Myvideo

Guest

Login

Захват артефактов: массовая компрометация зависимостей для первоначального доступа

Uploaded By: Myvideo
1 view
0
0 votes
0

Многие из недавних громких атак стали результатом уязвимостей в целостности цепочки поставок. В качестве основного вектора атаки выступало манипулирование зависимостями, позволяющее внешнему злоумышленнику проникнуть через уязвимый процесс SDLC. Этот вектор основан на способности управлять сторонними ресурсами с помощью компонентов. Удалось ли злоумышленнику автоматически компрометировать множество репозиториев и пакетов, массово заполучив первоначальный доступ к разработчикам ПО? Чтобы оценить возможность массовой компрометации, мы проанализировали структуру зависимостей и популярные реестры пакетов (PyPi и NPM). Далее мы выделили ряд артефактов, которые могут контролироваться злоумышленником и быть уязвимыми для атак по захвату контроля. После анализа публичных реестров мы поделимся информацией о том, сколько зависимостей уязвимо ко взлому репозитория и перехвату URL-адресов. Мы также расскажем о том, как атаки с использованием тайпсквоттинга (с помощью суперспособностей LLM) помогают злоумышленнику усилить воздействие, сохранить доступ к SDLC и внедрить вредоносную полезную нагрузку. По итогам доклада мы предоставим метод и инструменты для мониторинга всех артефактов зависимостей, чтобы помочь снизить риск поглощения в CI/CD. В качестве основного вектора атаки выступало манипулирование зависимостями, позволяющее внешнему злоумышленнику проникнуть через уязвимый процесс SDLC. Этот вектор основан на способности управлять сторонними ресурсами с помощью компонентов. В докладе освещаются основные тактики, методы и инструменты злоумышленников, а также стратегии защиты для специалистов по безопасности. Денис Макрушин «МТС-Red»

Share with your friends

Link:

Embed:

Video Size:

Custom size:

x

Add to Playlist:

Favorites
My Playlist
Watch Later