Detecting Malicious Activity in CI/CD Pipeline with Tracee and Codecov story.

Aqua Security показали один из примеров, как можно использовать относительно новый инструмент Tracee. Напоминаю, что Tracee - это утилита, которая помогает собирать информацию об активности приложения, которое развернуто на сервере с Tracee, в режиме runtime на основе технологии eBPF (по аналогии с тем, как работают движки Container Runtime в современных средствах защиты класса CSP).

Так вот Аква предлагает запускать Tracee в CI/CD, анализируя аномальную активность собираемых и разворачиваемых приложений. При этом у Tracee появился встроенный набор сигнатур.

Сам автор поста заявляет, что данный механизм защиты может помочь предотвратить индицент аналогичный тому, что произошел с Codecov в апреле 2021 года, когда злоумышленники подменили скрипт Bash Uploader, используемый в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Злоумышленнику удалось воспользоваться ошибкой в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader (наглядный пример supply chain атаки).

Ненавистники сигнатур занегодуют, но стоит признать, что сам по себе подход имеет право на существование.

Помимо анализа работы ПО, используемого в CI/CD на наличие аномалий, важно не забывать про механизмы защиты самого процесса CI/CD: MFA, хранение секретов, изоляция окружений, сетевая безопасность и многое другое. Этой теме в будущем будут посвящены отдельные посты.

#attack #dev #ops

Security Wine (бывший - DevSecOps Wine)

Detecting Malicious Activity in CI/CD Pipeline with Tracee and Codecov story.

Aqua Security показали один из примеров, как можно использовать относительно новый инструмент Tracee. Напоминаю, что Tracee - это утилита, которая помогает собирать информацию об активности приложения, которое развернуто на сервере с Tracee, в режиме runtime на основе технологии eBPF (по аналогии с тем, как работают движки Container Runtime в современных средствах защиты класса CSP).

Так вот Аква предлагает запускать Tracee в CI/CD, анализируя аномальную активность собираемых и разворачиваемых приложений. При этом у Tracee появился встроенный набор сигнатур.

Сам автор поста заявляет, что данный механизм защиты может помочь предотвратить индицент аналогичный тому, что произошел с Codecov в апреле 2021 года, когда злоумышленники подменили скрипт Bash Uploader, используемый в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Злоумышленнику удалось воспользоваться ошибкой в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader (наглядный пример supply chain атаки).

Ненавистники сигнатур занегодуют, но стоит признать, что сам по себе подход имеет право на существование.

Помимо анализа работы ПО, используемого в CI/CD на наличие аномалий, важно не забывать про механизмы защиты самого процесса CI/CD: MFA, хранение секретов, изоляция окружений, сетевая безопасность и многое другое. Этой теме в будущем будут посвящены отдельные посты.

#attack #dev #ops

Aqua

Detecting Malicious Activity in CI/CD Pipeline with Tracee

Embed CI/CD pipeline security into the development lifecycle to shift left and secure applications using Tracee to trace malicious activity in the build

hottg.com/sec_devops/476

6.69K viewsDenis Yakimov, edited  May 17, 2021 at 08:06