Nicht nur wegen Shai-Hulud, aussi durch KI spitzt sich die Bedrohungslage bei der Software-Supply-Chain zu. L’Absicherung gehört deshalb ganz oben auf die RSSI-Agenda.
Heutige Anwendungen basieren auf zahlreichen Komponenten, von denen jede zusammen mit den Entwicklungsumgebungen selbst eine Angriffsfläche darstellt. Unabhängig davon, ob Unternehmen Code interne entwickeln oder sich auf Drittanbieter verlassen, sollten RSSI, Sicherheitsexperten et Entwickler der Software-Supply-Chain besondere Aufmerksamkeit schenken.
Les risques sont liés à l’exemple de React2Shell, Shai-Hulud ou XZ Utils, toutes les études dans la boutique de logiciels, qui ont eu lieu dans de petits projets et ont lancé des projets massifs. Shai-Hulud est justement ce qui l’inquiète, il signale la fin de l’ère passive de l’Angriffe au niveau des boucles de vie et le début de l’ère active. Cette vérification s’applique également aux logiciels-pipelines.
Traditionell waren Angriffe auf die Lieferkette passive Fallen. Un paquet de fautes de frappe (typosquatting) comme des « demandes » et des « demandes » telles que, lehnte sich zurück et wartete darauf, dass ein müder Entwickler einen Fehler machte. Le rayon d’explosion est linéaire et tous les langages.
Mit Shai-Hulud wurden die Spielregeln verändert, indem es a wurmähnliche Verbreitung einführte. Il s’agit donc d’un chercheur d’entreprise qui est également actif (NPM-Token, GitHub-Geheimnisse). Il s’agit de ces instructions de gestion, d’une version infizierte d’un autre paquet légitime, l’opération est effectuée automatiquement. Im Gegensatz zu Spyware, the verborgen bleiben will, enthalten Varianten von Shai-Hulud un «Dead Man Switch». Lorsqu’il est détecté, celui-ci est bloqué ou analysé par le système, ce qui permet au système d’options de s’ouvrir et de donner à tous les éléments de soi le moyen de s’ouvrir.
Ce site n’est pas plus efficace dans l’application, il s’agit de l’identité des entrepreneurs et des pipelines CI/CD automatisés, qui impliquent des opérations. Était-ce une nonne, quand la prochaine variante du Shai-Hulud et d’autres codes-sprachen était-elle tombée ?
Code-Sprachen comme tickende Zeitbomben
Un exemple de Python, comme le langage KI et la science des données. Le prochain Evolutionsstufe des Supply-Chain-Wurms n’est pas conforme aux normes AWS-Schlüssel, mais il est également difficile de trouver l’assistance de KI-Codierungsassistenten.
Les recherches de sécurité portent sur les « Halluzinations-Hijacking » et les Angreifer Pakete enregistrés ont des outils KI qui existent déjà. Une personne dans le style de Shai-Hulud utilise un ordinateur portable pour créer un Data Scientists, qui a des discussions locales LLM avec des noms de paquets privés et des versions d’articles automatiquement enregistrées. Un Wurm dans ce système écologique n’a pas accès à un site Web pour apporter des informations abstraites, il semble que des modèles financiers subtils soient disponibles, des dates de recherche médicales ou des portes dérobées dans des ensembles de formations KI d’entreprises en construction – Schäden, les méthodes les plus faciles à découvrir. bleiben.
Si vous recherchez des exemples de code Java/JVM ou Rust/Go, vous découvrirez ici les possibilités catastrophiques.
L’attaque de la chaîne d’approvisionnement polyglotte
L’Australien s’est efforcé de faire face à ces attaques de la chaîne d’approvisionnement polyglotte. Derzeit arbeiten Sicherheitsteams isoliert voneinander. AppSec surveille le code, CloudSec sur AWS, NetworkSec surveille le périmètre. Un polyglotte-angriff est prêt à être utilisé, ces silos nahtlos zu durchbrechen.
L’idée est la suivante : une personne utilise une application JavaScript de bas niveau dans un ordinateur portable avec une interface frontend. Il est arrivé que l’entrepreneur soit également en contact avec le backend-Rust-Repository de l’entreprise, qui a créé ces mises à jour et a inséré des scripts de construction dans le pipeline Rust-CI. Le Rust-Pipeline est une date binaire convenue dans un cluster Kubernetes.
L’Angriff est présent dans NPM et a également intégré Binär-Backdoor dans la production d’infrastructure Cloud. L’équipe de sécurité JavaScript n’est pas disponible, mais elle est assez simple pour vous. L’équipe de sécurité Cloud n’a pas réussi à faire tomber le système d’exploitation, car un pipeline CI vertrauenswürdigen a été mis en œuvre sous la forme d’une analyse approfondie. Darauf müssen sich RSSIs einstellen et entsprechende Vorkehrungen treffen.
Lire la suite : Nous vous proposons d’étudier la chaîne d’approvisionnement logicielle
Guide pratique pour les RSSI
Les mesures de protection pour les RSSI sont créées par la loi européenne sur la cyber-résilience (CRA). Il est responsable de l’acquisition de produits numériques pour les acheteurs, les importateurs et les gestionnaires afin que ces produits soient en sécurité au niveau de l’entreprise, mais également au niveau des investisseurs commerciaux. Les nouvelles formules d’offres sont détaillées jusqu’à fin 2027 et s’étendent également sur la sécurité du matériel et des logiciels par la gestion des affaires et les services d’assistance, de manière à ce qu’elles soient intégrées et appliquées de manière appropriée. Darüber Hinaus müssen die trois genannten Akteure in SBOMs and the Bestandteile der Software documentieren.
La nonne de Kraft getretene NIS2-Richtlinie enthält ähnliche Anforderungen für KRITIS-Betreiber, die im NIS2-Umsetzungsgesetz (NIS2UmsuCG) et im KRITIS-Dachgesetz in Bezug auf Produkte and Lieferanten festgehalten werden. Un aperçu des informations disponibles sur OpenKRITIS.
Pour Shai-Hulud und Co., assurez-vous que les RSSI avec leurs équipes partagent les mêmes idées :
- Sie müssen das « implizite Vertrauen » dans Identitäten beenden. Bei den eingangs beschriebenen Szenarien um Shai-Hulud bestand the Problem darin, ass CI/CD-Systemen zu souvent aveugle verraut wird. Les RSSI doivent répondre à leurs questions et leurs équipes ont un aperçu critique de leur travail sur la sécurité des pipelines. Le système CI/CD ne doit pas être automatiquement activé, car une activité légitime est bien sûr avec un jeton d’entrée sécurisé signé. Vous devez définir les priorités en matière de protection de l’identité. Il s’agit d’une solution qui consiste à créer des connexions comme NPM-Token et GitHub-Geheimnisse stehlen, un paquet infizierte automatiquement pour être vérifié. Maßnahmen zum Schutz dieser Identitäten muss daher oberste Priorität eingeräumt werden.
- Sicherheits-Silos sollten aufgelöst werden. De nombreux aspects de la sécurité ne sont pas encore présents dans une gestion übergeordneten. Les outils proposent des solutions pour la sécurité des applications, la sécurité des infrastructures, la sécurité du cloud, la sécurité des réseaux et d’autres solutions pour les différentes régions de la stratégie de sécurité. Sie alle müssen noch enger zusammenarbeiten et vom CISO koordiniert werden. Un risque central représente l’attaque de la chaîne d’approvisionnement polyglotte par les silos. Pour les RSSI, il est dorénavant possible de mettre en place une surveillance complète et efficace. Un jour, il y a des choses à faire : une colère se produit lors du démarrage de JavaScript, grâce à la mise en place de scripts de construction et à la porte dérobée dans le cloud. Souvent, ils ont une vision intégrée, pour tous les problèmes. L’équipe JavaScript ne voit pas le problème plus loin, mais elle est désormais disponible pour l’équipe Cloud du CI-Pipeline. Les RSSI doivent créer des systèmes et des programmes de développement de logiciels pour la construction jusqu’au runtime en cours. Abhilfe schaffen SBOMs, in denen die gesamte verwendete Software documenté wird.
- Auf actif Würmer vorbereiten et den Schutz von KI-Tools gewährleisten. Pour l’absorption des risques de gestion KI, il s’agit du détournement de KI-Tools et de leur manipulation. Zahlreiche Softwareentwickler travaille avec ces outils, un logiciel conçu pour vous. Sicherheitsforscher beobachten bereits, dass Angreifer Pakete einsetzen, die KI-Tools halluzinieren lassen. Aktive Würmer est le prochain Stufe von Bedrohungen. La stratégie de sécurité s’efforce de mettre la sécurité à la portée des professionnels. Les effets du Shai-Hulud sont verbaux et exponentiels. Manuelle Prozesse zur Überprüfung von Paketen reichen bei dieser Geschwindigkeit nicht mehr aus. Cet art de Supply-Chain-Würmern s’est révélé être un « Dead Man Switch », le système des opérations se trouvant à proximité, lorsqu’une analyse a été détectée maintenant. Les RSSI veillent à ce que le protocole soit également au service des entrepreneurs en charge de l’entreprise, avec une assistance juridique aux épines des Angriffs zu bewahren. (jm)
