Търсене
Close this search box.

Не знаете къде са вашите тайни

Знаете ли къде са вашите тайни? Ако не, може  да се каже: не сте сами.

Стотици CISO, CSO и лидери в областта на сигурността, независимо дали са от малки или големи компании, също не знаят. Без значение от размера на организацията, сертификатите, инструментите, хората и процесите: тайните не се виждат в 99% от случаите.

На пръв поглед може да звучи нелепо: пазенето на тайни е очевидна първа мисъл, когато се мисли за сигурността в жизнения цикъл на разработката. Независимо дали в облака или на място, знаете, че вашите тайни се съхраняват безопасно зад стоманени врати, до които имат достъп малко хора. Това не е само въпрос на здрав разум, тъй като е и основно изискване за съответствие при одити и сертифициране на сигурността.

Разработчиците, работещи във вашата организация, са наясно, че с тайните трябва да се работи с особено внимание. Те са въвели специфични инструменти и процедури за правилно създаване, предаване и ротация на човешки или машинни удостоверения.

Все пак знаете ли къде са вашите тайни?

Тайните се разпространяват навсякъде в системите ви, и то по-бързо, отколкото повечето хора си мислят. Тайните се копират и вмъкват в конфигурационни файлове, скриптове, изходен код или лични съобщения, без да се замислят. Помислете за това: разработчикът кодира трудно API ключ, за да тества бързо програма, и по случайност предава и избутва работата си в отдалечено хранилище. Сигурни ли сте, че инцидентът може да бъде открит своевременно?

Недостатъчните възможности за одит и отстраняване на нередности са някои от причините, поради които управлението на тайни е трудно. Те също така са и най-малко адресираните от рамките за сигурност. И все пак тези сиви зони – където невидимите уязвимости остават скрити за дълго време – са явни дупки във вашите защитни слоеве.

Разпознавайки този пропуск, изследователите разработиха инструмент за самооценка, за да оцените размера на тази неизвестност. За да си дадете сметка за реалната си позиция по отношение на сигурността по отношение на тайните във вашата организация, отделете пет минути, за да отговорите на осемте въпроса (напълно анонимно е).

И така, колко не знаете за вашите тайни?

Модел на зрялото  управление на тайни

Доброто управление на тайните е важна защитна тактика, която изисква известно обмисляне, за да се изгради цялостна позиция за сигурност. Изследователите изградиха  рамка (можете да намерите бялата книга тук), за да помогнат на лидерите по сигурността да осмислят действителната си позиция и да приемат по-зрели практики за управление на корпоративните тайни в три фази:

  1. Оценка на рисковете от изтичане на тайни
  2. Създаване на съвременни работни процеси за управление на тайни
  3. Създаване на пътна карта за подобряване на уязвимите области

 

Основният въпрос, който се разглежда в този модел, е, че управлението на тайните надхвърля значително начина, по който организацията ги съхранява и разпространява. Това е програма, която не само трябва да съгласува хората, инструментите и процесите, но и да отчита човешките грешки. Грешките не са неизбежни! Последствията от тях са такива. Ето защо инструментите и политиките за откриване и отстраняване на грешки, заедно със съхранението и разпространението на тайни, формират стълбовете на нашия модел на зрялост.

 

Моделът на зрелостта за управление на тайни разглежда четири повърхности на атака в жизнения цикъл на DevOps:

  • Среда на разработчика
  • Хранилища за изходен код
  • CI/CD конвейери и артефакти
  • Среди за изпълнение

Моделът за повишаване на зрелостта има пет нива – от 0 (непосветен) до 4 (експерт). Преминаването от 0 към 1 е свързано най-вече с оценка на рисковете, породени от несигурните практики за разработване на софтуер, и започване на одит на цифровите активи за твърдо кодирани пълномощия. На междинното ниво (ниво 2) сканирането на тайните е по-систематично и тайните се споделят предпазливо през целия жизнен цикъл на DevOps. Нива 3 (напреднало) и 4 (експертно) са насочени към намаляване на риска с по-ясни политики, по-добри контроли и повишена споделена отговорност за отстраняване на инциденти.

Друго основно съображение за тази рамка е, че затрудняването на използването на тайни в контекста на DevOps неминуемо ще доведе до заобикаляне на съществуващите защитни слоеве. Както при всичко останало в областта на сигурността, отговорите се намират между защитата и гъвкавостта. Ето защо използването на мениджър на сейфове/секрети започва само на междинно ниво. Идеята е, че използването на мениджър на тайни не трябва да се разглежда като самостоятелно решение, а като допълнително ниво на защита. За да бъде ефективно, то изисква другите процеси, като например непрекъснатото сканиране на заявките за изтегляне, да са достатъчно зрели.

Ето някои въпроси, които този модел трябва да повдигне, за да ви помогне да оцените зрелостта си: Колко често се ротират производствените ви тайни? Колко лесно е да се ротират тайните? Как се разпределят тайните във фазата на разработване, интегриране и производство? Какви мерки са въведени, за да се предотврати опасното разпространение на удостоверения на локални машини? Поверителните данни на CI/CD  спазват ли принципа на най-малките привилегии? Какви са процедурите, които се прилагат, когато (а не ако) тайните изтекат?

През 2023 г. прегледът на позицията ви за управление на тайните трябва да бъде на първо място. Първо, всеки, който работи с изходен код, трябва да работи с тайни, ако не ежедневно, то поне от време на време. Тайните вече не са прерогатив на инженерите по сигурността или DevOps. Те се изискват от все повече хора – от ML инженери, специалисти по данни, продуктови, оперативни и дори други. Второ, ако вие не откриете къде са вашите тайни, хакерите ще го направят.

Хакерите ще открият тайните ви

Рисковете за организациите, които не са възприели зрели практики за управление на тайните, не могат да бъдат преувеличени. Средите за разработка, хранилищата за изходен код и CI/CD т се превърнаха в любими мишени на хакерите, за които тайните са врата към странично движение и компрометиране.

Неотдавнашни примери подчертават крехкостта на управлението на тайните дори в най-технологично развитите организации.

През септември 2022 г. нападател получи достъп до вътрешната мрежа на Uber, където намери твърдо кодирани администраторски пълномощия на мрежов диск. Тайните са били използвани за влизане в платформата за управление на привилегирован достъп на Uber, където са били съхранени още много пълномощия в обикновен текст из файлове и скриптове. След това нападателят е успял да завладее администраторски акаунти в AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne и др.

През август същата година мениджърът на пароли LastPass стана жертва на нападател, който получи достъп до  средата за разработка, като открадна идентификационните данни на софтуерен разработчик и се представи за него. По-късно през декември фирмата разкри, че някой е използвал тази информация, за да открадне изходен код и данни за клиенти.

Всъщност през 2022 г. изтичането на изходен код се оказа истинско минно поле за организациите: NVIDIA, Samsung, Microsoft, Dropbox, Okta и Slack, наред с други, са били жертви на изтичане на изходен код. През май предупреждавахме за важния обем удостоверителни данни, които могат да бъдат събрани чрез анализ на тези бази данни с кодове. Въоръжени с тях, нападателите могат да получат влияние и да се насочат към стотици зависими системи в така наречените атаки по веригата на доставки.

И накрая, още по-наскоро, през януари 2023 г., доставчикът на непрекъсната интеграция CircleCI също беше пробит, което доведе до компрометиране на стотици променливи на средата на клиентите, токени и ключове. Компанията призова клиентите си незабавно да сменят своите пароли, SSH ключове или всякакви други тайни, съхранявани в платформата или управлявани от нея. Все пак жертвите трябва да разберат къде се намират тези тайни и как се използват, за да натиснат аварийния бутон!

Това беше силен аргумент за наличието на готов план за действие при извънредни ситуации.

Поуката от всички тези инциденти е, че нападателите са осъзнали, че компрометирането на машинни или човешки самоличности дава по-висока възвращаемост на инвестициите. Всички те са предупредителни знаци за спешната необходимост да се справим с твърдо кодираните идентификационни данни и да изтупаме праха от управлението на тайните като цяло.

И накрая

Имаме една поговорка в областта на киберсигурността: „Криптирането е лесно, но управлението на ключовете е трудно.“ Това е валидно и днес, въпреки че вече не става въпрос само за ключове за криптиране. Нашият свят на хиперсвързани услуги разчита на стотици видове ключове или тайни, за да функционира правилно. Те могат да бъдат толкова много потенциални вектори на атаки, колкото и неправилно управляваните.

Да знаете къде се намират вашите тайни, не само на теория, но и на практика, и как се използват по веригата за разработване на софтуер, е от решаващо значение за сигурността.

Първата стъпка винаги е да се направи ясен одит на позицията на организацията по отношение на сигурността по отношение на тайните: къде и как се използват те? Къде изтичат? Как да се подготвим за най-лошото? Само това може да се окаже спасително в извънредна ситуация. Разберете къде се намирате с помощта на въпросника и научете накъде да поемете с бялата книга.

След неотдавнашните атаки срещу средите за разработка и бизнес инструментите компаниите, които искат да се защитят ефективно, трябва да гарантират, че сивите зони на техния цикъл на разработка ще бъдат изчистени възможно най-скоро.

Източник: The Hacker News

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
Бъдете социални
Още по темата
06/09/2024

Ролята на котвите на довери...

За да се възползват напълно от...
10/08/2024

Какво представлява OAuth? З...

OAuth (Open Authorization – отворена оторизация)...
07/08/2024

Можете ли да създавате и пр...

Понякога хората не са толкова развълнувани,...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!