Търсене
Close this search box.

Половината лидери в областта на сигурността нямат увереност в защитата на тайните

Може да е изненадващо, но управлението на тайни се превърна в слона в стаята на AppSec. Докато уязвимостите в сигурността като Common Vulnerabilities and Exposures (CVEs) често заемат първите страници на вестниците в света на киберсигурността, управлението на тайните остава пренебрегван проблем, който може да има незабавни и въздействащи последици за корпоративната безопасност.

Неотдавнашно проучване на GitGuardian установи, че 75% от лицата, вземащи решения в областта на ИТ в САЩ и Обединеното кралство, съобщават за поне една тайна, изтекла от приложение, като 60% от тях са причинили проблеми на компанията или на служителите. Шокиращо е, че по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията „до голяма степен“.

Проучването, озаглавено „Гласът на практиците: The State of Secrets in AppSec (достъпно за безплатно изтегляне тук), предоставя нова перспектива за управлението на тайните, което често се свежда до клишета, които не отразяват оперативната реалност в инженерните отдели.

Въпреки повсеместното им присъствие в съвременните облачни и развойни операции, тайните остават трънлив въпрос дори за най-зрелите организации. Умножаването на броя на тайните, които се използват едновременно в рамките на цикъла на разработка, прави твърде лесно да изпаднат от контрола на разумните мерки за сигурност и да „изтекат“.

Защита на тайните на приложенията

Когато дадена тайна изтече, тя вече не е тайна и е достъпна за неоторизирани системи или хора за определен период от време. Изтичането на информация се случва главно вътрешно, защото тайните се копират и поставят в конфигурационни файлове, файлове с изходен код, имейли, приложения за съобщения и др. От решаващо значение е, че ако разработчикът кодира твърдо тайните в своя код или конфигурационни файлове и кодът се изпрати в хранилище на GitHub, тези тайни също се изпращат. Друг най-лош сценарий възниква, когато злонамерен хакер  успее да сложи ръка върху вътрешно изтеклите идентификационни данни след първоначалния достъп, подобно на това, което се случи миналата година с Uber.

Проучването „Гласът на практикуващите“ доказва, че опасността от разкриване на тайни се признава от огромното мнозинство от анкетираните. Седемдесет и пет процента от анкетираните са заявили, че в миналото в тяхната организация се е случвало изтичане на тайни, а 60 % са признали, че това е причинило сериозни проблеми на компанията, на служителите или и на двете.

На въпроса за ключовите рискови точки в техните вериги за доставка на софтуер, 58% намират „изходния код и хранилищата“ за основна рискова област, 53% – за „зависимостите от отворен код“ и 47% – за „твърдо кодираните тайни“.

Въпреки това отговорите показват значителна разлика в зрелостта. По-конкретно, по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията в голяма степен:

Освен това повече от една четвърт (27%) от анкетираните признават, че разчитат на ръчни прегледи на кода, за да предотвратят изтичането на тайни, които са особено неефективни при откриването на твърдо кодирани тайни.

И накрая, проучването установи също, че 53% от висшето ръководство (като CSO, CISO и вицепрезиденти по киберсигурността) смятат, че тайните се споделят в свободен текст чрез приложения за съобщения.

Въпреки предизвикателствата, има надежда за подобрение. Проучването разкрива, че 94% от анкетираните планират да подобрят практиките си по отношение на тайните през следващите 12-18 месеца, което е положителна стъпка към по-добро управление на тайните и корпоративна сигурност. Въпреки това си струва да се отбележи, че откриването и поправянето на тайни, както и управлението на тайни, трябва да бъдат приоритетни по отношение на инвестициите в сравнение с други инструменти, като например инструменти за защита по време на изпълнение. Докато 38 % от анкетираните планират да инвестират в инструменти за защита на приложенията по време на изпълнение, само 26 % и 25 % съответно планират да отделят средства за откриване и отстраняване на тайни и за управление на тайни.

Цялостна програма за управление на тайните

Всяка година се разкриват все повече тайни. GitGuardian следи годишния брой на изтичанията на информация в платформата за споделяне на код номер едно – GitHub, и публикува резултатите в годишния си доклад за състоянието на изтичането на тайни. Цифрите отново са повод за тревога: от 3 милиона открити тайни през 2021 г., броят им е скочил  до 10 милиона през 2022 г. И това е само върхът на айсберга. По-голямата част от изтичането на информация се случва в рамките на корпоративния периметър, което прави много трудно да се оцени глобалната цифра.

За да се справят с този нарастващ риск, компаниите трябва приоритетно да укрепят управлението на тайните си, за да заздравят защитата си.

В неотдавнашно интервю за GitGuardian бившият CISO на Ubisoft Джейсън Хадикс описва как важността на управлението на тайните е станала очевидна, след като през март 2022 г. компанията е станала мишена на хакерската банда Laspsus$. След като разговарял с 40 други засегнати CISO, той измислил програма по четири оси за разработване на цялостна програма за управление на тайните:

  • Откриване: възможността да се открият всички минали изтичания на информация изисква автоматизиран инструмент и е критична стъпка за получаване на видимост за действителната позиция на компанията по отношение на сигурността.
  • Предотвратяване: спестете време за бъдещето, като предотвратите изтичането на информация, доколкото е възможно, с помощта на сигурни предпазни огради, като например  предварителна заявка.
  • Реагирайте: тайните изтичат, защото трябва да бъдат споделени. Наличието на инструменти за съхраняване, споделяне и ротация на тези тайни, заедно с фин контрол на достъпа, също е от решаващо значение.
  • Обучение: Провеждането на постоянни обучителни сесии за тайните, не само за разработчиците, но и за всички служители, гарантира, че се разбират рисковете, свързани с твърдото кодиране на тайни и пароли, както и най-добрите практики.

Заключение 

Проучването „Гласът на практикуващите“ подчертава значението на цялостната стратегия за тайните в AppSec и предоставя ценни сведения за най-добрите практики за намаляване на рисковете, свързани с разрастването на тайните. Управлението на тайните прилича на дълг, който се натрупва с течение на времето. Ако се чака твърде дълго, слонът в стаята в крайна сметка ще стане твърде голям, за да бъде пренебрегнат, излагайки организацията ви на риск от сериозни последствия.

Ако искате да подобрите програмата си за управление на тайни, една проста стъпка, която можете да предприемете още сега, е да поискате безплатен одит на изтичането на тайни на вашата компания в GitHub от GitGuardian. Автоматичният доклад, който ще получите, ще ви покаже броя на активните разработчици в GitHub, броя на намерените тайни, изложени на риск в хранилищата на GitHub с течение на времето (категоризирани), и процента на валидните тайни сред тях.

Това ще ви помогне да определите точно периметъра на разработчиците си в GitHub, да оцените порядъка на риска, пред който е изправена вашата компания, и да направите първата стъпка към цялостна програма за управление на тайните.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
23/07/2024

Грешки в киберсигурността н...

В днешните забързани организации крайните потребители...
22/07/2024

CISA публикува наръчник за ...

Агенцията за киберсигурност и инфраструктурна сигурност...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!