DevOps چیست و چطور باید بدان امنیت بخشید؟

08 تیر 1399 DevOps چیست و چطور باید بدان امنیت بخشید؟

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ماه گذشته، سایت‌های خبرگزاری آی‌تی گزارش دادند که RubyGems–کانال رسمیِ توزیع آرشیوها برای زبان برنامه‌نویسی Ruby- آلوده شده است. مهاجمی بسته‌های جعلی حاوی یک اسکریپت آلوده را آپلود کرده بود؛ بنابراین تمامی برنامه‌نویسانی که از این مد در پروژه‌های خود استفاده کرده بودند ناخواسته با این بدافزار، کامپیوترهای کاربران را آلوده کردند (همین امر باعث شد آدرس‌های کیف‌پول‌های رمزارز عوض شود). البته این اولین حمله‌ی زنجیره تأمین نبود که مخزن عمومی را اکسپلویت می‌کرد. اما این جنس سناریو به نظر بسیار محبوب می‌آید که البته جای تعجب هم ندارد؛ یک حمله‌ی موفق می‌تواند از ده‌ها تا صدها کاربر قربانی بسازد.

چطور بسته‌های آلوده به مخازن راه پیدا می‌کنند؟

در مورد RubyGems، مجرم سایبری کلی پروژه در مخزن با نام‌هایی مشابه با بسته‌های محبوب و قانونی درست کرده بود. این تکنیک که به typosquatting معروف است تمام نقطه اتکایش این است که توسعه‌دهندگان به طور ناصحیحی نام یک بسته را وارد کرده و تصادفاً بسته آلوده را دانلود کنند و یا تازه جولان دادنشان زمانی شروع می‌شود که توسعه‌دهندگان فهرست نام بسته‌ها را از یک پرسمان جستجوی وب -آن هم بدون اینکه بدانند این بسته‌ها قانونی‌اند یا نه- دریافت کنند. این تاکتیک –به طور کلی رایج‌ترین فن در حوزه سم سایبری[1] است- از طریق مخزن بسته‌های پیتون[2] در حملات به کار گرفته می‌شود و همچنین از آن در آپلود کردن عکس‌های جعلی در Docker Hub استفاده می‌شود. در رخداد کیف‌پول رمزارز Copay، مهاجمین از آرشیوی استفاده کردند که مخزنش روی GitHub میزبانی شد. سازنده‌ی آن علاقه‌اش را از دست داد و بعد حقوق ادمین را فاش و این آرشیو محبوب را دستکاری کرد؛ آرشیوی که بسیاری از توسعه‌دهندگان از آن در تولیدات خود استفاده کرده بودند.

برخی‌اوقات، مجرمان سایبری می‌توانند از اکانت یک توسعه‌دهنده‌ی قانونی بدون اینکه آن توسعه‌دهنده روحش هم از این ماجرا باخبر باشد استفاده کنند و به بسته‌های جعلی را به جای بسته‌های واقعی بگذارند. در مورد ESLint همین اتفاق افتاد؛ آرشیوهای آن در پایگاه اطلاعاتی آنلاین npm (مدیر بسته نود[3]) میزبانی شد.

دستکاری محیط همگردانی

شرکت‌های توسعه‌دهنده‌ی محصولات نرم‌افزاری همچنین به طور بالقوه طعمه‌های چرب و نرمی برای عاملین APT هستند. مواردی از حمله‌ی آن‌ها به کلاینت‌های چنین شرکت‌هایی هر از چندگاهی نظر متخصصین امنیتی را به خود جلب می‌کند:

  • در آگوست 2017، برخی عاملین APT خود را به نرم‌افزاری ساخت شرکت NetSarang (با ماژول‌های آلوده) تجهیز کردند. به نقل از محققین، این مهاجمین ممکن است سرورهای سازه نرم‌افزاری را دستکاری کرده باشند.
  • در سال 2018، مجرمان سایبری سرور سازه اپ Piriform را آلوده کردند که بعدش، سازه‌های برنامه CCleaner به همراه کد منبعی سالم در طول این فرآیند همگردانی به عنوان سلاحی مبارز به کار گرفته شد.
  • در سال 2019، متخصصین ما کمپین APT موسوم به ShadowHammer را که در طول آن مهاجمین بک‌دری را در محصولات نرم‌افزاری از چندین شرکت جاگذاری کردند کشف نمودند. بر اساس نتایج این بررسی، مهاجمین یا به کد منبع دسترسی  نموده و یا در مرحله همگردانی کد آلوده را معرفی کرده بودند.

دستکاری محیط همگردانی نه تنها «آلودگی» محصول نهایی را در پی دارد که همچنین به توزیع بدافزاری مسلح که در خود امضای دیجیتال قانونی از سوی توسعه‌دهنده‌‌ای قابل‌اطمینان را حمل می‌کند می‌انجامد. به همین دلیل است که فرآیند توسعه باید در برابر مداخله‌های خارجی حسابی محافظت گردد.

ریشه‌ی مشکل

در حقیقت، منشأ این خطر استفاده از مخازن عمومی نیست بلکه این خطر ریشه در نقصِ رویکرد مدرنِ توسعه‌ی نرم‌افزار دارد (همان متودولوژیِ DevOps). DevOps مجموعه ایست از اقداماتی که هدفشان کوتاه کردن چرخه توسعه برنامه است. توسعه همیشه باید بین امنیت و کاربردپذیری تعادلی ایجاد کند. توسعه‌دهندگان برای ماندن در فضای رقابتی امروزی باید نسخه‌های جدیدی از برنامه‌ها را (آن هم با حداکثر سرعت) عرضه کنند اما ارتقای کاربردپذیری یا موجب کاهش کیفیت می‌شود و یا TTM طولانی‌تر. در نتیجه، توسعه‌دهندگان همیشه در تلاشند تا مداخله‌ی پرسنل امنیتی را در فعالیت‌هایشان تماماً دور زده و یا میزان مداخله‌ آن‌ها را به حداقل برسانند.

در نتیجه، امنیت اطلاعات عملاً هیچ کنترلی روی این بخش زیرساخت ندارد. اما حوزه‌های توسعه، آی‌تی و امنیت همگی در راستای هدفی مشترک گام برمی‌دارند: تحویل محصولی امن و باکیفیت آن هم سر موقعش. اگر آپدیتی حاوی بک‌در یا ماژول جاسوسی باشد بدرد نمی‌خورد. بنابراین، به نظر ما این صنعت باید به سمت متودولوژی DevSecOps حرکت کند. DevSecOps تلاشی است برای پل زدن میان شکاف امنیتی و DevOps. این کار با معرفی فرهنگ امنیت سایبری و کاربرد اجراییِ بررسی‌های تمام مراحل توسعه‌ی نرم‌افزار (آن هم بدون دستکاری میزان انعطاف و سطح سرعت) صورت می‌گیرد. ما ابزارهایی ارائه می‌دهیم که به جنبه‌ی فنی این فرآیند کمک می‌کند.

راهکار ما

بازار با کمبود ابزارهایی مواجه است که به طور خاص کارشان امنیت‌دهیِ فرآیند توسعه نرم‌افزار می‌باشد. از این رو، ما در آپدیت راهکار Kaspersky Hybrid Cloud Security خود، نیازهای برنامه‌نویسان را مد نظر قرار داده و اجزای این راهکار را با فناوری‌هایی تطبیق دادیم که بواسطه آن‌ها می‌شود ابزارهای امنیتی را بدون اینکه به عملکرد خدشه‌ای وارد شود با فرآیند توسعه ادغام نمود. اینها فناوری‌هایی هستند که عمدتاً مخصوص اسکن مخازن، عکس‌ها و کانتینرها هستند (فناوری‌هایی که جلوی حملات زنجره تأمین را می‌گیرند).

Kaspersky Hybrid Cloud Security رابط‌هایی برای هم‌کنش‌پذیری[4] با پلت‌فرم‌های یکپارچه‌سازی مداوم (CI) و تحویل پیوسته (CD) همچون TeamCity و Jenkins دارد. راهکار ما را می‌توان از طریق خط فرمان یا رابط برنامه‌نویسی یک اپ، در فرآیند توسعه ادغام کرد. هرچند این صرفاً نوآوری راهکار ما نیست!

 

[1] cyberpoisoning

[2] Python Package Index

[3] Node Package Manager

[4] interoperability

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد