🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Embora o DevOps impulsione a inovação e simplifique a colaboração, ele também traz seu próprio conjunto de riscos e vulnerabilidades. Os desenvolvedores contam com plataformas baseadas em Git como GitHub, Azure DevOps, Bitbucket ou GitLab para trabalhar no código.
Os repositórios geralmente contêm dados de missão crítica e, com o crescimento, as equipes se expandem e seus fluxos de trabalho ficam mais complexos — tudo isso levando a mais riscos potenciais que podem afetar seus dados.
O modelo de responsabilidade compartilhada
A divisão de funções em relação à proteção de dados SaaS é delineada usando modelos de responsabilidade compartilhada específicos da plataforma. Você, como cliente, é responsável pelos dados armazenados em suas contas SaaS. Plataformas como GitHub não são obrigadas a ajudá-lo na recuperação de dados.
O provedor de serviços é responsável pelo tempo de atividade de seu serviço, enquanto o dever dos usuários é a segurança dos dados, contas e dispositivos.
Isso significa que os usuários devem implementar controles de acesso rígidos, proteger credenciais e aproveitar backups automatizados; tudo para proteger os dados contra ataques de ransomware, erros humanos como exclusões acidentais e interrupções de serviço. Além disso, as próprias plataformas SaaS aconselham os seus utilizadores a implementar os seus próprios backups.
Diferenças de segurança entre plataformas
As principais plataformas VCS distribuídas, como o GitLab, oferecem recursos de segurança integrados. Isso pode ajudar na construção de uma estratégia de defesa cibernética. Os controles e ferramentas específicos diferem em cada plataforma e variam desde PATs até controles de acesso e revisões regulares.
GitHub
No GitHub, os usuários obtêm controles nativos que incluem verificação secreta, proteção push, recursos de segurança de código como revisão de dependências e alertas Dependabot.
A proteção contra push está ativada por padrão para novos repositórios públicos e bloqueia segredos conhecidos durante o push. A verificação secreta também está habilitada para todos os repositórios públicos e pode ser estendida aos privados.
É aconselhável aplicar MFA e proteção de filiais em todos os projetos.
Bitbucket
O Bitbucket possui acesso hierárquico, com controles de equipe/grupo. Além disso, as permissões em nível de projeto se aplicam a todos os repositórios desse projeto, a menos que sejam restritas.
A segurança depende em grande parte da revisão regular dos escopos dos grupos e da privacidade do repositório pelos administradores. O recurso Bitbucket Secret Scanning ajuda a monitorar commits e push de credenciais expostas.
Certifique-se de configurar variáveis de pipeline e evite expor dados confidenciais. É importante notar que o Bitbucket se integra ao conjunto de ferramentas e serviços da Atlassian, como o Jira.
GitLab
GitLab vem como uma plataforma DevSecOps abrangente, cobrindo gerenciamento de código-fonte, CI/CD e testes de segurança.
Os riscos surgem principalmente em implantações autogerenciadas, onde os administradores são responsáveis pela proteção, aplicação de patches e backups.
A orientação do GitLab em sua documentação atribui patches e segurança de host a clientes autogerenciados. Certifique-se de implementar uma segregação estrita de funções e manter os executores isolados.
Azure DevOps
O Azure DevOps da Microsoft integra-se ao gerenciamento de identidade por meio do Microsoft Entra ID (SSO, MFA, acesso condicional).
Uma forte postura de segurança para dados do Azure DevOps requer a configuração correta de conexões de serviço e permissões de projeto/organização em camadas.
A Microsoft enfatiza a responsabilidade do cliente pela configuração do Azure DevOps de acordo com o Modelo de Responsabilidade Compartilhada.
Falhas e desafios comuns de segurança do DevOps
Os dados, juntamente com as configurações, armazenados em plataformas como o Bitbucket, são essenciais para o desenvolvimento de software moderno. Portanto, seu código-fonte é um ótimo alvo para ataques cibernéticos ou ameaças internas. Esses malfeitores exigem resgate à medida que obtêm acesso aos seus dados, dos quais dependem a continuidade e a segurança dos negócios.
É importante mudar a segurança para a esquerda e abordar as vulnerabilidades conhecidas do setor.
Vulnerabilidades comuns incluem:
Controle de acesso fraco
Permissões e configurações inadequadas do repositório
Sem autenticação multifator (MFA) ou logon único (SSO)
Sistemas e fluxos de trabalho desatualizados
Nenhum backup automatizado (ou tratamento de GitHub, GitLab, Azure DevOps ou Bitbucket como backup)
Falta de estratégias testadas de recuperação de desastres
Não conformidade com regulamentos do setor
Por exemplo, houve um ataque à cadeia de suprimentos visando uma ação popular do GitHub chamada ‘tj-actions/changed-files’. Os invasores publicaram uma atualização maliciosa com o mesmo nome de pacote usado em milhares de repositórios, expondo potencialmente dados do repositório e segredos de CI/CD.
Vetores de ataques
Existem diferentes maneiras pelas quais os invasores podem explorar vulnerabilidades para acessar seus dados. Eles variam de phishing e roubo de credenciais a ataques de ransomware. O ransomware criptografa ou apaga seus dados — mas como isso é feito depende da plataforma:
Plataforma
Como é abusado
Por que permite ransomware
Medidas preventivas
GitHub
Tokens PATs/OAuth roubados, ações maliciosas do GitHub, executores de CI comprometidos
Tokens e ato malicioso
Os repositórios geralmente contêm dados de missão crítica e, com o crescimento, as equipes se expandem e seus fluxos de trabalho ficam mais complexos — tudo isso levando a mais riscos potenciais que podem afetar seus dados.
O modelo de responsabilidade compartilhada
A divisão de funções em relação à proteção de dados SaaS é delineada usando modelos de responsabilidade compartilhada específicos da plataforma. Você, como cliente, é responsável pelos dados armazenados em suas contas SaaS. Plataformas como GitHub não são obrigadas a ajudá-lo na recuperação de dados.
O provedor de serviços é responsável pelo tempo de atividade de seu serviço, enquanto o dever dos usuários é a segurança dos dados, contas e dispositivos.
Isso significa que os usuários devem implementar controles de acesso rígidos, proteger credenciais e aproveitar backups automatizados; tudo para proteger os dados contra ataques de ransomware, erros humanos como exclusões acidentais e interrupções de serviço. Além disso, as próprias plataformas SaaS aconselham os seus utilizadores a implementar os seus próprios backups.
Diferenças de segurança entre plataformas
As principais plataformas VCS distribuídas, como o GitLab, oferecem recursos de segurança integrados. Isso pode ajudar na construção de uma estratégia de defesa cibernética. Os controles e ferramentas específicos diferem em cada plataforma e variam desde PATs até controles de acesso e revisões regulares.
GitHub
No GitHub, os usuários obtêm controles nativos que incluem verificação secreta, proteção push, recursos de segurança de código como revisão de dependências e alertas Dependabot.
A proteção contra push está ativada por padrão para novos repositórios públicos e bloqueia segredos conhecidos durante o push. A verificação secreta também está habilitada para todos os repositórios públicos e pode ser estendida aos privados.
É aconselhável aplicar MFA e proteção de filiais em todos os projetos.
Bitbucket
O Bitbucket possui acesso hierárquico, com controles de equipe/grupo. Além disso, as permissões em nível de projeto se aplicam a todos os repositórios desse projeto, a menos que sejam restritas.
A segurança depende em grande parte da revisão regular dos escopos dos grupos e da privacidade do repositório pelos administradores. O recurso Bitbucket Secret Scanning ajuda a monitorar commits e push de credenciais expostas.
Certifique-se de configurar variáveis de pipeline e evite expor dados confidenciais. É importante notar que o Bitbucket se integra ao conjunto de ferramentas e serviços da Atlassian, como o Jira.
GitLab
GitLab vem como uma plataforma DevSecOps abrangente, cobrindo gerenciamento de código-fonte, CI/CD e testes de segurança.
Os riscos surgem principalmente em implantações autogerenciadas, onde os administradores são responsáveis pela proteção, aplicação de patches e backups.
A orientação do GitLab em sua documentação atribui patches e segurança de host a clientes autogerenciados. Certifique-se de implementar uma segregação estrita de funções e manter os executores isolados.
Azure DevOps
O Azure DevOps da Microsoft integra-se ao gerenciamento de identidade por meio do Microsoft Entra ID (SSO, MFA, acesso condicional).
Uma forte postura de segurança para dados do Azure DevOps requer a configuração correta de conexões de serviço e permissões de projeto/organização em camadas.
A Microsoft enfatiza a responsabilidade do cliente pela configuração do Azure DevOps de acordo com o Modelo de Responsabilidade Compartilhada.
Falhas e desafios comuns de segurança do DevOps
Os dados, juntamente com as configurações, armazenados em plataformas como o Bitbucket, são essenciais para o desenvolvimento de software moderno. Portanto, seu código-fonte é um ótimo alvo para ataques cibernéticos ou ameaças internas. Esses malfeitores exigem resgate à medida que obtêm acesso aos seus dados, dos quais dependem a continuidade e a segurança dos negócios.
É importante mudar a segurança para a esquerda e abordar as vulnerabilidades conhecidas do setor.
Vulnerabilidades comuns incluem:
Controle de acesso fraco
Permissões e configurações inadequadas do repositório
Sem autenticação multifator (MFA) ou logon único (SSO)
Sistemas e fluxos de trabalho desatualizados
Nenhum backup automatizado (ou tratamento de GitHub, GitLab, Azure DevOps ou Bitbucket como backup)
Falta de estratégias testadas de recuperação de desastres
Não conformidade com regulamentos do setor
Por exemplo, houve um ataque à cadeia de suprimentos visando uma ação popular do GitHub chamada ‘tj-actions/changed-files’. Os invasores publicaram uma atualização maliciosa com o mesmo nome de pacote usado em milhares de repositórios, expondo potencialmente dados do repositório e segredos de CI/CD.
Vetores de ataques
Existem diferentes maneiras pelas quais os invasores podem explorar vulnerabilidades para acessar seus dados. Eles variam de phishing e roubo de credenciais a ataques de ransomware. O ransomware criptografa ou apaga seus dados — mas como isso é feito depende da plataforma:
Plataforma
Como é abusado
Por que permite ransomware
Medidas preventivas
GitHub
Tokens PATs/OAuth roubados, ações maliciosas do GitHub, executores de CI comprometidos
Tokens e ato malicioso
#samirnews #samir #news #boletimtec #os #riscos #ocultos #nos #dados #da #sua #pilha #de #devops #– #e #como #resolvêlos
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário