云安全中的”有毒交互”问题

关键要点

• “有毒组合”的概念在云安全中日益受到关注，特别是在软件开发生命周期(SDLC)中的”有毒交互”。
• 这些威胁包括开发者权限过大、工具配置错误及代码漏洞，可能在开发过程中产生严重风险。
• 解决这些问题需要从整体上理解SDLC中的身份、工具及代码之间的复杂关系，以确保安全措施能够有效实施。

在云安全领域，”有毒组合”的概念因Wiz Security的先锋工作而备受关注。这一术语指多个问题意外互动，给攻击者提供了可利用的机会。

然而，当安全行业集中关注基础设施层面的有毒组合时，另一整套威胁正在软件开发生命周期（SDLC）的阴影中酝酿，这就是“有毒交互”。这些威胁利用人类与机器开发活动的复杂互动，工具配置的错误（如源代码管理平台GitHub和GitLab），以及专有和开源代码中的各种漏洞。

最近的
数据泄露事件突显了这些威胁的后果与复杂性。攻击者并非通过暴力破解进入生产应用，而是利用一系列SDLC的弱点：过多的开发者权限、暴露的GitHub配置以及硬编码的凭证。这就像是把蓝图、钥匙和报警代码都摆在眼前。结果，超过15,000个云服务凭证被盗，开发流程被破坏。

问题在于，传统的处理云安全中有毒组合的方法通常只关注独立的配置错误，但这只是解决问题的一个方面。与访问控制、开发者权限、开发者活动和代码漏洞相结合，这些问题在SDLC中形成了更大、更复杂的威胁，组织再也不能忽视。

识别独特的有毒组合非常重要，但将其描述和处理为有毒交互能够为组织提供更清晰、更有效的方法，以实现真正的SDLC安全和治理。

SDLC中“有毒交互”的崛起

有毒交互始于一个身份 ——
这可能是内部或外部的开发者、服务账户，甚至是第三方应用。当一个权限过大的开发者身份通过利用配置错误从而引入代码漏洞时，就会造成一连串风险，迅速升级为威胁，从而危及整个SDLC。

以下是一些这些交互的例子：

组合名称 | 描述
—|—
“机器中的幽灵”组合 | 一个不活跃的用户账户具备过多权限，成为凭证盗窃的首要目标。若与对关键库的无限制访问相结合，恶意演员可造成巨大破坏。
“披羊皮的狼”组合 | 开发者绕过分支保护规则，表现出可疑的提交活动，如大量代码提交、深夜提交或改变敏感文件，可能注入恶意代码。
“虚假批准者”组合 | 来自未知来源的拉取请求被没有提交历史的用户批准，可能让攻击者成功将恶意代码暗中嵌入项目。
“开门”组合 | 一个库对所有人开放，且拉取请求由没有提交历史的用户批准，为恶意代码开辟了一条后门。
“内部威胁”组合 | 一个身份绕过分支保护规则，并结合可疑的提交活动，可能表明内部威胁试图危害代码库。

这些并不是理论上的威胁；它们是当今复杂攻击的现实。解决这些问题需要更深入地理解风险在SDLC中如何产生。

从内部出发，保障SDLC安全，解决传统安全中的不足

尽管很多组织已经实施了各种安全工具和实践，但大多数在有效检测和防止这些有毒交互方面仍
struggles。传统安全解决方案常常孤立运作——独立扫描代码、监控访问或检查配置。这种碎片化的方法造成了在关键安全区域重合时的盲点。

为弥补这些不足，组织需要一种统一的方法，能够识别和中和整个SDLC生态系统中的有毒交互。

保障SDLC安全的第一步是处理来自开发者身份、配置错误工具和漏洞代码所带来的众多