Знаете ли къде са вашите тайни? Ако не, може да се каже: не сте сами.
Стотици CISO, CSO и лидери в областта на сигурността, независимо дали са от малки или големи компании, също не знаят. Без значение от размера на организацията, сертификатите, инструментите, хората и процесите: тайните не се виждат в 99% от случаите.
На пръв поглед може да звучи нелепо: пазенето на тайни е очевидна първа мисъл, когато се мисли за сигурността в жизнения цикъл на разработката. Независимо дали в облака или на място, знаете, че вашите тайни се съхраняват безопасно зад стоманени врати, до които имат достъп малко хора. Това не е само въпрос на здрав разум, тъй като е и основно изискване за съответствие при одити и сертифициране на сигурността.
Разработчиците, работещи във вашата организация, са наясно, че с тайните трябва да се работи с особено внимание. Те са въвели специфични инструменти и процедури за правилно създаване, предаване и ротация на човешки или машинни удостоверения.
Все пак знаете ли къде са вашите тайни?
Тайните се разпространяват навсякъде в системите ви, и то по-бързо, отколкото повечето хора си мислят. Тайните се копират и вмъкват в конфигурационни файлове, скриптове, изходен код или лични съобщения, без да се замислят. Помислете за това: разработчикът кодира трудно API ключ, за да тества бързо програма, и по случайност предава и избутва работата си в отдалечено хранилище. Сигурни ли сте, че инцидентът може да бъде открит своевременно?
Недостатъчните възможности за одит и отстраняване на нередности са някои от причините, поради които управлението на тайни е трудно. Те също така са и най-малко адресираните от рамките за сигурност. И все пак тези сиви зони – където невидимите уязвимости остават скрити за дълго време – са явни дупки във вашите защитни слоеве.
Разпознавайки този пропуск, изследователите разработиха инструмент за самооценка, за да оцените размера на тази неизвестност. За да си дадете сметка за реалната си позиция по отношение на сигурността по отношение на тайните във вашата организация, отделете пет минути, за да отговорите на осемте въпроса (напълно анонимно е).
И така, колко не знаете за вашите тайни?
Доброто управление на тайните е важна защитна тактика, която изисква известно обмисляне, за да се изгради цялостна позиция за сигурност. Изследователите изградиха рамка (можете да намерите бялата книга тук), за да помогнат на лидерите по сигурността да осмислят действителната си позиция и да приемат по-зрели практики за управление на корпоративните тайни в три фази:
Основният въпрос, който се разглежда в този модел, е, че управлението на тайните надхвърля значително начина, по който организацията ги съхранява и разпространява. Това е програма, която не само трябва да съгласува хората, инструментите и процесите, но и да отчита човешките грешки. Грешките не са неизбежни! Последствията от тях са такива. Ето защо инструментите и политиките за откриване и отстраняване на грешки, заедно със съхранението и разпространението на тайни, формират стълбовете на нашия модел на зрялост.
Моделът на зрелостта за управление на тайни разглежда четири повърхности на атака в жизнения цикъл на DevOps:
Моделът за повишаване на зрелостта има пет нива – от 0 (непосветен) до 4 (експерт). Преминаването от 0 към 1 е свързано най-вече с оценка на рисковете, породени от несигурните практики за разработване на софтуер, и започване на одит на цифровите активи за твърдо кодирани пълномощия. На междинното ниво (ниво 2) сканирането на тайните е по-систематично и тайните се споделят предпазливо през целия жизнен цикъл на DevOps. Нива 3 (напреднало) и 4 (експертно) са насочени към намаляване на риска с по-ясни политики, по-добри контроли и повишена споделена отговорност за отстраняване на инциденти.
Друго основно съображение за тази рамка е, че затрудняването на използването на тайни в контекста на DevOps неминуемо ще доведе до заобикаляне на съществуващите защитни слоеве. Както при всичко останало в областта на сигурността, отговорите се намират между защитата и гъвкавостта. Ето защо използването на мениджър на сейфове/секрети започва само на междинно ниво. Идеята е, че използването на мениджър на тайни не трябва да се разглежда като самостоятелно решение, а като допълнително ниво на защита. За да бъде ефективно, то изисква другите процеси, като например непрекъснатото сканиране на заявките за изтегляне, да са достатъчно зрели.
Ето някои въпроси, които този модел трябва да повдигне, за да ви помогне да оцените зрелостта си: Колко често се ротират производствените ви тайни? Колко лесно е да се ротират тайните? Как се разпределят тайните във фазата на разработване, интегриране и производство? Какви мерки са въведени, за да се предотврати опасното разпространение на удостоверения на локални машини? Поверителните данни на CI/CD спазват ли принципа на най-малките привилегии? Какви са процедурите, които се прилагат, когато (а не ако) тайните изтекат?
През 2023 г. прегледът на позицията ви за управление на тайните трябва да бъде на първо място. Първо, всеки, който работи с изходен код, трябва да работи с тайни, ако не ежедневно, то поне от време на време. Тайните вече не са прерогатив на инженерите по сигурността или DevOps. Те се изискват от все повече хора – от ML инженери, специалисти по данни, продуктови, оперативни и дори други. Второ, ако вие не откриете къде са вашите тайни, хакерите ще го направят.
Рисковете за организациите, които не са възприели зрели практики за управление на тайните, не могат да бъдат преувеличени. Средите за разработка, хранилищата за изходен код и CI/CD т се превърнаха в любими мишени на хакерите, за които тайните са врата към странично движение и компрометиране.
Неотдавнашни примери подчертават крехкостта на управлението на тайните дори в най-технологично развитите организации.
През септември 2022 г. нападател получи достъп до вътрешната мрежа на Uber, където намери твърдо кодирани администраторски пълномощия на мрежов диск. Тайните са били използвани за влизане в платформата за управление на привилегирован достъп на Uber, където са били съхранени още много пълномощия в обикновен текст из файлове и скриптове. След това нападателят е успял да завладее администраторски акаунти в AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne и др.
През август същата година мениджърът на пароли LastPass стана жертва на нападател, който получи достъп до средата за разработка, като открадна идентификационните данни на софтуерен разработчик и се представи за него. По-късно през декември фирмата разкри, че някой е използвал тази информация, за да открадне изходен код и данни за клиенти.
Всъщност през 2022 г. изтичането на изходен код се оказа истинско минно поле за организациите: NVIDIA, Samsung, Microsoft, Dropbox, Okta и Slack, наред с други, са били жертви на изтичане на изходен код. През май предупреждавахме за важния обем удостоверителни данни, които могат да бъдат събрани чрез анализ на тези бази данни с кодове. Въоръжени с тях, нападателите могат да получат влияние и да се насочат към стотици зависими системи в така наречените атаки по веригата на доставки.
И накрая, още по-наскоро, през януари 2023 г., доставчикът на непрекъсната интеграция CircleCI също беше пробит, което доведе до компрометиране на стотици променливи на средата на клиентите, токени и ключове. Компанията призова клиентите си незабавно да сменят своите пароли, SSH ключове или всякакви други тайни, съхранявани в платформата или управлявани от нея. Все пак жертвите трябва да разберат къде се намират тези тайни и как се използват, за да натиснат аварийния бутон!
Това беше силен аргумент за наличието на готов план за действие при извънредни ситуации.
Поуката от всички тези инциденти е, че нападателите са осъзнали, че компрометирането на машинни или човешки самоличности дава по-висока възвращаемост на инвестициите. Всички те са предупредителни знаци за спешната необходимост да се справим с твърдо кодираните идентификационни данни и да изтупаме праха от управлението на тайните като цяло.
Имаме една поговорка в областта на киберсигурността: „Криптирането е лесно, но управлението на ключовете е трудно.“ Това е валидно и днес, въпреки че вече не става въпрос само за ключове за криптиране. Нашият свят на хиперсвързани услуги разчита на стотици видове ключове или тайни, за да функционира правилно. Те могат да бъдат толкова много потенциални вектори на атаки, колкото и неправилно управляваните.
Да знаете къде се намират вашите тайни, не само на теория, но и на практика, и как се използват по веригата за разработване на софтуер, е от решаващо значение за сигурността.
Първата стъпка винаги е да се направи ясен одит на позицията на организацията по отношение на сигурността по отношение на тайните: къде и как се използват те? Къде изтичат? Как да се подготвим за най-лошото? Само това може да се окаже спасително в извънредна ситуация. Разберете къде се намирате с помощта на въпросника и научете накъде да поемете с бялата книга.
След неотдавнашните атаки срещу средите за разработка и бизнес инструментите компаниите, които искат да се защитят ефективно, трябва да гарантират, че сивите зони на техния цикъл на разработка ще бъдат изчистени възможно най-скоро.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.