Ataques à cadeia de suprimentos por meio de repositórios públicos têm se tornado mais frequentes. Veja como as empresas podem lidar com essa situação. Conheça a solução ideal!

Há tempos golpes relacionados a ataques de repositórios públicos vêm ganhando força. Os criminosos infectam os computadores dos usuários com malware gerando danos comprometedores.

Este tipo de cenário parece estar ganhando popularidade, um ataque bem-sucedido pode comprometer dezenas ou centenas de milhares de usuários. Tudo depende da popularidade do software desenvolvido com o código do repositório envenenado.

Como os pacotes maliciosos entram nos repositórios?

Conhecida como typosquatting, a técnica depende de desenvolvedores inserirem incorretamente o nome de um pacote e baixarem um malicioso por engano ou, após obterem uma lista de nomes em uma consulta de pesquisa, não saberem qual é genuíno. A tática, geralmente considerada a mais comum para o envenenamento cibernético, foi implantada em ataques por meio do Índice de Pacotes Python e no upload de imagens falsas para o Docker Hub.

No incidente da carteira de criptomoeda Copay, os invasores usaram uma biblioteca cujo repositório estava hospedado no GitHub. Seu criador perdeu o interesse e cedeu os direitos de administrador, comprometendo a popular biblioteca, que muitos desenvolvedores utilizavam em seus produtos.

Às vezes, os cibercriminosos conseguem usar a conta de um desenvolvedor legítimo sem o conhecimento deste e substituir pacotes reais por falsos. Isso aconteceu no caso da ESLint, cujas bibliotecas estavam hospedadas no banco de dados online npm (Node Package Manager).

A raiz do problema

Na verdade, o perigo não está no uso de repositórios públicos, mas em uma falha na abordagem moderna de desenvolvimento de software – a metodologia DevOps. Trata-se de um conjunto de práticas destinadas a encurtar o ciclo de desenvolvimento do programa. O desenvolvimento sempre deve equilibrar segurança e usabilidade. Para se manter competitivo no ambiente de hoje, os desenvolvedores precisam lançar novas versões de programas o mais rápido possível, mas melhorar a usabilidade tende a causar uma queda na qualidade ou um TTM mais longo. Como resultado, os desenvolvedores estão sempre tentando minimizar ou contornar completamente a intervenção do pessoal de segurança em suas atividades.

Como resultado, a segurança da informação praticamente não tem controle dessa parte da infraestrutura. Mas o desenvolvimento, a TI e a segurança estão todos trabalhando em direção a um objetivo comum: um produto de qualidade e seguro entregue em tempo hábil. Uma atualização não é boa se contiver um backdoor ou módulo espião. Portanto, a indústria deve migrar para uma metodologia DevSecOps.

O DevSecOps é uma tentativa de preencher a lacuna entre a segurança e o DevOps, introduzindo uma cultura de segurança cibernética e a aplicação prática de verificações em todos os estágios do processo de desenvolvimento de software sem comprometer a flexibilidade e a velocidade.

Nossa solução!

O mercado carece de ferramentas que protejam especificamente o processo de desenvolvimento de software. Contudo possuímos a proteção exata para este tipo de ação. O Kaspersky Hybrid Cloud Security tem interfaces para interoperabilidade com plataformas de integração contínua (CI) e entrega contínua (CD), como TeamCity e Jenkins. Esta solução pode ser integrada ao processo de desenvolvimento por meio da linha de comando ou de uma interface de programação de aplicativo.

Saiba mais sobre Kaspersky Hybrid Cloud Security e aumente seu repertorio de vendas! Para mais informações, fale com nossos especialistas.

Fonte: Kaspersky (Como garantir a segurança do DevOps (kaspersky.com.br)