Cyber security -6 Module3-2 CI/CD

ci/cd ioc

yennefer 2025-06-07 16:49:18 ‧ 867 瀏覽

分享至

Ongoing Monitoring of CI/CD

持續監控 CI/CD：自動發現威脅

CI/CD (Continuous Integration/Continuous Delivery/Deployment)

CI/CD 監控的目的

保護軟體供應鏈。
自動檢測異常活動和入侵指標（IoC）。
幫助您高效監控並快速發現安全事件。
能快速反應並減少損害

常見 IoC (Indicators of Compromise) 標誌

未授權的程式碼變更 Unauthorized Code Changes:
- 來自不應進行變更的人員，或在奇怪的時間進行修改。
- 可疑的程式碼變更，如混淆性的程式碼、無正當理由的大量刪除或不符合編碼規範的程式碼。
- 非正常或未經核准系統的部署（例如，直接從開發者分支進行的生產部署）。
可疑的部署模式 Suspicious Deployment Patterns：
- 非正常或未經批准系統的部署、
- 不在計劃釋出時間或頻率過高的部署，
- 以及由非正常使用者帳號或不應部署至生產環境的自動化帳號啟動的部署。
依賴項的滲透Compromised Dependencies：
- 包括檢測漏洞 (CVEs) 或
- 嘗試從非官方來源下載依賴項。
- 突然在建置設定中新增意外的相依性。
異常的傳輸管道執行Unusual Pipeline Execution：
- 管線步驟突然失效、
- 執行時間無故變長、
- 步驟順序或執行方式未經批准改變。
機密資訊暴露嘗試Secrets Exposure Attempts：
- 顯示試圖從未經批准的位置獲取秘密的日誌，
- 並監控程式碼中的硬編碼秘密更改是否存在錯誤。

主動透過監控指標(IoCs)確保安全

透過持續監控 CI/CD 管道，專注於自動異常檢測與尋找 IoCs，可以增強安全性並使其更具前瞻性。使用監控工具持續檢查管道活動，可快速回應事件、減少損害並提升對威脅的了解。

Respond to Incidents Quickly 快速應對事件：及早發現IoC可以幫助安全團隊迅速回應潛在攻擊，在攻擊者達成目標之前阻止問題發生。
Limit the Damage 減少損害：基於IoC檢測快速應對能減少安全問題的可能影響，限制攻擊者在管道中的停留時間。
Improve Threat Knowledge 提升威脅知識：檢查IoC可以提供關於攻擊者如何針對您的CI/CD的寶貴信息，這有助於未來改善安全性和威脅追蹤。

實踐方法與工具

要監控 CI/CD 管道並自動發現威脅可以採用以下方法:

方法/工具	功能	舉例/核心得益
**Comprehensive Logging and Auditing
詳細日誌記錄與審計**	紀錄管線執行、程式碼提交與部署的詳細數據，識別異常活動。	使用執行日誌來建立基線，發現管線執行的異常模式。
整合 SIEM 系統	使用機器學習分析並設定規則以偵測大規模異常與已知威脅性事件。	探測已知惡意檔案雜湊值、未授權的秘密存取或連接至惡意伺服器等行為。
Real-time Alerting and Notifications 即時報警通知	及時提醒安全團隊處理異常活動。	未知排程的部署、連續失敗的構建步驟，或異常網絡流量產生的警報。
Continuous Vulnerability Scanning持續性弱點掃描	定期檢測 CI/CD 基礎設施中的漏洞，主動辨識弱點並採取修補措施。	發現工具、容器或插件中的 CVE 或其他弱點並及時修復。
Performance Monitoring to Find IoAs and Discover IoCs 效能監控	通過分析效能異常間接辨識可能的攻擊指標 IoA (Indicators of Attack)。	例如，管線執行時間異常延長可能顯示潛在的入侵行為。

Comprehensive Logging and Auditing

詳細日誌記錄與審計透過詳細的記錄與稽核來進行安全監控
Pipeline執行日誌、程式碼提交日誌、存取日誌以及部署日誌

類型	定義與用途	異常指標 (IoCs)
Pipeline Execution Logs執行日誌	分析CI/CD流水線的執行記錄，自動建立基線模式來檢測異常。	- 超出正常時間的執行步驟- 不預期的執行錯誤/預期的成功率和失敗率- 步驟順序的異常變化alterations in the usual step order
Code Commit Logs程式碼提交日誌	記錄每次流水線執行過程中的程式碼變更狀況。	- 未授權人員的變更- 深夜時段的變更- 巨大的刪除內容或令人困惑的程式碼
Access Logs存取日誌	資料庫存取與登入記錄，監控誰在存取CI/CD平台資源。	- 不尋常的地點或國家的登入- 連續的登入失敗後又成功登入- 企圖更改重要流水線設定
Deployment Logs部署日誌	記錄常見的部署時間頻率及操作，可用來比對部署過程中的異常情況。	- 在非正常時間進行部署- 部署到意外的目標位置

將 CI/CD 日誌與 SIEM 平台結合

Automatically Find Anomalies: SIEM 平台的功能是透過機器學習和分析來自動發現 CI/CD 日誌中的不尋常模式。這些不尋常的模式可能是危害指標（Indicators of Compromise，簡稱 IoCs），需要進一步調查。
Use Rules to Alert for Known IoCs:
- SIEM 允許用戶設置具體的規則來檢測已知的 CI/CD 危害指標。例如，當檢測到特定的惡意文件哈希值存在於構建結果中時，系統會發送警報。這樣的機制有助於即時識別已知攻擊模式或文件。
- SIEM 還能使用威脅情報數據來檢測 CI/CD 伺服器是否連接到已知的惡意指揮和控制（C2）伺服器。一旦發現這種連接，系統也能自動發出警報以提醒用戶。(using threat intelligence data).
- SIEM 可以檢測有人試圖在未經授權的管道步驟中下載或存取私密資料。這有助於防止資料泄露和未經授權的訪問。

Real-time Alerting and Notifications 即時警報和通知

警示場景	描述	可能的安全威脅
不尋常的建構失敗Unusual Build Failures	當管道中的建構步驟反覆失敗，且這些失敗不符合正常情況，例如代碼變更不應引起失敗但仍發生錯誤時。	攻擊者可能篡改代碼或基礎設施，導致建構異常中止。
可疑的代碼變更Suspicious Code Changes (Based on Anomalies)	基於代碼分析工具的警報，檢測異常的代碼變更，如代碼量異常龐大、不熟悉的作者提交或內容混淆的代碼。	攻擊者可能試圖植入惡意代碼，並通過混淆手段避免被察覺。
洩露機密的嘗試Attempts to Expose Secrets	當有人試圖從未經授權的管道區域存取或竊取機密（如憑證、API 金鑰）時觸發警報。	攻擊者可能竊取敏感數據，進一步攻擊內部系統或獲取更高權限。
不尋常的網路流量Unusual Network Traffic	CI/CD 伺服器出現發送至未知或可疑位置的網路流量時觸發警報。	攻擊者可能建立未經授權的連線，將數據發送至遠端伺服器或下載惡意工具。

Performance Monitoring to Find IoAs and Discover IoCs

效能監控以尋找攻擊指標 (IoAs) 並發現妥協指標 (IoCs)
性能監控除了確保系統正常運行外，也能間接幫助尋找IoCs，例如透過查找像突然變慢或CI/CD伺服器資源不足等性能問題（Indicators of Attack - IoAs）進行深入檢查，可能會發現IoCs。

Continuous Vulnerability Scanning

持續弱點掃描
定期檢查CI/CD基礎設施 infrastructure for weaknesses的弱點，可以主動發現漏洞，包括CI/CD工具、插件和容器中的普遍漏洞與暴露（Common Vulnerabilities and Exposures (CVEs）。這些弱點是潛在的攻擊跡象，並需要立即修補以防止攻擊和流水線被破壞。

CompTIA+ 測驗相關考題

哪一類型的日誌最適合用來檢測未授權的程式碼變更？ 程式碼提交日誌
當發現到不尋常的IP地址來源試圖多次登入CI/CD平台時，應檢查哪種類型的記錄檔？Access Logs
在Pipeline執行日誌中發現以下異常，哪一項最適合作為Indicator of Compromise (IoC)？Pipeline步驟的順序發生異常變化

使用自動化監控CI/CD管道，可以發現異常活動並識別關鍵的入侵指標。透過這些資訊，能保護軟體管道並快速應對威脅，讓工程師能夠自信地開發、測試和部署程式碼。在CI/CD中內建安全性，可協助團隊快速並可靠地發布功能、改進及安全更新，同時確保軟體高效交付和具備最高安全性，主動保護組織與客戶。