Търсене
Close this search box.

Половината лидери в областта на сигурността нямат увереност в защитата на тайните

Може да е изненадващо, но управлението на тайни се превърна в слона в стаята на AppSec. Докато уязвимостите в сигурността като Common Vulnerabilities and Exposures (CVEs) често заемат първите страници на вестниците в света на киберсигурността, управлението на тайните остава пренебрегван проблем, който може да има незабавни и въздействащи последици за корпоративната безопасност.

Неотдавнашно проучване на GitGuardian установи, че 75% от лицата, вземащи решения в областта на ИТ в САЩ и Обединеното кралство, съобщават за поне една тайна, изтекла от приложение, като 60% от тях са причинили проблеми на компанията или на служителите. Шокиращо е, че по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията „до голяма степен“.

Проучването, озаглавено „Гласът на практиците: The State of Secrets in AppSec (достъпно за безплатно изтегляне тук), предоставя нова перспектива за управлението на тайните, което често се свежда до клишета, които не отразяват оперативната реалност в инженерните отдели.

Въпреки повсеместното им присъствие в съвременните облачни и развойни операции, тайните остават трънлив въпрос дори за най-зрелите организации. Умножаването на броя на тайните, които се използват едновременно в рамките на цикъла на разработка, прави твърде лесно да изпаднат от контрола на разумните мерки за сигурност и да „изтекат“.

Защита на тайните на приложенията

Когато дадена тайна изтече, тя вече не е тайна и е достъпна за неоторизирани системи или хора за определен период от време. Изтичането на информация се случва главно вътрешно, защото тайните се копират и поставят в конфигурационни файлове, файлове с изходен код, имейли, приложения за съобщения и др. От решаващо значение е, че ако разработчикът кодира твърдо тайните в своя код или конфигурационни файлове и кодът се изпрати в хранилище на GitHub, тези тайни също се изпращат. Друг най-лош сценарий възниква, когато злонамерен хакер  успее да сложи ръка върху вътрешно изтеклите идентификационни данни след първоначалния достъп, подобно на това, което се случи миналата година с Uber.

Проучването „Гласът на практикуващите“ доказва, че опасността от разкриване на тайни се признава от огромното мнозинство от анкетираните. Седемдесет и пет процента от анкетираните са заявили, че в миналото в тяхната организация се е случвало изтичане на тайни, а 60 % са признали, че това е причинило сериозни проблеми на компанията, на служителите или и на двете.

На въпроса за ключовите рискови точки в техните вериги за доставка на софтуер, 58% намират „изходния код и хранилищата“ за основна рискова област, 53% – за „зависимостите от отворен код“ и 47% – за „твърдо кодираните тайни“.

Въпреки това отговорите показват значителна разлика в зрелостта. По-конкретно, по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията в голяма степен:

Освен това повече от една четвърт (27%) от анкетираните признават, че разчитат на ръчни прегледи на кода, за да предотвратят изтичането на тайни, които са особено неефективни при откриването на твърдо кодирани тайни.

И накрая, проучването установи също, че 53% от висшето ръководство (като CSO, CISO и вицепрезиденти по киберсигурността) смятат, че тайните се споделят в свободен текст чрез приложения за съобщения.

Въпреки предизвикателствата, има надежда за подобрение. Проучването разкрива, че 94% от анкетираните планират да подобрят практиките си по отношение на тайните през следващите 12-18 месеца, което е положителна стъпка към по-добро управление на тайните и корпоративна сигурност. Въпреки това си струва да се отбележи, че откриването и поправянето на тайни, както и управлението на тайни, трябва да бъдат приоритетни по отношение на инвестициите в сравнение с други инструменти, като например инструменти за защита по време на изпълнение. Докато 38 % от анкетираните планират да инвестират в инструменти за защита на приложенията по време на изпълнение, само 26 % и 25 % съответно планират да отделят средства за откриване и отстраняване на тайни и за управление на тайни.

Цялостна програма за управление на тайните

Всяка година се разкриват все повече тайни. GitGuardian следи годишния брой на изтичанията на информация в платформата за споделяне на код номер едно – GitHub, и публикува резултатите в годишния си доклад за състоянието на изтичането на тайни. Цифрите отново са повод за тревога: от 3 милиона открити тайни през 2021 г., броят им е скочил  до 10 милиона през 2022 г. И това е само върхът на айсберга. По-голямата част от изтичането на информация се случва в рамките на корпоративния периметър, което прави много трудно да се оцени глобалната цифра.

За да се справят с този нарастващ риск, компаниите трябва приоритетно да укрепят управлението на тайните си, за да заздравят защитата си.

В неотдавнашно интервю за GitGuardian бившият CISO на Ubisoft Джейсън Хадикс описва как важността на управлението на тайните е станала очевидна, след като през март 2022 г. компанията е станала мишена на хакерската банда Laspsus$. След като разговарял с 40 други засегнати CISO, той измислил програма по четири оси за разработване на цялостна програма за управление на тайните:

  • Откриване: възможността да се открият всички минали изтичания на информация изисква автоматизиран инструмент и е критична стъпка за получаване на видимост за действителната позиция на компанията по отношение на сигурността.
  • Предотвратяване: спестете време за бъдещето, като предотвратите изтичането на информация, доколкото е възможно, с помощта на сигурни предпазни огради, като например  предварителна заявка.
  • Реагирайте: тайните изтичат, защото трябва да бъдат споделени. Наличието на инструменти за съхраняване, споделяне и ротация на тези тайни, заедно с фин контрол на достъпа, също е от решаващо значение.
  • Обучение: Провеждането на постоянни обучителни сесии за тайните, не само за разработчиците, но и за всички служители, гарантира, че се разбират рисковете, свързани с твърдото кодиране на тайни и пароли, както и най-добрите практики.

Заключение 

Проучването „Гласът на практикуващите“ подчертава значението на цялостната стратегия за тайните в AppSec и предоставя ценни сведения за най-добрите практики за намаляване на рисковете, свързани с разрастването на тайните. Управлението на тайните прилича на дълг, който се натрупва с течение на времето. Ако се чака твърде дълго, слонът в стаята в крайна сметка ще стане твърде голям, за да бъде пренебрегнат, излагайки организацията ви на риск от сериозни последствия.

Ако искате да подобрите програмата си за управление на тайни, една проста стъпка, която можете да предприемете още сега, е да поискате безплатен одит на изтичането на тайни на вашата компания в GitHub от GitGuardian. Автоматичният доклад, който ще получите, ще ви покаже броя на активните разработчици в GitHub, броя на намерените тайни, изложени на риск в хранилищата на GitHub с течение на времето (категоризирани), и процента на валидните тайни сред тях.

Това ще ви помогне да определите точно периметъра на разработчиците си в GitHub, да оцените порядъка на риска, пред който е изправена вашата компания, и да направите първата стъпка към цялостна програма за управление на тайните.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
26/02/2024

Организациите са изправени ...

Това може да се превърне в...
24/02/2024

Парите на LockBit

Според анализа на стотици криптовалутни портфейли,...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!