Знаете ли къде са вашите тайни? Ако не, може  да се каже: не сте сами.

Стотици CISO, CSO и лидери в областта на сигурността, независимо дали са от малки или големи компании, също не знаят. Без значение от размера на организацията, сертификатите, инструментите, хората и процесите: тайните не се виждат в 99% от случаите.

На пръв поглед може да звучи нелепо: пазенето на тайни е очевидна първа мисъл, когато се мисли за сигурността в жизнения цикъл на разработката. Независимо дали в облака или на място, знаете, че вашите тайни се съхраняват безопасно зад стоманени врати, до които имат достъп малко хора. Това не е само въпрос на здрав разум, тъй като е и основно изискване за съответствие при одити и сертифициране на сигурността.

Разработчиците, работещи във вашата организация, са наясно, че с тайните трябва да се работи с особено внимание. Те са въвели специфични инструменти и процедури за правилно създаване, предаване и ротация на човешки или машинни удостоверения.

Все пак знаете ли къде са вашите тайни?

Тайните се разпространяват навсякъде в системите ви, и то по-бързо, отколкото повечето хора си мислят. Тайните се копират и вмъкват в конфигурационни файлове, скриптове, изходен код или лични съобщения, без да се замислят. Помислете за това: разработчикът кодира трудно API ключ, за да тества бързо програма, и по случайност предава и избутва работата си в отдалечено хранилище. Сигурни ли сте, че инцидентът може да бъде открит своевременно?

Недостатъчните възможности за одит и отстраняване на нередности са някои от причините, поради които управлението на тайни е трудно. Те също така са и най-малко адресираните от рамките за сигурност. И все пак тези сиви зони – където невидимите уязвимости остават скрити за дълго време – са явни дупки във вашите защитни слоеве.

Разпознавайки този пропуск, изследователите разработиха инструмент за самооценка, за да оцените размера на тази неизвестност. За да си дадете сметка за реалната си позиция по отношение на сигурността по отношение на тайните във вашата организация, отделете пет минути, за да отговорите на осемте въпроса (напълно анонимно е).

И така, колко не знаете за вашите тайни?

Модел на зрялото  управление на тайни

Доброто управление на тайните е важна защитна тактика, която изисква известно обмисляне, за да се изгради цялостна позиция за сигурност. Изследователите изградиха  рамка (можете да намерите бялата книга тук), за да помогнат на лидерите по сигурността да осмислят действителната си позиция и да приемат по-зрели практики за управление на корпоративните тайни в три фази:

  1. Оценка на рисковете от изтичане на тайни
  2. Създаване на съвременни работни процеси за управление на тайни
  3. Създаване на пътна карта за подобряване на уязвимите области

 

Основният въпрос, който се разглежда в този модел, е, че управлението на тайните надхвърля значително начина, по който организацията ги съхранява и разпространява. Това е програма, която не само трябва да съгласува хората, инструментите и процесите, но и да отчита човешките грешки. Грешките не са неизбежни! Последствията от тях са такива. Ето защо инструментите и политиките за откриване и отстраняване на грешки, заедно със съхранението и разпространението на тайни, формират стълбовете на нашия модел на зрялост.

 

Моделът на зрелостта за управление на тайни разглежда четири повърхности на атака в жизнения цикъл на DevOps:

  • Среда на разработчика
  • Хранилища за изходен код
  • CI/CD конвейери и артефакти
  • Среди за изпълнение

Моделът за повишаване на зрелостта има пет нива – от 0 (непосветен) до 4 (експерт). Преминаването от 0 към 1 е свързано най-вече с оценка на рисковете, породени от несигурните практики за разработване на софтуер, и започване на одит на цифровите активи за твърдо кодирани пълномощия. На междинното ниво (ниво 2) сканирането на тайните е по-систематично и тайните се споделят предпазливо през целия жизнен цикъл на DevOps. Нива 3 (напреднало) и 4 (експертно) са насочени към намаляване на риска с по-ясни политики, по-добри контроли и повишена споделена отговорност за отстраняване на инциденти.

Друго основно съображение за тази рамка е, че затрудняването на използването на тайни в контекста на DevOps неминуемо ще доведе до заобикаляне на съществуващите защитни слоеве. Както при всичко останало в областта на сигурността, отговорите се намират между защитата и гъвкавостта. Ето защо използването на мениджър на сейфове/секрети започва само на междинно ниво. Идеята е, че използването на мениджър на тайни не трябва да се разглежда като самостоятелно решение, а като допълнително ниво на защита. За да бъде ефективно, то изисква другите процеси, като например непрекъснатото сканиране на заявките за изтегляне, да са достатъчно зрели.

Ето някои въпроси, които този модел трябва да повдигне, за да ви помогне да оцените зрелостта си: Колко често се ротират производствените ви тайни? Колко лесно е да се ротират тайните? Как се разпределят тайните във фазата на разработване, интегриране и производство? Какви мерки са въведени, за да се предотврати опасното разпространение на удостоверения на локални машини? Поверителните данни на CI/CD  спазват ли принципа на най-малките привилегии? Какви са процедурите, които се прилагат, когато (а не ако) тайните изтекат?

През 2023 г. прегледът на позицията ви за управление на тайните трябва да бъде на първо място. Първо, всеки, който работи с изходен код, трябва да работи с тайни, ако не ежедневно, то поне от време на време. Тайните вече не са прерогатив на инженерите по сигурността или DevOps. Те се изискват от все повече хора – от ML инженери, специалисти по данни, продуктови, оперативни и дори други. Второ, ако вие не откриете къде са вашите тайни, хакерите ще го направят.

Хакерите ще открият тайните ви

Рисковете за организациите, които не са възприели зрели практики за управление на тайните, не могат да бъдат преувеличени. Средите за разработка, хранилищата за изходен код и CI/CD т се превърнаха в любими мишени на хакерите, за които тайните са врата към странично движение и компрометиране.

Неотдавнашни примери подчертават крехкостта на управлението на тайните дори в най-технологично развитите организации.

През септември 2022 г. нападател получи достъп до вътрешната мрежа на Uber, където намери твърдо кодирани администраторски пълномощия на мрежов диск. Тайните са били използвани за влизане в платформата за управление на привилегирован достъп на Uber, където са били съхранени още много пълномощия в обикновен текст из файлове и скриптове. След това нападателят е успял да завладее администраторски акаунти в AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne и др.

През август същата година мениджърът на пароли LastPass стана жертва на нападател, който получи достъп до  средата за разработка, като открадна идентификационните данни на софтуерен разработчик и се представи за него. По-късно през декември фирмата разкри, че някой е използвал тази информация, за да открадне изходен код и данни за клиенти.

Всъщност през 2022 г. изтичането на изходен код се оказа истинско минно поле за организациите: NVIDIA, Samsung, Microsoft, Dropbox, Okta и Slack, наред с други, са били жертви на изтичане на изходен код. През май предупреждавахме за важния обем удостоверителни данни, които могат да бъдат събрани чрез анализ на тези бази данни с кодове. Въоръжени с тях, нападателите могат да получат влияние и да се насочат към стотици зависими системи в така наречените атаки по веригата на доставки.

И накрая, още по-наскоро, през януари 2023 г., доставчикът на непрекъсната интеграция CircleCI също беше пробит, което доведе до компрометиране на стотици променливи на средата на клиентите, токени и ключове. Компанията призова клиентите си незабавно да сменят своите пароли, SSH ключове или всякакви други тайни, съхранявани в платформата или управлявани от нея. Все пак жертвите трябва да разберат къде се намират тези тайни и как се използват, за да натиснат аварийния бутон!

Това беше силен аргумент за наличието на готов план за действие при извънредни ситуации.

Поуката от всички тези инциденти е, че нападателите са осъзнали, че компрометирането на машинни или човешки самоличности дава по-висока възвращаемост на инвестициите. Всички те са предупредителни знаци за спешната необходимост да се справим с твърдо кодираните идентификационни данни и да изтупаме праха от управлението на тайните като цяло.

И накрая

Имаме една поговорка в областта на киберсигурността: „Криптирането е лесно, но управлението на ключовете е трудно.“ Това е валидно и днес, въпреки че вече не става въпрос само за ключове за криптиране. Нашият свят на хиперсвързани услуги разчита на стотици видове ключове или тайни, за да функционира правилно. Те могат да бъдат толкова много потенциални вектори на атаки, колкото и неправилно управляваните.

Да знаете къде се намират вашите тайни, не само на теория, но и на практика, и как се използват по веригата за разработване на софтуер, е от решаващо значение за сигурността.

Първата стъпка винаги е да се направи ясен одит на позицията на организацията по отношение на сигурността по отношение на тайните: къде и как се използват те? Къде изтичат? Как да се подготвим за най-лошото? Само това може да се окаже спасително в извънредна ситуация. Разберете къде се намирате с помощта на въпросника и научете накъде да поемете с бялата книга.

След неотдавнашните атаки срещу средите за разработка и бизнес инструментите компаниите, които искат да се защитят ефективно, трябва да гарантират, че сивите зони на техния цикъл на разработка ще бъдат изчистени възможно най-скоро.

Източник: The Hacker News

Подобни публикации

24 април 2025

Възходът на ИИ -базирания полиморфен фишинг

Екипите по анализ на заплахите наблюдават значително увеличение на ...
24 април 2025

Уязвимост в Erlang/OTP поставя под риск редица ...

Cisco разследва въздействието на наскоро разкрита критична уязвимос...
24 април 2025

Marks & Spencer засегнат от кибератака по В...

Емблематичният британски търговец Marks & Spencer (M&S) е в...
24 април 2025

Над 350 000 пациенти засегнати от пробив в Onsi...

Американският доставчик на медицински услуги Onsite Mammography, оп...
23 април 2025

Кибератака парализира системите на град Абилин,...

Градът Абилин, Тексас, стана жертва на сериозна кибератака, която д...
23 април 2025

Уязвимост доведе до издаване на фалшиви SSL сер...

Уязвимост в процеса за валидация на домейн (Domain Control Validati...
23 април 2025

Proton66 подслонява мащабни кибератаки и зловре...

Изследователи по киберсигурност предупреждават, че руският автономе...
23 април 2025

Злоупотреба с Google Sites

Киберпрестъпници използват уязвимост в Google Sites, за да разпрост...
Бъдете социални
Още по темата
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
16/04/2025

Mултифакторната автентикаци...

С нарастването на киберзаплахите и все...
16/04/2025

Фишингът

Фишингът несъмнено е в залата на...
Последно добавени
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Уязвимост в Erlang/OTP пост...

Cisco разследва въздействието на наскоро разкрита...
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!