Не знаете къде са вашите тайни

Знаете ли къде са вашите тайни? Ако не, може  да се каже: не сте сами.

Стотици CISO, CSO и лидери в областта на сигурността, независимо дали са от малки или големи компании, също не знаят. Без значение от размера на организацията, сертификатите, инструментите, хората и процесите: тайните не се виждат в 99% от случаите.

На пръв поглед може да звучи нелепо: пазенето на тайни е очевидна първа мисъл, когато се мисли за сигурността в жизнения цикъл на разработката. Независимо дали в облака или на място, знаете, че вашите тайни се съхраняват безопасно зад стоманени врати, до които имат достъп малко хора. Това не е само въпрос на здрав разум, тъй като е и основно изискване за съответствие при одити и сертифициране на сигурността.

Разработчиците, работещи във вашата организация, са наясно, че с тайните трябва да се работи с особено внимание. Те са въвели специфични инструменти и процедури за правилно създаване, предаване и ротация на човешки или машинни удостоверения.

Все пак знаете ли къде са вашите тайни?

Тайните се разпространяват навсякъде в системите ви, и то по-бързо, отколкото повечето хора си мислят. Тайните се копират и вмъкват в конфигурационни файлове, скриптове, изходен код или лични съобщения, без да се замислят. Помислете за това: разработчикът кодира трудно API ключ, за да тества бързо програма, и по случайност предава и избутва работата си в отдалечено хранилище. Сигурни ли сте, че инцидентът може да бъде открит своевременно?

Недостатъчните възможности за одит и отстраняване на нередности са някои от причините, поради които управлението на тайни е трудно. Те също така са и най-малко адресираните от рамките за сигурност. И все пак тези сиви зони – където невидимите уязвимости остават скрити за дълго време – са явни дупки във вашите защитни слоеве.

Разпознавайки този пропуск, изследователите разработиха инструмент за самооценка, за да оцените размера на тази неизвестност. За да си дадете сметка за реалната си позиция по отношение на сигурността по отношение на тайните във вашата организация, отделете пет минути, за да отговорите на осемте въпроса (напълно анонимно е).

И така, колко не знаете за вашите тайни?

Модел на зрялото  управление на тайни

Доброто управление на тайните е важна защитна тактика, която изисква известно обмисляне, за да се изгради цялостна позиция за сигурност. Изследователите изградиха  рамка (можете да намерите бялата книга тук), за да помогнат на лидерите по сигурността да осмислят действителната си позиция и да приемат по-зрели практики за управление на корпоративните тайни в три фази:

  1. Оценка на рисковете от изтичане на тайни
  2. Създаване на съвременни работни процеси за управление на тайни
  3. Създаване на пътна карта за подобряване на уязвимите области

 

Основният въпрос, който се разглежда в този модел, е, че управлението на тайните надхвърля значително начина, по който организацията ги съхранява и разпространява. Това е програма, която не само трябва да съгласува хората, инструментите и процесите, но и да отчита човешките грешки. Грешките не са неизбежни! Последствията от тях са такива. Ето защо инструментите и политиките за откриване и отстраняване на грешки, заедно със съхранението и разпространението на тайни, формират стълбовете на нашия модел на зрялост.

 

Моделът на зрелостта за управление на тайни разглежда четири повърхности на атака в жизнения цикъл на DevOps:

  • Среда на разработчика
  • Хранилища за изходен код
  • CI/CD конвейери и артефакти
  • Среди за изпълнение

Моделът за повишаване на зрелостта има пет нива – от 0 (непосветен) до 4 (експерт). Преминаването от 0 към 1 е свързано най-вече с оценка на рисковете, породени от несигурните практики за разработване на софтуер, и започване на одит на цифровите активи за твърдо кодирани пълномощия. На междинното ниво (ниво 2) сканирането на тайните е по-систематично и тайните се споделят предпазливо през целия жизнен цикъл на DevOps. Нива 3 (напреднало) и 4 (експертно) са насочени към намаляване на риска с по-ясни политики, по-добри контроли и повишена споделена отговорност за отстраняване на инциденти.

Друго основно съображение за тази рамка е, че затрудняването на използването на тайни в контекста на DevOps неминуемо ще доведе до заобикаляне на съществуващите защитни слоеве. Както при всичко останало в областта на сигурността, отговорите се намират между защитата и гъвкавостта. Ето защо използването на мениджър на сейфове/секрети започва само на междинно ниво. Идеята е, че използването на мениджър на тайни не трябва да се разглежда като самостоятелно решение, а като допълнително ниво на защита. За да бъде ефективно, то изисква другите процеси, като например непрекъснатото сканиране на заявките за изтегляне, да са достатъчно зрели.

Ето някои въпроси, които този модел трябва да повдигне, за да ви помогне да оцените зрелостта си: Колко често се ротират производствените ви тайни? Колко лесно е да се ротират тайните? Как се разпределят тайните във фазата на разработване, интегриране и производство? Какви мерки са въведени, за да се предотврати опасното разпространение на удостоверения на локални машини? Поверителните данни на CI/CD  спазват ли принципа на най-малките привилегии? Какви са процедурите, които се прилагат, когато (а не ако) тайните изтекат?

През 2023 г. прегледът на позицията ви за управление на тайните трябва да бъде на първо място. Първо, всеки, който работи с изходен код, трябва да работи с тайни, ако не ежедневно, то поне от време на време. Тайните вече не са прерогатив на инженерите по сигурността или DevOps. Те се изискват от все повече хора – от ML инженери, специалисти по данни, продуктови, оперативни и дори други. Второ, ако вие не откриете къде са вашите тайни, хакерите ще го направят.

Хакерите ще открият тайните ви

Рисковете за организациите, които не са възприели зрели практики за управление на тайните, не могат да бъдат преувеличени. Средите за разработка, хранилищата за изходен код и CI/CD т се превърнаха в любими мишени на хакерите, за които тайните са врата към странично движение и компрометиране.

Неотдавнашни примери подчертават крехкостта на управлението на тайните дори в най-технологично развитите организации.

През септември 2022 г. нападател получи достъп до вътрешната мрежа на Uber, където намери твърдо кодирани администраторски пълномощия на мрежов диск. Тайните са били използвани за влизане в платформата за управление на привилегирован достъп на Uber, където са били съхранени още много пълномощия в обикновен текст из файлове и скриптове. След това нападателят е успял да завладее администраторски акаунти в AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne и др.

През август същата година мениджърът на пароли LastPass стана жертва на нападател, който получи достъп до  средата за разработка, като открадна идентификационните данни на софтуерен разработчик и се представи за него. По-късно през декември фирмата разкри, че някой е използвал тази информация, за да открадне изходен код и данни за клиенти.

Всъщност през 2022 г. изтичането на изходен код се оказа истинско минно поле за организациите: NVIDIA, Samsung, Microsoft, Dropbox, Okta и Slack, наред с други, са били жертви на изтичане на изходен код. През май предупреждавахме за важния обем удостоверителни данни, които могат да бъдат събрани чрез анализ на тези бази данни с кодове. Въоръжени с тях, нападателите могат да получат влияние и да се насочат към стотици зависими системи в така наречените атаки по веригата на доставки.

И накрая, още по-наскоро, през януари 2023 г., доставчикът на непрекъсната интеграция CircleCI също беше пробит, което доведе до компрометиране на стотици променливи на средата на клиентите, токени и ключове. Компанията призова клиентите си незабавно да сменят своите пароли, SSH ключове или всякакви други тайни, съхранявани в платформата или управлявани от нея. Все пак жертвите трябва да разберат къде се намират тези тайни и как се използват, за да натиснат аварийния бутон!

Това беше силен аргумент за наличието на готов план за действие при извънредни ситуации.

Поуката от всички тези инциденти е, че нападателите са осъзнали, че компрометирането на машинни или човешки самоличности дава по-висока възвращаемост на инвестициите. Всички те са предупредителни знаци за спешната необходимост да се справим с твърдо кодираните идентификационни данни и да изтупаме праха от управлението на тайните като цяло.

И накрая

Имаме една поговорка в областта на киберсигурността: „Криптирането е лесно, но управлението на ключовете е трудно.“ Това е валидно и днес, въпреки че вече не става въпрос само за ключове за криптиране. Нашият свят на хиперсвързани услуги разчита на стотици видове ключове или тайни, за да функционира правилно. Те могат да бъдат толкова много потенциални вектори на атаки, колкото и неправилно управляваните.

Да знаете къде се намират вашите тайни, не само на теория, но и на практика, и как се използват по веригата за разработване на софтуер, е от решаващо значение за сигурността.

Първата стъпка винаги е да се направи ясен одит на позицията на организацията по отношение на сигурността по отношение на тайните: къде и как се използват те? Къде изтичат? Как да се подготвим за най-лошото? Само това може да се окаже спасително в извънредна ситуация. Разберете къде се намирате с помощта на въпросника и научете накъде да поемете с бялата книга.

След неотдавнашните атаки срещу средите за разработка и бизнес инструментите компаниите, които искат да се защитят ефективно, трябва да гарантират, че сивите зони на техния цикъл на разработка ще бъдат изчистени възможно най-скоро.

Източник: The Hacker News

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
Бъдете социални
Още по темата
15/09/2023

Международен ден на самолич...

Този блог е различен от тези,...
15/09/2023

Как да разпознаем фалшиво о...

Подобно на повечето хора, вероятно четете...
14/09/2023

Какво представлява киберзас...

В днешния пейзаж на заплахи за...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!