- Pesquisadores de segurança discutiram vulnerabilidades em infraestrutura como código (IaC)
- Existem várias maneiras diferentes pelas quais os criminosos podem abusar dos sistemas
- Os problemas também compartilham mecanismos de defesa e soluções alternativas
Problemas de segurança com ferramentas especializadas de infraestrutura como código (IaC) e política como código (PaC) podem colocar plataformas inteiras, em todos os lugares, em risco, alertaram os especialistas.
Um relatório de pesquisadores de segurança cibernética da Tenable revelou como certas ferramentas usadas para ajudar a gerenciar a infraestrutura e as políticas de nuvem, como o Terraform e o Open Policy Agent (OPA), podem ser sequestradas e utilizadas de forma maliciosa.
Essas ferramentas usam linguagens de codificação simplificadas que devem torná-las mais seguras do que as linguagens de programação normais, mas ainda apresentam suas falhas.
Como defender
“Como essas linguagens são robustas e com capacidades limitadas, elas deveriam ser mais seguras que as linguagens de programação padrão – e de fato são. No entanto, mais seguro não significa à prova de balas”, disseram os pesquisadores.
Discutindo o OPA, a Tenable explicou que é um produto que permite às organizações impor regras, ou políticas, para gerenciar recursos em nuvem. Ele usa uma linguagem chamada Rego para essas regras. Se um agente de ameaça roubar uma chave de acesso, ele poderá adicionar uma política Rego falsa, aprovando atividades maliciosas, como o roubo de dados confidenciais.
O Terraform, por outro lado, ajuda as empresas a definir e gerenciar configurações de nuvem por meio de código. Como processa comandos durante os fluxos de trabalho, permite que hackers injetem código malicioso nos processos, que a ferramenta executa antes que alguém perceba. Em teoria, os criminosos poderiam adicionar uma “fonte de dados” falsa que resultasse em atividades maliciosas.
Para se proteger contra esses ataques, os pesquisadores sugerem que as equipes usem o controle de acesso baseado em função (RBAC) para dar às pessoas as permissões mínimas necessárias, registrar ações no nível do aplicativo e da nuvem para facilitar a detecção de comportamento suspeito e limitar quais aplicativos e máquinas podem acessar. em termos de dados e redes.
Além disso, eles sugerem evitar que códigos ou alterações não revisados sejam executados automaticamente em fluxos de trabalho e usar ferramentas como Terrascan e Checkov para verificar problemas no código de infraestrutura antes de sua implantação.