Търсене
Close this search box.

Не знаете къде са вашите тайни

Знаете ли къде са вашите тайни? Ако не, може  да се каже: не сте сами.

Стотици CISO, CSO и лидери в областта на сигурността, независимо дали са от малки или големи компании, също не знаят. Без значение от размера на организацията, сертификатите, инструментите, хората и процесите: тайните не се виждат в 99% от случаите.

На пръв поглед може да звучи нелепо: пазенето на тайни е очевидна първа мисъл, когато се мисли за сигурността в жизнения цикъл на разработката. Независимо дали в облака или на място, знаете, че вашите тайни се съхраняват безопасно зад стоманени врати, до които имат достъп малко хора. Това не е само въпрос на здрав разум, тъй като е и основно изискване за съответствие при одити и сертифициране на сигурността.

Разработчиците, работещи във вашата организация, са наясно, че с тайните трябва да се работи с особено внимание. Те са въвели специфични инструменти и процедури за правилно създаване, предаване и ротация на човешки или машинни удостоверения.

Все пак знаете ли къде са вашите тайни?

Тайните се разпространяват навсякъде в системите ви, и то по-бързо, отколкото повечето хора си мислят. Тайните се копират и вмъкват в конфигурационни файлове, скриптове, изходен код или лични съобщения, без да се замислят. Помислете за това: разработчикът кодира трудно API ключ, за да тества бързо програма, и по случайност предава и избутва работата си в отдалечено хранилище. Сигурни ли сте, че инцидентът може да бъде открит своевременно?

Недостатъчните възможности за одит и отстраняване на нередности са някои от причините, поради които управлението на тайни е трудно. Те също така са и най-малко адресираните от рамките за сигурност. И все пак тези сиви зони – където невидимите уязвимости остават скрити за дълго време – са явни дупки във вашите защитни слоеве.

Разпознавайки този пропуск, изследователите разработиха инструмент за самооценка, за да оцените размера на тази неизвестност. За да си дадете сметка за реалната си позиция по отношение на сигурността по отношение на тайните във вашата организация, отделете пет минути, за да отговорите на осемте въпроса (напълно анонимно е).

И така, колко не знаете за вашите тайни?

Модел на зрялото  управление на тайни

Доброто управление на тайните е важна защитна тактика, която изисква известно обмисляне, за да се изгради цялостна позиция за сигурност. Изследователите изградиха  рамка (можете да намерите бялата книга тук), за да помогнат на лидерите по сигурността да осмислят действителната си позиция и да приемат по-зрели практики за управление на корпоративните тайни в три фази:

  1. Оценка на рисковете от изтичане на тайни
  2. Създаване на съвременни работни процеси за управление на тайни
  3. Създаване на пътна карта за подобряване на уязвимите области

 

Основният въпрос, който се разглежда в този модел, е, че управлението на тайните надхвърля значително начина, по който организацията ги съхранява и разпространява. Това е програма, която не само трябва да съгласува хората, инструментите и процесите, но и да отчита човешките грешки. Грешките не са неизбежни! Последствията от тях са такива. Ето защо инструментите и политиките за откриване и отстраняване на грешки, заедно със съхранението и разпространението на тайни, формират стълбовете на нашия модел на зрялост.

 

Моделът на зрелостта за управление на тайни разглежда четири повърхности на атака в жизнения цикъл на DevOps:

  • Среда на разработчика
  • Хранилища за изходен код
  • CI/CD конвейери и артефакти
  • Среди за изпълнение

Моделът за повишаване на зрелостта има пет нива – от 0 (непосветен) до 4 (експерт). Преминаването от 0 към 1 е свързано най-вече с оценка на рисковете, породени от несигурните практики за разработване на софтуер, и започване на одит на цифровите активи за твърдо кодирани пълномощия. На междинното ниво (ниво 2) сканирането на тайните е по-систематично и тайните се споделят предпазливо през целия жизнен цикъл на DevOps. Нива 3 (напреднало) и 4 (експертно) са насочени към намаляване на риска с по-ясни политики, по-добри контроли и повишена споделена отговорност за отстраняване на инциденти.

Друго основно съображение за тази рамка е, че затрудняването на използването на тайни в контекста на DevOps неминуемо ще доведе до заобикаляне на съществуващите защитни слоеве. Както при всичко останало в областта на сигурността, отговорите се намират между защитата и гъвкавостта. Ето защо използването на мениджър на сейфове/секрети започва само на междинно ниво. Идеята е, че използването на мениджър на тайни не трябва да се разглежда като самостоятелно решение, а като допълнително ниво на защита. За да бъде ефективно, то изисква другите процеси, като например непрекъснатото сканиране на заявките за изтегляне, да са достатъчно зрели.

Ето някои въпроси, които този модел трябва да повдигне, за да ви помогне да оцените зрелостта си: Колко често се ротират производствените ви тайни? Колко лесно е да се ротират тайните? Как се разпределят тайните във фазата на разработване, интегриране и производство? Какви мерки са въведени, за да се предотврати опасното разпространение на удостоверения на локални машини? Поверителните данни на CI/CD  спазват ли принципа на най-малките привилегии? Какви са процедурите, които се прилагат, когато (а не ако) тайните изтекат?

През 2023 г. прегледът на позицията ви за управление на тайните трябва да бъде на първо място. Първо, всеки, който работи с изходен код, трябва да работи с тайни, ако не ежедневно, то поне от време на време. Тайните вече не са прерогатив на инженерите по сигурността или DevOps. Те се изискват от все повече хора – от ML инженери, специалисти по данни, продуктови, оперативни и дори други. Второ, ако вие не откриете къде са вашите тайни, хакерите ще го направят.

Хакерите ще открият тайните ви

Рисковете за организациите, които не са възприели зрели практики за управление на тайните, не могат да бъдат преувеличени. Средите за разработка, хранилищата за изходен код и CI/CD т се превърнаха в любими мишени на хакерите, за които тайните са врата към странично движение и компрометиране.

Неотдавнашни примери подчертават крехкостта на управлението на тайните дори в най-технологично развитите организации.

През септември 2022 г. нападател получи достъп до вътрешната мрежа на Uber, където намери твърдо кодирани администраторски пълномощия на мрежов диск. Тайните са били използвани за влизане в платформата за управление на привилегирован достъп на Uber, където са били съхранени още много пълномощия в обикновен текст из файлове и скриптове. След това нападателят е успял да завладее администраторски акаунти в AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne и др.

През август същата година мениджърът на пароли LastPass стана жертва на нападател, който получи достъп до  средата за разработка, като открадна идентификационните данни на софтуерен разработчик и се представи за него. По-късно през декември фирмата разкри, че някой е използвал тази информация, за да открадне изходен код и данни за клиенти.

Всъщност през 2022 г. изтичането на изходен код се оказа истинско минно поле за организациите: NVIDIA, Samsung, Microsoft, Dropbox, Okta и Slack, наред с други, са били жертви на изтичане на изходен код. През май предупреждавахме за важния обем удостоверителни данни, които могат да бъдат събрани чрез анализ на тези бази данни с кодове. Въоръжени с тях, нападателите могат да получат влияние и да се насочат към стотици зависими системи в така наречените атаки по веригата на доставки.

И накрая, още по-наскоро, през януари 2023 г., доставчикът на непрекъсната интеграция CircleCI също беше пробит, което доведе до компрометиране на стотици променливи на средата на клиентите, токени и ключове. Компанията призова клиентите си незабавно да сменят своите пароли, SSH ключове или всякакви други тайни, съхранявани в платформата или управлявани от нея. Все пак жертвите трябва да разберат къде се намират тези тайни и как се използват, за да натиснат аварийния бутон!

Това беше силен аргумент за наличието на готов план за действие при извънредни ситуации.

Поуката от всички тези инциденти е, че нападателите са осъзнали, че компрометирането на машинни или човешки самоличности дава по-висока възвращаемост на инвестициите. Всички те са предупредителни знаци за спешната необходимост да се справим с твърдо кодираните идентификационни данни и да изтупаме праха от управлението на тайните като цяло.

И накрая

Имаме една поговорка в областта на киберсигурността: „Криптирането е лесно, но управлението на ключовете е трудно.“ Това е валидно и днес, въпреки че вече не става въпрос само за ключове за криптиране. Нашият свят на хиперсвързани услуги разчита на стотици видове ключове или тайни, за да функционира правилно. Те могат да бъдат толкова много потенциални вектори на атаки, колкото и неправилно управляваните.

Да знаете къде се намират вашите тайни, не само на теория, но и на практика, и как се използват по веригата за разработване на софтуер, е от решаващо значение за сигурността.

Първата стъпка винаги е да се направи ясен одит на позицията на организацията по отношение на сигурността по отношение на тайните: къде и как се използват те? Къде изтичат? Как да се подготвим за най-лошото? Само това може да се окаже спасително в извънредна ситуация. Разберете къде се намирате с помощта на въпросника и научете накъде да поемете с бялата книга.

След неотдавнашните атаки срещу средите за разработка и бизнес инструментите компаниите, които искат да се защитят ефективно, трябва да гарантират, че сивите зони на техния цикъл на разработка ще бъдат изчистени възможно най-скоро.

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
26/04/2024

Мрежови заплахи: Демонстрац...

Проследете тази симулация на реална мрежова...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
09/04/2024

(Пре)откриване на скритата ...

Съвременното нулево доверие е модел за...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!