Меню
Може да е изненадващо, но управлението на тайни се превърна в слона в стаята на AppSec. Докато уязвимостите в сигурността като Common Vulnerabilities and Exposures (CVEs) често заемат първите страници на вестниците в света на киберсигурността, управлението на тайните остава пренебрегван проблем, който може да има незабавни и въздействащи последици за корпоративната безопасност.
Неотдавнашно проучване на GitGuardian установи, че 75% от лицата, вземащи решения в областта на ИТ в САЩ и Обединеното кралство, съобщават за поне една тайна, изтекла от приложение, като 60% от тях са причинили проблеми на компанията или на служителите. Шокиращо е, че по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията „до голяма степен“.
Проучването, озаглавено „Гласът на практиците: The State of Secrets in AppSec (достъпно за безплатно изтегляне тук), предоставя нова перспектива за управлението на тайните, което често се свежда до клишета, които не отразяват оперативната реалност в инженерните отдели.
Въпреки повсеместното им присъствие в съвременните облачни и развойни операции, тайните остават трънлив въпрос дори за най-зрелите организации. Умножаването на броя на тайните, които се използват едновременно в рамките на цикъла на разработка, прави твърде лесно да изпаднат от контрола на разумните мерки за сигурност и да „изтекат“.
Когато дадена тайна изтече, тя вече не е тайна и е достъпна за неоторизирани системи или хора за определен период от време. Изтичането на информация се случва главно вътрешно, защото тайните се копират и поставят в конфигурационни файлове, файлове с изходен код, имейли, приложения за съобщения и др. От решаващо значение е, че ако разработчикът кодира твърдо тайните в своя код или конфигурационни файлове и кодът се изпрати в хранилище на GitHub, тези тайни също се изпращат. Друг най-лош сценарий възниква, когато злонамерен хакер успее да сложи ръка върху вътрешно изтеклите идентификационни данни след първоначалния достъп, подобно на това, което се случи миналата година с Uber.
Проучването „Гласът на практикуващите“ доказва, че опасността от разкриване на тайни се признава от огромното мнозинство от анкетираните. Седемдесет и пет процента от анкетираните са заявили, че в миналото в тяхната организация се е случвало изтичане на тайни, а 60 % са признали, че това е причинило сериозни проблеми на компанията, на служителите или и на двете.
На въпроса за ключовите рискови точки в техните вериги за доставка на софтуер, 58% намират „изходния код и хранилищата“ за основна рискова област, 53% – за „зависимостите от отворен код“ и 47% – за „твърдо кодираните тайни“.
Въпреки това отговорите показват значителна разлика в зрелостта. По-конкретно, по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията в голяма степен:
Освен това повече от една четвърт (27%) от анкетираните признават, че разчитат на ръчни прегледи на кода, за да предотвратят изтичането на тайни, които са особено неефективни при откриването на твърдо кодирани тайни.
И накрая, проучването установи също, че 53% от висшето ръководство (като CSO, CISO и вицепрезиденти по киберсигурността) смятат, че тайните се споделят в свободен текст чрез приложения за съобщения.
Въпреки предизвикателствата, има надежда за подобрение. Проучването разкрива, че 94% от анкетираните планират да подобрят практиките си по отношение на тайните през следващите 12-18 месеца, което е положителна стъпка към по-добро управление на тайните и корпоративна сигурност. Въпреки това си струва да се отбележи, че откриването и поправянето на тайни, както и управлението на тайни, трябва да бъдат приоритетни по отношение на инвестициите в сравнение с други инструменти, като например инструменти за защита по време на изпълнение. Докато 38 % от анкетираните планират да инвестират в инструменти за защита на приложенията по време на изпълнение, само 26 % и 25 % съответно планират да отделят средства за откриване и отстраняване на тайни и за управление на тайни.
Всяка година се разкриват все повече тайни. GitGuardian следи годишния брой на изтичанията на информация в платформата за споделяне на код номер едно – GitHub, и публикува резултатите в годишния си доклад за състоянието на изтичането на тайни. Цифрите отново са повод за тревога: от 3 милиона открити тайни през 2021 г., броят им е скочил до 10 милиона през 2022 г. И това е само върхът на айсберга. По-голямата част от изтичането на информация се случва в рамките на корпоративния периметър, което прави много трудно да се оцени глобалната цифра.
За да се справят с този нарастващ риск, компаниите трябва приоритетно да укрепят управлението на тайните си, за да заздравят защитата си.
В неотдавнашно интервю за GitGuardian бившият CISO на Ubisoft Джейсън Хадикс описва как важността на управлението на тайните е станала очевидна, след като през март 2022 г. компанията е станала мишена на хакерската банда Laspsus$. След като разговарял с 40 други засегнати CISO, той измислил програма по четири оси за разработване на цялостна програма за управление на тайните:
Заключение
Проучването „Гласът на практикуващите“ подчертава значението на цялостната стратегия за тайните в AppSec и предоставя ценни сведения за най-добрите практики за намаляване на рисковете, свързани с разрастването на тайните. Управлението на тайните прилича на дълг, който се натрупва с течение на времето. Ако се чака твърде дълго, слонът в стаята в крайна сметка ще стане твърде голям, за да бъде пренебрегнат, излагайки организацията ви на риск от сериозни последствия.
Ако искате да подобрите програмата си за управление на тайни, една проста стъпка, която можете да предприемете още сега, е да поискате безплатен одит на изтичането на тайни на вашата компания в GitHub от GitGuardian. Автоматичният доклад, който ще получите, ще ви покаже броя на активните разработчици в GitHub, броя на намерените тайни, изложени на риск в хранилищата на GitHub с течение на времето (категоризирани), и процента на валидните тайни сред тях.
Това ще ви помогне да определите точно периметъра на разработчиците си в GitHub, да оцените порядъка на риска, пред който е изправена вашата компания, и да направите първата стъпка към цялостна програма за управление на тайните.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
