Hackers fortsätter att utnyttja "blindspots" i molnbaserade Git-miljöer. Git är ett bra verktyg för ensam-kodare men inte optimerat för företag gällande säkerhet. Attacker som mot Solarwinds, Kaseya och NotPetya ledde till att flera företag förlorade väldig stora summor. Men även något som är viktigare – tillit.
- NotPetya – Till skillnad från Petya som infekterade via skadliga mailbilagor, utnyttjade NotPetya svagheten EternalBlue. Programvaran infekterar MBR (Master Boot Record) och krypterar hårddiskens filtabell och hindrar systemet från att startas. Därefter kräver programvaran betalning för att få tillbaka åtkomst till dina filer på datorn. Detta var en global attack men främst mot Ukraina. Total förlust $10 miljarder.
- SolarWinds – Hackers committade kod på SolarWinds system Orion utan att någon på företaget märkte något. Efter ett tag skickade som vanligt SolarWinds ut en planerad uppdatering till sina Orion kunder, som innehöll koden som hackare committade. Det ledde till att hackers tog kontroll hos mängder av bolag samt resulterade i förlust på genomsnitt $12 miljoner per företag (Inklusive statliga myndigheter).
- Kaseya - Utpressningsprogram som ställde krav på $70 miljoner, bland annat påverkades svenska livsmedelsbutikskedjan Coop som fick stänga ner 800 butiker i nästan en vecka.
I Git kan i princip vem som helst committa kod. Anställda kan använda sina personliga konton och skriva in vilket namn som helst på författarfältet. Detta gör det enkelt att imitera någon annan och nästan omöjligt att spåra vem som har gjort vad, eller vilka förändringar som har skett. Verktyg som kan öka säkerheten saktar ofta ner arbetet, därav undviker företag ofta dem.
Med Secure DevOps av Beyond Identity får du full kontroll över arbetet. Deras API för att kontrollera avsändare säkerställer att det som committas faktiskt stämmer med beskrivningen och att inget mer lagts till. Användare och enhet paras ihop med phihsing-säkra certifikat vilket eliminerar lösenord och stärker säkerheten. Beyond Identitys lösning för säkra committs funkar med alla de stora plattformarna så som GitHub, GitLab, Bitbucket, CicleCI, Jenkins, Azure Pipelines och Bamboo. Administratörer kan även lägga till regler för att autentiseringen ska fungera, exempelvis:
- OM brandvägg är av DÅ godkänns ej autentisering
- OM o-auktoriserad enhet försöker logga in DÅ godkänns användaren via lösenord och/eller Face ID
Reglerna kan anpassas på massa olika sätt efter egna krav och kan ha flera unika regler.
Vi på Advania kan hjälpa dig och din organisation att utforska, utvärdera och implementera Beyond Identitys lösning Secure DevOps, för en säkrare utveckling av er plattform.