Въпреки че използването на инфраструктурата като код (IaC) придоби значителна популярност, тъй като организациите възприемат изчислителните облаци и практиките на DevOps, скоростта и гъвкавостта, които IaC осигурява, могат да доведат и до възможност за неправилни конфигурации и уязвимости в сигурността.

IaC позволява на организациите да определят и управляват своята инфраструктура с помощта на машинночитаеми конфигурационни файлове, които обикновено се контролират по версии и се третират като код. Неправилните конфигурации на IaC са грешки или пропуски в конфигурацията на инфраструктурните ресурси и среди, които се случват при използването на инструменти и рамки на IaC.

Неправилните конфигурации в IaC могат да доведат до уязвимости в сигурността, оперативни проблеми и дори потенциални нарушения.

Често срещани видове неправилни конфигурации

Често срещаните неправилни конфигурации включват слаб контрол на достъпа, неправилно разкрити портове, несигурни мрежови конфигурации или неправилно управлявани настройки за криптиране. Някои от най-често срещаните видове неправилни конфигурации на сигурността на IaC са:

• Контрол на достъпа: Неправилните конфигурации, свързани с контрола на достъпа, могат да доведат до неоторизиран достъп до ресурси. Това включва проблеми, като например прекалено големи по обхват  разрешения за достъп, неправилно конфигуриран контрол на достъпа, базиран на роли (RBAC), или неправилни правила за групите за сигурност. Атакуващите могат да се възползват от тези неправилни конфигурации, за да получат неоторизиран достъп до чувствителни данни или системи.
• Конфигурация на мрежата: Неправилно конфигуриране на мрежовите настройки може да изложи услугите или приложенията на ненужни рискове. Например, неправилно конфигурирани правила за защитна стена, отворени портове или липса на мрежова сегментация могат да доведат до неоторизиран достъп, мрежови атаки или ексфилтрация на данни.
• Криптиране и защита на данните: Неприлагането на подходящи мерки за криптиране и защита на данните може да доведе до нарушаване на сигурността на данните. Неправилните конфигурации могат да включват некриптиране на данни в покой или при пренос, използване на слаби алгоритми или ключове за криптиране или съхраняване на чувствителни данни на несигурни места.
• Регистриране и наблюдение: Неправилните конфигурации, свързани с регистрирането и мониторинга, могат да възпрепятстват способността за откриване и реагиране на инциденти със сигурността. Това включва неправилно конфигуриране на събирането, обобщаването и съхраняването на дневници или неправилно конфигурирани правила за мониторинг, което води до пропускане на сигнали и забавяне на реакцията при инциденти.
• Управление на тайни: Неправилната конфигурация на IaC може да разкрие чувствителни данни или тайни, като например API ключове, пароли за бази данни или ключове за криптиране. Съхраняването на тайни в обикновен текст, проверката им в системи за контрол на версиите или включването им в шаблони на IaC може да доведе до неоторизиран достъп или злоупотреба.
• Разрешения за ресурси: Неправилно конфигуриране на разрешенията за ресурси може да доведе до прекомерни или недостатъчни привилегии. Прекалено големите по обхват  разрешения могат да позволят неоторизирани действия, докато прекалено ограничаващите разрешения могат да попречат на правилното функциониране или да доведат до оперативни смущения.
• Неправилни конфигурации, специфични за доставчика на облак: Неправилното конфигуриране на IaC може да варира в зависимост от използвания доставчик на облачни услуги. Всеки доставчик разполага със собствен набор от услуги, опции за конфигуриране и контрол на сигурността. Неправилното конфигуриране може да включва неправилно използване или неправилно конфигуриране на конкретни услуги, неспазване на най-добрите практики или пренебрегване на специфичните за доставчика препоръки за сигурност.
• Съответствие и управление: Неправилните конфигурации могат да доведат до неспазване на отрасловите разпоредби, законите за защита на данните или вътрешните изисквания за управление. Неконфигурирането на ресурсите в съответствие с тези насоки може да доведе до правни и регулаторни последици.

Неправилните конфигурации на IaC, разбира се, могат да доведат до уязвимости в сигурността, но също така могат да направят управлението и поддръжката на инфраструктурата по-трудни за мениджърите на AppSec и екипите за разработка. Когато неправилните конфигурации са широко разпространени, става по-трудно да се идентифицират и коригират по време на актуализации, мащабиране или променящи се изисквания към инфраструктурата. Това може да доведе до по-дълги цикли на внедряване, повишен риск от грешки по време на актуализациите и по-висока оперативна сложност.

Освен предизвикателствата, с които се сблъсква организацията при наличие на неправилни конфигурации, те често са сложни за отстраняване от разработчиците. Идентифицирането на първопричината за неправилните конфигурации може да стане все по-трудоемко и сложно, ако не се адресира директно, а разработчиците невинаги знаят как точно да ги  разрешат, което може да доведе до разочарование и претоварване на екипа от разработчици, докато се опитва да разреши проблема.

Представяне на AI Guided Remediation за IaC / KICS

За да улесни екипите за разработване при справянето с различните видове неправилни конфигурации на IaC, Checkmarx представи AI Guided Remediation for IaC Security and KICS.

Платформата за сигурност, с KICS (Keeping Infrastructure as Code Secure) е безплатно решение с отворен код за статичен анализ на IaC файлове. KICS автоматично анализира общи IaC файлове от всякакъв тип, за да открие несигурни конфигурации, които могат да изложат вашите приложения, данни или услуги на атака.анализ на IaC файлове. KICS автоматично анализира общи IaC файлове от всякакъв тип, за да открие несигурни конфигурации, които биха могли да изложат вашите приложения, данни или услуги на атака.

Осъществено от GPT4, AI Guided Remediation предоставя приложими стъпки за отстраняване на грешки и съвети, за да насочва екипите през процеса на отстраняване на IaC неправилни конфигурации, идентифицирани от Checkmarx IaC Security и KICS. Това помага на организациите да се справят с проблемите в своите IaC файлове и да внедряват приложенията си по-бързо и по-безопасно.

IaC Security и AI Guided Remediation е мощна комбинация, която прави по-бързо и по-лесно за разработчиците да разбират по-задълбочено и бързо да отстраняват грешни конфигурации.

Организациите, които искат да използват тази функционалност, могат да бъдат спокойни, знаейки, че собственият им код е защитен. Важното е, че кодът на организацията не се споделя с инструментите за изкуствен интелект.

Освен това AI Guided Remediation открива и премахва тайните, преди да изпрати кода на чата. Тайните, като например API ключове, пароли за бази данни или ключове за криптиране, са чувствителна информация, която никога не трябва да бъде разкривана или споделяна по невнимание. Като интегрират откриването и премахването на тайни в AI Guided Remediation, организациите могат значително да повишат сигурността на своята инфраструктура като код (IaC) и да се защитят от неоторизиран достъп или злоупотреба.