כדי לגרום לכך שקוד יהיה ״מבצעי״ - כלומר יעלה לסביבת הפרודקשן - היה בעבר צורך בהקמת תשתית באופן ידני, על שרתים. כשהגיע ענן המחשוב עלתה רמת העומס איתה יכולה המערכת להתמודד, אך גם עלתה רמת המורכבות של הקמת התשתיות הדרושות לכך. כתוצאה מכך וכתוצאה מהתחרות העזה בשוק - נולד במחלקות הפיתוח הצורך לשחרר קוד באופן מהיר ויעיל יותר. תחום ה-DevOps איפשר זאת. הוא יצר את היכולת להקים תשתית יעילה במספר שלבים: כתיבת הקוד, אחסנתו במאגרי קוד (דוגמת גיטהאב וגיטלאב) במטרה לשתפו בין מתכנתי החברה באופן מסודר, בנייה של הקוד ל"חבילה" שתוכל להשתחרר אל הלקוחות ושחרור החבילה אל הענן. כל היכולות הללו נתנו למפתחים הרבה יותר כוח ושליטה בתשתית הארגון וביכולת להשפיע עליו.
אין ספק שה-DevOps הביא להתפתחות חשובה ומרשימה בעולם הפיתוח, אך הוא גם יצר אתגרי אבטחת מידע חדשים. הוא מפשט את יכולתם של המפתחים להתרכז בעיקר - כתיבת הקוד - אך שלבי עבודתם השונים יוצרים דרישות אבטחה וביקוש לכלי בקרה, שיוודאו שבשום שלב לא תיגרם פגיעה בתשתיות הארגון. בנוסף, שיטות הפיתוח השתנו וכיום מפתחים רגילים לצרוך שירותים ולהתממשק לשירותי צד ג' המסייעים להם בעבודתם. בעצם המעבר הזה צפונה סכנה של חשיפת סודות למערכות שונות וזרות. כך נוצרה בעיית אבטחה נוספת וסכנה לדליפת מידע קריטי, שעלול לאפשר גישה למערכות הארגון.
כלים רבים ושונים זמינים כיום כדי להגן על הקוד ולוודא שאין בו חולשות, אך אלו עובדים בעיקר על סביבת הפרודקשן. תהליכי פריסת התשתית של הארגון לרוב אינם מוגנים מספיק. כך, למשל, הגנה על מאגרי הקוד של הארגון לא תמיד מנוטרת ואין מי שיוודא שאחד המפתחים לא שיתף בטעות קוד ששייך לארגון ברשת ציבורית. גם גישות הרשאה אינן מבוקרות תמיד, מה שיוצר מצב של הרשאת אדמין למי שאינו אמור להיות כזה, או השארת הרשאה לעובד שעזב את החברה. שלב "הכנת החבילה" (build) לא תמיד מפוקח כראוי גם כן. כשל אבטחה בכל אחד משלבי הפיתוח הללו יכול לגרום לנזק שיבוא לידי ביטוי גם בשלבים הבאים - וכל מפתח יודע עד כמה רבים השלבים והפינות הקיימים בתהליך.
אבטחה רב -שכבתית
סייקוד (cycode) הוקמה ב-2019 במטרה לספק הגנה למערכות פיתוח וניהול קוד בהם משתמשים ארגונים. החברה מסוגלת להתממשק לכלים השונים המעורבים בתהליכי הפיתוח, בין אם מדובר במערכות ניהול הקוד, מערכות ה-CI/CD או סביבת הענן. לאחר ההתממשקות, ממופות ההגדרות הקיימות במערכת, הישויות, התהליכים והקשרים ביניהם. הבנתה העמוקה של החברה בתהליכי הפיתוח מאפשרת לה לספק הגנה מקצה לקצה לכל שורת המערכות.
"על-ידי מידול וניתוח המערכות השונות בגרף הידע שלנו, אנחנו יודעים לזהות בעיות אבטחה במערכות, לאבחן פערים בהגדרות בין המערכות, לעזור בתיעדוף בעיות ולאתר ניסיונות לשינויים זדוניים בקוד", אומר דור אטיאס, סמנכ"ל מחקר ופיתוח בחברה. הוא בן 28 עם עשר שנות ניסיון שהתחילו עוד בצבא, שם שימש כקצין ביחידה הטכנולוגית של חיל המודיעין (81). כמי ששימש כמפתח תוכנה, ראש צוות וראש קבוצה במשך חמש שנים בחברת בלייזמטר, מכיר אטיאס את הליכי הפיתוח מהקצה אל הקצה. "הפתרון של סייקוד מספק לארגונים מספר שכבות אבטחה: גישה והרשאה, תצורות אבטחה, מנועי סריקה פנימיים המאפשרים ללקוחות זיהוי שיבוש קוד, דליפת קוד, סודות מקודדים, תצורות שגויות של תשתיות כמו קוד (IaC), הרשאות עודפות ועוד. כל זה בפלטפורמה אחת", הוא מוסיף. "כדי להבטיח שלקוחות לעולם לא יצטרכו לבחור בין אבטחה למהירות, הפלטפורמה של סייקוד מאפשרת הגדרת אוטומציה של תיקונים. היא גם מתחברת לכלי הפיתוח של הארגון ומציפה פערים הקיימים בהם. כך יכולים המפתחים להפסיק להיות שוטרי אבטחת קוד, לנצל באופן מיטבי את מירב זמנם ולהשתמש בחופשיות בתהליכי וכלי העבודה אליהם הם רגילים".
אטיאס מאמין במוצר של החברה ובעובדים שלצדו. "אני בן-אדם שעובד מתשוקה. אני עובד מאוד קשה לקחת את הדבר הזה קדימה", הוא אומר.
הסכנה בתקיפת שרשרת אספקה
כדי להמחיש את הצורך בפלטפורמה דוגמת זו של סייקוד מספר אטיאס על המקרה של חברת קודקוב, המפתחת כלי לסקירת קוד. החברה הפיצה docker image פומבי שהכיל בטעות סיסמאות לסביבת הענן שלה, בה גם מאוחסן סקריפט המהווה רכיב מרכזי במוצר החברה. תוקפים השיגו גישה פנימית למערכת באמצעות הסיסמאות הללו והחליפו את הסקריפט המקורי של קודקוב בסקריפט שנראה אותו דבר, אך מכיל שורת קוד זדונית ששולחת את כל המידע הרגיש לתוך אתר צד שלישי. חברות רבות נפגעו קשות מפריצת האבטחה הזאת. "במקרה כזה הייתה סייקוד יכולה להגן על קודקוב מפני עצמה", מדגיש אטיאס. "הפלטפורמה הייתה מתריעה על כך שיש גישה לאחסון הסקריפט לאנשים לא מורשים, כניסה מ-IP לא מוכר או קריאה לסקריפט של מצד שלישי שלא אומת ואושר. לחברה לא הייתה הגנה כזאת וכך התוקפים השיגו גישה וגרמו נזק לא רק לה עצמה, אלא גם לחברות המשתמשות בכלי שלה. ומכיוון שבין החברות הללו ישנן גם חברות המספקות כלי פיתוח לגופים אחרים - נוצר מעגל בעייתי שמקשה להבין את היקף השפעת המתקפה עד עכשיו. זו דוגמה טובה לתקיפת שרשרת אספקה. האקרים משיגים גישה למוצר של חברה ומשתמשים בו כדי לתקוף את לקוחותיה. לצערי, על הנזקים עוד נשמע כשהפורצים ימשיכו לתקוף חברות אחרות בעזרת המידע שהצליחו לגנוב מקודקוב".
מהם האיומים המרכזיים להם צריכים להיות מודעים ארגונים המשתמשים ב-DevOps?
"איומים מבפנים ומבחוץ, גניבת מידע ודליפת מידע. ארגונים רבים לא מודעים למידה בה שגיאות מקריות מאפשרות דליפת קוד. מומלץ שלאחר שהארגון יוצר רשימת מלאי SCM (משתמשים, קבוצות, הרשאות, מדיניות) הוא גם ייצור שורה של אמצעי אבטחה נוספים כ-Least privilege access policy, enforce multifactor authentication. אלו יוודאו שכל פתח ברשת הוא נחוץ וינטרו את תנועת המידע בארגון. אי אפשר להמעיט בחשיבות של כך. עבור חברות תוכנה הקוד הוא הנכס היקר ביותר. זה מה שמביא את צמיחתן והכנסותיהן, זה למעשה הקניין הרוחני שלהן".
בדיקת אבטחת מערכת קוד חינמית
כדי שארגונים יוכלו לאמוד את מידת סיכוני האבטחה הנשקפת להם, מציעה סייקוד בדיקת אבטחת מערכת קוד חינמית. מדובר בשיחת וידיאו שאורכה כ-45 דקות בה מומחי החברה סורקים את מערכת הקוד של הלקוח, מוצאים פרצות אבטחה שונות, מזהים הרשאות מיותרות וחשבונות מיותמים, מבהירים ללקוח את מצב המערכת שלו וממליצים לו מה לעשות כדי לאטום אותה מפני מפגעים.
את הבדיקה החינמית ניתן להזמין בכתובת: https://calendly.com/cycode-team/cycode-risk-assessment
