• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Jak zabezpečit firemní vývojové prostředí

Redakce
22. 12. 2021
| Články
Ransomware stále hitem

Zdroj: Pixabay

Loňský bezpečnostní problém SolarWinds a letošní Codecow ukázaly, že mnohá bezpečnostní narušení vznikají v rámci dodavatelských řetězců poskytovatelů softwaru. S tím firma v roli koncového uživatele může těžko přímo něco dělat. Co ale v její moci naproti tomu je, to je její vlastní software a vnitropodnikový vývoj. Vývojové nebo testovací prostředí bývá přitom kompromitováno poměrně často. Pro útočníky se jedná o oblíbený cíl, který jim dává možnost provádět celou řadu dalších akcí na různých úrovních. Výsledkem může být např. krádež přístupových údajů a šifrovacích klíčů, hesel i samotného softwaru. Dále se pak nabízí možnost software modifikovat např. ve fázi finálního sestavování, a zasáhnout tak nejenom samotnou firmu, ale i jeho další uživatele prostřednictvím backdoorů. Obecně to, že útočníci takto mohou získávat informace, jak kritické aplikace přesně fungují, jim dává možnost přesněji cílit další útoky.

Jai Vijayan na DarkReading nabízí následující tipy pro zabezpečení vývojového prostředí (respektive systémů CD/CI, DevOps apod.). K jeho doporučením patří:

Inventarizace všech prostředků používaných ve vývojovém prostředí (systémy a zařízení používané jak pro samotný vývoj, tak i pro ukládání dat a řízení přístupu k prostředí). V podkategorii zařízení to znamená počítače, servery, mobilní zařízení, a to včetně systémů používaných ke vzdálenému přístupu, virtuálních a cloudových prostředí. K „aktivům“, tj. využívaným prostředkům, patří samozřejmě i software, kromě zabezpečení aplikací a operačních systémů je třeba do bezpečnostních mechanismů zahrnout také řízení přístupu a protokolů, zabezpečení e-mailu a zavedený systém reakcí na bezpečnostní incidenty.

Nasazení silného ověřování, např. vícefaktorové autentifikace. Mělo by se to týkat zejména práce se samotným kódem, jeho stahování a modifikace. Vývojářům, kteří přejdou na jiné projekty, je třeba oprávnění odebírat.

Posílit řízení změn. Předpokládejme, že některé účty jsou stejně kompromitovány. Změny v kódu by měly vyžadovat schvalování více osobami. Řízení změn, správa oprávnění a audit by se měly týkat jak samotného vývojového prostředí, tak i procesů testování a zajištění kvality, dále i systémů pro další distribuci softwaru. (V kódu SolarWinds byla například pouze přidána zadní vrátka, nešlo o žádný sofistikovaný exploit, ale jednoduše vložený kód, který by při revizi kódu měl být jednoduše odhalitelný.)

K repozitářům kódu by měl být zaveden přístup s nulovou důvěrou. Podniky stále častěji ukládají kód ve veřejných a soukromých cloudech. To je jeden z důvodů, proč je GitHub v posledních letech poměrně oblíbeným cílem útočníků. Metody ochrany, které organizace mohly nasadit k zabezpečení svého lokálního vývojového prostředí, jako jsou firewally, sítě VPN a segmentace sítě, obvykle nestačí k ochraně přístupu k úložištím kódu v cloudu, zvlášť v režimu všudypřítomné práce na dálku. Vhodnou odpovědí je právě princip nulové důvěry pro přístup k libovolnému úložišti kódu, ať už požadavek přichází odkudkoliv.

Finální verze (master copy) libovolného produktu by měla být zálohována na fyzicky odděleném úložném systému. U všech aplikací, spustitelných souborů, kontejnerů a snímků, které budou odeslány do „výroby“ finální verze, je třeba používat nástroje pro správu integrity souborů. Procesy správy změn by měly zahrnovat kontrolu dále distribuované verze softwaru oproti fyzicky zabezpečenému snímku. To je jeden ze způsobů, jak odhalit změny, které útočník mohl skrytě začlenit do kódu těsně před jeho vlastní distribucí.

Monitoring vývojového prostředí z hlediska neobvyklých aktivit (připojování k podezřelým webům, nečekané činnosti u účtů s vysokými oprávněními apod.).

Ochrana dat používaných pro testování. Tato data mohou často obsahovat citlivé informace převzaté přímo z produkčního prostředí. Ačkoli osvědčené postupy vyžadují, aby taková data byla při exportu z vlastního prostředí náležitě ošetřena, běžně obsahují informace umožňující identifikaci osob nebo údaje o účtech a transakcích, které by mohly mít pro útočníky velkou cenu. Je třeba využívat anonymizaci, filtraci a šifrování a především neustále testovací data z hlediska jejich formátu, kontrolovat metadata atd.

Rubriky: Security

Související příspěvky

Zprávičky

Acronis: přes rostoucí útoky jen čtvrtina IT správců testuje obnovu dat alespoň jednou měsíčně

18. 5. 2022
Zprávičky

ŘSD čelí kyberútoku, nedostupný je web, zabývá se tím i kybernetický úřad (aktualizováno)

17. 5. 2022
Ransomwarový útok stojí české oběti 8,25 milionu korun
Zprávičky

Ruský kriminální gang Conti chce pomocí ransomwaru svrhnout vládu v Kostarice

17. 5. 2022
Zprávičky

Kyberzločinci využili k odcizení hesel malware, kterým útočili také na Ukrajině

13. 5. 2022

Komentáře 1

  1. jaasaam says:
    5 měsíců před

    proč přepisujete čtyři měsíce starý článek? originál vyšel 24. srpna

Zprávičky

Microsoft po pokutě mění fungování svého cloudu

ČTK
19. 5. 2022

Americká softwarová společnosti Microsoft, které evropské úřady pro kontrolu hospodářské soutěže udělily pokutu 1,6

MPSV bude mít v červnu či červenci výsledky analýzy k řešení problémů s IT

ČTK
19. 5. 2022

Ministerstvo práce by mělo mít v červnu či červenci jasno, jak bude dál řešit

ČTÚ připraví podmínky pro výběrové řízení na další sítě pro digitální rozhlas

Pavel Houser
19. 5. 2022

ČTÚ letos nachystá podmínky pro výběrové řízení na provozovatele sítí pro vysílání DAB+, tedy

Ruská pobočka Googlu vyhlásí bankrot

ČTK
18. 5. 2022

Ruská součást americké internetové společnosti Google vyhlásí bankrot. Oznámil to dnes mluvčí firmy. Korigoval

Acronis: přes rostoucí útoky jen čtvrtina IT správců testuje obnovu dat alespoň jednou měsíčně

Pavel Houser
18. 5. 2022

I když více než 90 % administrátorů zálohuje u svých zákazníků minimálně jednou denně,

Vodafone zvýšil celoroční základní zisk o 5 % na 15,2 miliardy eur

Pavel Houser
18. 5. 2022

Britská telekomunikační skupina Vodafone Group zvýšila v uplynulém finančním roce základní zisk o pět

ŘSD čelí kyberútoku, nedostupný je web, zabývá se tím i kybernetický úřad (aktualizováno)

ČTK
17. 5. 2022

Ředitelství silnic a dálnic (ŘSD) ČR se dnes ráno stalo terčem kybernetického útoku, nyní

Ransomwarový útok stojí české oběti 8,25 milionu korun

Ruský kriminální gang Conti chce pomocí ransomwaru svrhnout vládu v Kostarice

ČTK
17. 5. 2022

Ruská kriminální skupina Conti, která se specializuje na vydírání po internetu, chce svrhnout vládu

Tiskové zprávy

Acer vybaví své stolní počítače a notebooky ConceptD nejnovějšími procesory Intel Core 12. generace a grafickými kartami NVIDIA RTX

Acer rozšiřuje stereoskopické 3D monitory o modely SpatialLabs View

Společnost Acer rozšiřuje své portfolio ekologicky šetrných produktů Vero

Ransomware: platí více organizací a výkupné je vyšší, platit však není vždy nutné

Prediktivní sítě Cisco: místo řešení problémů jim umí předcházet

VeeamON 2022 představuje vizi budoucnosti moderní ochrany dat

Zpráva dne

Prodej softwaru v květnu: doživotní licence Windows 10 za € 11, Office za € 23 a až 91% slevy!

Prodej softwaru v květnu: doživotní licence Windows 10 za € 11, Office za € 23 a až 91% slevy!

Redakce
15. 5. 2022

Zdaleka ne každý má stovky dolarů, které by chtěl utratit za softwarové upgrady svého...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Datová hydrologie?

Pavel Houser
11. 4. 2022

Po datových skladech přišla datová jezera, následují datové proudy a datové oceány. Tyto technologie alespoň představuje...

Nadcházející akce

  1. Cloud computing v praxi 2022

    19. května
  2. Hannover Messe 2022

    30. května - 2. června

Zobrazit všechny Akce

Slovník

FR

Responsivní design

Site manager

Nejpopulárnější články

Ransomwarový útok stojí české oběti 8,25 milionu korun

Ransomware zasáhl 77 % českých organizací

Redakce
29. 4. 2022

Hrátky s magnetickými víry

Excitony mohou proudit materiálem i při pokojové teplotě

Pavel Houser
2. 5. 2022

Náhlavní soupravy Yealink – ideální volba pro kancelář i home office

Náhlavní soupravy Yealink – ideální volba pro kancelář i home office

itbiz
25. 4. 2022

Technologické predikce, aneb sedm statečných roku 2021

Objev jednosměrné supravodivosti bez magnetického pole slibuje revoluci

Pavel Houser
4. 5. 2022

Válka ukrojí z evropského trhu ICT skoro 2 %

Redakce
27. 4. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události byz Byznys Cloud Ekomerce Hardware inter Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • V CERNu změřili hmotnost kvarku c a kužel partonové spršky
  • Globální oteplování hluboké oceánské proudy zrychluje
  • Genový editor CRISPR přizpůsobili i pro hmyz, začali se šváby

RSS AbcLinuxu RSS

  • Uncurled: zkušenosti s dlouhodobou správou open-source projektu (curl)
  • Erlang/OTP 25.0
  • Deno 1.22

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.