Половината лидери в областта на сигурността нямат увереност в защитата на тайните

Половината лидери в областта на сигурността нямат увереност в защитата на тайните
fifa 21

Може да е изненадващо, но управлението на тайни се превърна в слона в стаята на AppSec. Докато уязвимостите в сигурността като Common Vulnerabilities and Exposures (CVEs) често заемат първите страници на вестниците в света на киберсигурността, управлението на тайните остава пренебрегван проблем, който може да има незабавни и въздействащи последици за корпоративната безопасност.

Неотдавнашно проучване на GitGuardian установи, че 75% от лицата, вземащи решения в областта на ИТ в САЩ и Обединеното кралство, съобщават за поне една тайна, изтекла от приложение, като 60% от тях са причинили проблеми на компанията или на служителите. Шокиращо е, че по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията “до голяма степен”.

Проучването, озаглавено “Гласът на практиците: The State of Secrets in AppSec (достъпно за безплатно изтегляне тук), предоставя нова перспектива за управлението на тайните, което често се свежда до клишета, които не отразяват оперативната реалност в инженерните отдели.

Въпреки повсеместното им присъствие в съвременните облачни и развойни операции, тайните остават трънлив въпрос дори за най-зрелите организации. Умножаването на броя на тайните, които се използват едновременно в рамките на цикъла на разработка, прави твърде лесно да изпаднат от контрола на разумните мерки за сигурност и да “изтекат”.

Защита на тайните на приложенията

Когато дадена тайна изтече, тя вече не е тайна и е достъпна за неоторизирани системи или хора за определен период от време. Изтичането на информация се случва главно вътрешно, защото тайните се копират и поставят в конфигурационни файлове, файлове с изходен код, имейли, приложения за съобщения и др. От решаващо значение е, че ако разработчикът кодира твърдо тайните в своя код или конфигурационни файлове и кодът се изпрати в хранилище на GitHub, тези тайни също се изпращат. Друг най-лош сценарий възниква, когато злонамерен хакер  успее да сложи ръка върху вътрешно изтеклите идентификационни данни след първоначалния достъп, подобно на това, което се случи миналата година с Uber.

Проучването “Гласът на практикуващите” доказва, че опасността от разкриване на тайни се признава от огромното мнозинство от анкетираните. Седемдесет и пет процента от анкетираните са заявили, че в миналото в тяхната организация се е случвало изтичане на тайни, а 60 % са признали, че това е причинило сериозни проблеми на компанията, на служителите или и на двете.

На въпроса за ключовите рискови точки в техните вериги за доставка на софтуер, 58% намират “изходния код и хранилищата” за основна рискова област, 53% – за “зависимостите от отворен код” и 47% – за “твърдо кодираните тайни”.

Въпреки това отговорите показват значителна разлика в зрелостта. По-конкретно, по-малко от половината от анкетираните (48%) са уверени в способността си да защитават тайните на приложенията в голяма степен:

Освен това повече от една четвърт (27%) от анкетираните признават, че разчитат на ръчни прегледи на кода, за да предотвратят изтичането на тайни, които са особено неефективни при откриването на твърдо кодирани тайни.

И накрая, проучването установи също, че 53% от висшето ръководство (като CSO, CISO и вицепрезиденти по киберсигурността) смятат, че тайните се споделят в свободен текст чрез приложения за съобщения.

Въпреки предизвикателствата, има надежда за подобрение. Проучването разкрива, че 94% от анкетираните планират да подобрят практиките си по отношение на тайните през следващите 12-18 месеца, което е положителна стъпка към по-добро управление на тайните и корпоративна сигурност. Въпреки това си струва да се отбележи, че откриването и поправянето на тайни, както и управлението на тайни, трябва да бъдат приоритетни по отношение на инвестициите в сравнение с други инструменти, като например инструменти за защита по време на изпълнение. Докато 38 % от анкетираните планират да инвестират в инструменти за защита на приложенията по време на изпълнение, само 26 % и 25 % съответно планират да отделят средства за откриване и отстраняване на тайни и за управление на тайни.

Цялостна програма за управление на тайните

Всяка година се разкриват все повече тайни. GitGuardian следи годишния брой на изтичанията на информация в платформата за споделяне на код номер едно – GitHub, и публикува резултатите в годишния си доклад за състоянието на изтичането на тайни. Цифрите отново са повод за тревога: от 3 милиона открити тайни през 2021 г., броят им е скочил  до 10 милиона през 2022 г. И това е само върхът на айсберга. По-голямата част от изтичането на информация се случва в рамките на корпоративния периметър, което прави много трудно да се оцени глобалната цифра.

За да се справят с този нарастващ риск, компаниите трябва приоритетно да укрепят управлението на тайните си, за да заздравят защитата си.

В неотдавнашно интервю за GitGuardian бившият CISO на Ubisoft Джейсън Хадикс описва как важността на управлението на тайните е станала очевидна, след като през март 2022 г. компанията е станала мишена на хакерската банда Laspsus$. След като разговарял с 40 други засегнати CISO, той измислил програма по четири оси за разработване на цялостна програма за управление на тайните:

  • Откриване: възможността да се открият всички минали изтичания на информация изисква автоматизиран инструмент и е критична стъпка за получаване на видимост за действителната позиция на компанията по отношение на сигурността.
  • Предотвратяване: спестете време за бъдещето, като предотвратите изтичането на информация, доколкото е възможно, с помощта на сигурни предпазни огради, като например  предварителна заявка.
  • Реагирайте: тайните изтичат, защото трябва да бъдат споделени. Наличието на инструменти за съхраняване, споделяне и ротация на тези тайни, заедно с фин контрол на достъпа, също е от решаващо значение.
  • Обучение: Провеждането на постоянни обучителни сесии за тайните, не само за разработчиците, но и за всички служители, гарантира, че се разбират рисковете, свързани с твърдото кодиране на тайни и пароли, както и най-добрите практики.

Заключение 

Проучването “Гласът на практикуващите” подчертава значението на цялостната стратегия за тайните в AppSec и предоставя ценни сведения за най-добрите практики за намаляване на рисковете, свързани с разрастването на тайните. Управлението на тайните прилича на дълг, който се натрупва с течение на времето. Ако се чака твърде дълго, слонът в стаята в крайна сметка ще стане твърде голям, за да бъде пренебрегнат, излагайки организацията ви на риск от сериозни последствия.

Ако искате да подобрите програмата си за управление на тайни, една проста стъпка, която можете да предприемете още сега, е да поискате безплатен одит на изтичането на тайни на вашата компания в GitHub от GitGuardian. Автоматичният доклад, който ще получите, ще ви покаже броя на активните разработчици в GitHub, броя на намерените тайни, изложени на риск в хранилищата на GitHub с течение на времето (категоризирани), и процента на валидните тайни сред тях.

Това ще ви помогне да определите точно периметъра на разработчиците си в GitHub, да оцените порядъка на риска, пред който е изправена вашата компания, и да направите първата стъпка към цялостна програма за управление на тайните.

 

/e-security.bg

Сподели в:

Категории:

Следвай ни в: