנוצלות על בסיס קבוע ומתמשך על ידי האקרים רבים בעולם.

המחקר החדשני מרכז בפעם הראשונה את הסיכונים המרכזיים אותם מומחי Application Security נדרשים להכיר על מנת להתאים את התהליכים ויכולות האבטחה המוטמעים בארגון לשיטות התקיפה המרכזיות בהם משתמשים תוקפים כיום.  המחקר ישמש כמדריך לצוותי אבטחת מידע שיסייע להם לבנות תוכניות למזעור סיכוני אבטחה סביב מערכות ותהליכי CI/CD.

תהליך המחקר התפרס על פני תשעה חודשים ומבוסס על ניתוח מאות סביבות CI/CD, דיונים עם עשרות מומחי מהמובילים בעולם לנושאי Application Security, וניתוח האנטומיה של מתקפות ופגיעויות CI/CD שפותחו בשנים האחרונות.

רשימת הסיכונים אשר מונה המסמך הינה:

CICD-SEC-1: Insufficient Flow Control Mechanisms

CICD-SEC-2: Inadequate Identity and Access Management

CICD-SEC-3: Dependency Chain Abuse

CICD-SEC-4: Poisoned Pipeline Execution (PPE)

CICD-SEC-5: Insufficient PBAC (Pipeline-Based Access Controls)

CICD-SEC-6: Insufficient Credential Hygiene

CICD-SEC-7: Insecure System Configuration

CICD-SEC-8: Ungoverned Usage of 3rd Party Services

CICD-SEC-9: Improper Artifact Integrity Validation

CICD-SEC-10: Insufficient Logging and Visibility

המחקר בוצע בשיתוף פעולה עם מומחים בתעשייה במגוון רחב של ענפים ודיסציפלינות, מייקל קואטס, לשעבר מנהל אבטחת המידע ב-Twitter, אדריאן לודוויג, מנהל אבטחת מידע ב- Atlassian, אסתה סינגהל, מנהלת Application Security ב-Netflix, ג׳ונתן קלאודיוס, מנהל אבטחת מידע ב-Mozilla, ג'ונתן יפה, מנהל אבטחת המידע ב- Lemonade, רון פלד, מייסד ומנכ"ל של ProtectOps, טראוויס מק-פיק, מנהל product security ב-Databricks, יפתח עמית, Advisory CSO ב- Rapid7 ונוספים.

דניאל קריבלביץ', מייסד שותף ו-CTO ב-Cider Security: "מערכות ותהליכי CI/CD הם הלב הפועם של כל ארגון R&D. הם מאפשרים הזדמנויות ויתרונות גדולים, אך בעת ובעונה אחת מאפשרים פרצות רבות לתוקפים, אשר מבינים כי תהליכי ה- CI/CD מייצרים נתיב גישה לנכסים החשובים ביותר של הארגון: סביבות ה-Production, המכילות את המידע הכי רגיש והמערכות הכי קריטיות בארגון. מטרתנו בפרסום המחקר היא לסייע לצוותי האבטחה להבין בצורה מעמיקה את האיומים הפוטנציאליים אליהם הצוותים נדרשים להיערך. מדובר בתרומה מאוד משמעותית לקהילת אבטחת המידע, אשר תייצר בסיס איכותי ורחב לשיח בתוך קהילת אבטחת המידע סביב האיומים המרכזיים בעולומות ה- CI/CD, והטכנולוגיות והתהליכים הנדרשים כדי לתת מענה לאותם האיומים. ״

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן