CircleCI 安全事件对开发团队的启示

关键要点

概述

尽管许多开发团队仍在努力应对 12 月 CircleCI 黑客事件带来的影响，最近的消息提供了一些希望，同时也警示了开发者账户和开发管道的安全风险。

首先，关于好消息的部分：在 1 月 13 日的报道中，CircleCI 首席技术官 Rob Zuber 表示，自首次披露安全漏洞以来，虽发生了数据偷取外泄事件，但在事件发生的当天仅有五名客户报告了未授权访问第三方系统的情况。这表明，CircleCI 遭受的攻击是针对性的，而非对所有客户及其数据的全面攻击。

然而，坏消息是，Zuber 的后续内容明确表示，该漏洞的影响可能并不会止步于 CircleCI。它为开发运维DevOps组织敲响了警钟，提醒他们重视开发者账户的安全风险，而许多 DevOps 组织对此的准备不足。虽然完全理解 CircleCI 攻击的影响可能需要几个月甚至几年，但我们已经能够提炼出一些重要的教训，供 DevOps 组织参考，不容忽视。

1 重视恶意软件的威胁

根据 Zuber 的叙述，CircleCI 于 2022 年 12 月 16 日首次遭到黑客攻击，黑客通过一种未指明的恶意软件获取了一名 CircleCI 工程师的笔记本电脑，从而窃取其有效的双重身份验证2FA支持的单点登录SSO会话 Cookie。这使得攻击者能够冒充该员工，利用其权限访问 CircleCI 的生产系统。

这起事件的第一环节便是端点保护。由于开发者工作站上的反恶意软件程序未能检测到该恶意代码，攻击者得以获取必要的关键信息如会话 Cookie，从而开展攻击。

反恶意软件在复杂的供应链攻击中似乎容易被忽视，但几乎每一次显著攻击都是从单一终端的漏洞开始的。这使得端点保护软件成为抵御攻击的尖刀。因此，开发组织应尽快加强其恶意软件检测和端点保护的能力。

2 在 DevOps 中实施最小权限原则

CircleCI 攻击为实施用户最小权限的工具、政策及流程再一次提供了证明，能够有效限制恶意行为者的横向移动。Zuber 的报告指出，攻击者利用被入侵开发者的权限访问并外泄了 CircleCI 数据库中的数据，包括客户环境变量、令牌和密钥。

对此事件的回应中，CircleCI 表示已更改其访问政策，限制仅少数员工能访问生产环境。同时还加强了身份验证，增加了额外的 “加级认证” 步骤和控制措施，以防止即便在面临偷取的 2FA 支持的 SSO 会话的情况下发生账户劫持。CircleCI 还增加了对开发者行为的监控和检测，以识别可疑活动。

这里有一个显而易见的教训：DevOps 组织需要投入更多的时间、精力和技术来强化开发者账户及开发环境，从而抵御投机风险。

双重身份验证用于保护开发者账户和开发系统的访问权限，相较于简单的用户名和密码提供了巨大的优势。然而，正如 CircleCI 的漏洞所示，这并非万无一失，也不免受操控。攻击往往无法完全避免，但通过实施最小权限框架，结合强化的多因素身份验证和行为监控，可以在一定程度上限制攻击者在被入侵组织内的横向移动以及攻击升级。

3 关注供应链风险

DevOps 组织需要更积极地监控自身面临的上游软件供应链风险，这也是 CircleCI 事件的主要教训之一。在 1 月 4 日，CircleCI 对此次漏洞的警报相当