KYBEZ

Kybernetické útoky se mění. Zatímco dříve dominovaly viditelné incidenty – výpadky služeb nebo masivní úniky dat – dnes se čím dál častěji odehrávají v tichosti. Bez povšimnutí. A často na místech, kde by je firmy vůbec nečekaly.

Jedním z nejdiskutovanějších témat v komunitě kybernetické bezpečnosti (Reddit, cyber circles) jsou aktuálně útoky zaměřené na vývojové nástroje, CI/CD pipeline a dodavatelské řetězce.

CI/CD jako nový vstupní bod

Nástroje jako GitHub Actions nebo další CI/CD systémy se staly klíčovou součástí vývoje. Automatizují buildy, testování i nasazení. A právě proto jsou pro útočníky tak atraktivní.

Pokud se podaří kompromitovat CI/CD pipeline:

• útočník může vložit škodlivý kód přímo do aplikace
• změny se automaticky propagují dál – často bez lidské kontroly
• kompromitace zasahuje nejen firmu, ale i její zákazníky

Jinými slovy: útok se „legálně“ dostane až do produkce.

Supply chain útoky: problém, který se týká nás všech

Útoky na dodavatelský řetězec nejsou nové, ale jejich četnost i sofistikovanost roste.

Typický scénář:

• firma používá externí knihovnu nebo službu
• tato závislost je kompromitována
• útok se přenese na všechny, kdo ji používají

To se netýká jen open-source balíčků, ale i platforem jako Salesforce nebo cloudových služeb.

Firma může mít perfektní zabezpečení – a přesto být zranitelná kvůli někomu jinému.

Konfigurace: podceňované slabé místo

Velká část aktuálních incidentů nemá původ v sofistikovaném hackingu, ale v něčem mnohem jednodušším: špatném nastavení.

Komunita často upozorňuje na:

• veřejně dostupné repozitáře s citlivými daty
• chybně nastavená oprávnění
• nedostatečně zabezpečené CI/CD workflow
• možnost injection útoků přes build skripty

„Zkontrolujte repozitáře kvůli injection…“ – rada, která se dnes objevuje častěji než kdy dřív.

Útočníci nehledají nejsložitější cestu. Hledají nejsnazší.

Komplexní problém

Tyto typy útoků mají jednu společnou vlastnost:
jsou nenápadné, ale mají obrovský dopad.

• nevyvolají okamžitý alarm
• často nejsou dlouho odhaleny
• zasahují širší ekosystém, ne jen jednu firmu

A hlavně – cílí na důvěru.
Důvěru v kód, nástroje a procesy, na kterých stojí celý digitální svět.

Co by firmy měly dělat

Základ není v jedné technologii, ale v přístupu:

• pravidelně auditovat CI/CD pipeline
• kontrolovat závislosti a dodavatele
• nastavit princip „least privilege“
• důsledně spravovat konfigurace
• zavést kontrolní mechanismy před nasazením kódu

Bezpečnost dnes nezačíná na firewallu. Začíná ve vývoji.

Útoky se přesouvají tam, kde vzniká software.

CI/CD pipeline, konfigurace a dodavatelské řetězce se stávají novým bojištěm. A firmy, které tuto změnu podcení, riskují víc než jen technický problém – riskují důvěru svých zákazníků.