|
开发人员发现自己在黑客网站 灰鸽子使用教程,远程控制软件
这是企业需要做什么为了保护他们的开发环境免受攻击。
攻击者长期目标应用程序漏洞来破坏系统和窃取数据,但最近他们已经跳过一个步骤后,直接开发人员使用的工具来构建这些应用程序。
考虑今年早些时候爆发的消息,引起中情局如何苹果公司开发软件的Xcode据称试图妥协。这种违反可能意味着每一个应用程序开发的开发环境,反过来,包含恶意软件,将使其创造者间谍和窥探的人安装这些应用程序,拦截报道的故事美国中央情报局活动窃取机密。“安全研究人员还声称他们已经建立了一个修改版的苹果的专有软件开发工具,Xcode,可以偷偷监视后门到任何应用程序或程序使用工具创建的,”
可以肯定的是,感染开发人员使用的工具,为了妥协他们最终船的应用,使得攻击者非常多汁的目标以及企业的危险和严重威胁。
考虑的蛮力攻击,目标是2013年流行源代码存储库GitHub,无数的帐号被盗后,GitHub禁止它认为是弱密码,并实现率限制登录尝试。
GitHub攻击和攻击Xcode不是孤立的事件。就在上周苹果承认其App Store经历了重大违反涉及成千上万的应用程序。妥协是可能的,当中国开发商的Xcode下载盗版和恶意软件被称为XcodeGhost污染。XcodeGhost妥协Xcode集成开发环境的应用程序创建Xcode的版本将包括随后开发应用程序。苹果移除受感染的应用,估计超过4000受污染的应用已进入应用商店。同时,在2013年,苹果的开发中心拆卸与许多开发人员在较长时间内报道,苹果强迫他们的密码重置。
CBI策略师IT风险管理公司,j·沃尔夫冈•格利希曾解释了为什么最近接二连三的攻击苹果的开发工具是值得注意的。“OS X计算机的数量继续提高在企业环境中。一些组织正在考虑mac(从安全的角度来看)的数字一直很小,大多数[安全]控制是基于windows的,”他说。
“这种类型的攻击——感染编译器——曾经是被高度安全的政府组织视为一个潜在威胁。
你会认为偏执出现这样的场景会影响公众的东西。说,“然而,我们在这里Yossi Naar Cybereason创始人之一漏洞检测软件的提供者。
如果这些类型的两级攻击不再威胁只有偏执狂,目标和企业发展环境,这意味着企业试图确保他们开发和部署安全的应用程序。
“从发展的角度来看,在持续集成和部署的最佳实践会阻止攻击(针对苹果的应用程序商店),”。说格利希曾
威胁和脆弱性分析主管克里斯•Camejo NTT Com安全,同意。“这应该是显而易见的,但开发人员(和其他人)应该只使用软件来自受信任来源的像一个供应商的网站或官方应用商店,或验证软件包下载还没有被篡改通过验证可用的软件数字签名时,“Camejo说。
斯里兰卡拉马纳坦,移动应用开发平台科尼的首席技术官说,同样的适用于开源软件。“保护开发人员,企业需要确保任何软件使用用于审查和安全认证。必须保持警惕在特定开源软件模块,”他说在科尼的发展环境中,拉马纳坦说,科尼开发人员不能使用开源产品,除非特别批准,所有的软件都是静态和动态扫描之前和之后被批准使用,远程控制软件。
“我们也使用电池的内部和外部的笔定期测试,以证明我们所有的运行时。我们确保任何开源软件使用源于一个充满活力的信任社区,并积极支持,没有太多的已知的安全问题(已知问题可以而且应该减轻)和良好的文档记录,”拉马纳坦解释道。
对企业来说,这是重要的开发人员和软件开发连锁保护像任何其他用户和资产,或许在许多情况下。“其他工具链,尤其是开源,验证软件的真实性是很重要的在你使用它。大多数开源项目提供密码散列,您可以使用它们来验证下载软件的真实性,“说鲍比Kuzma CISSP,系统工程师,在核心安全。“将构建服务器视为安全的系统,先进的安全控制,应该使用类似于在处理敏感加密材料将有助于控制对这种类型的威胁,“Kuzma补充道。
好的建议对于任何开发团队。和企业需要确定开发人员在清洁环境中使用独立的系统开发的用于构建应用程序,。增加了格利希曾“构建机器然后保存在一个安全的硬化状态,自动编译。即使开发人员下载恶意代码等XcodeGhost在电脑上,构建计算机保持清洁和提交给应用程序商店是保护,”他说。
”企业,一个强大的网络安全管理程序,监控恶意软件连接到指挥控制电脑的第一道防线,像XcodeGhost识别攻击,“Goerlich补充道。 |
|