Sırlarının nerede olduğunu biliyor musun? Değilse, size söyleyebilirim: yalnız değilsiniz.
Küçük veya büyük şirketlerden yüzlerce CISO, STK ve güvenlik lideri de bilmiyor. Kuruluşun boyutu, sertifikalar, araçlar, kişiler ve süreçler ne olursa olsun: Vakaların %99’unda sırlar görünmez.
İlk başta saçma gelebilir: geliştirme yaşam döngüsünde güvenlik düşünüldüğünde sır saklamak ilk akla gelen şeydir. İster bulutta ister şirket içinde olsun, sırlarınızın çok az kişinin erişebileceği sert kapıların arkasında güvenle saklandığını bilirsiniz. Bu sadece bir sağduyu meselesi değildir çünkü aynı zamanda güvenlik denetimleri ve sertifikaları için temel bir uyum gerekliliğidir.
Kuruluşunuzda çalışan geliştiriciler, sırların özel bir özenle ele alınması gerektiğinin farkındadır. İnsan veya makine kimlik bilgilerini doğru şekilde oluşturmak, iletmek ve döndürmek için belirli araçlar ve prosedürler uygulamışlardır.
Yine de sırlarınızın nerede olduğunu biliyor musunuz?
Sırlar sistemlerinizde her yere yayılır ve çoğu kişinin düşündüğünden daha hızlı. Sırlar kopyalanır ve yapılandırma dosyalarına, komut dosyalarına, kaynak koduna veya özel mesajlara fazla düşünülmeden yapıştırılır. Bir düşünün: Bir geliştirici, bir programı hızlı bir şekilde test etmek için bir API anahtarını sabit kodlar ve yanlışlıkla çalışmalarını uzak bir havuza gönderir ve gönderir. Olayın zamanında tespit edilebileceğinden emin misiniz?
Yetersiz denetim ve iyileştirme yetenekleri, sır yönetiminin zor olmasının nedenlerinden bazılarıdır. Ayrıca güvenlik çerçeveleri tarafından en az ele alınanlardır. Yine de, görünmeyen güvenlik açıklarının uzun süre saklı kaldığı bu gri alanlar, savunma katmanlarınızda açık deliklerdir.
Bu boşluğu fark ederek, bu bilinmeyenin boyutunu değerlendirmek için bir öz değerlendirme aracı geliştirdik. stok almak için gerçek kuruluşunuzdaki sırlarla ilgili güvenlik duruşu, yanıtlamak için beş dakikanızı ayırın sekiz soru (tamamen anonimdir).
Peki sen ne kadar olumsuzluk sırlarını biliyor musun?
Sırlar Yönetimi Olgunluk Modeli
Sağlam sır yönetimi, kapsamlı bir güvenlik duruşu oluşturmak için biraz düşünmeyi gerektiren çok önemli bir savunma taktiğidir. Bir çerçeve oluşturduk (teknik belgeyi bulabilirsiniz) burada) güvenlik liderlerinin gerçek duruşlarını anlamalarına ve üç aşamada daha olgun kurumsal sır yönetimi uygulamalarını benimsemelerine yardımcı olmak için:
- Sırların sızma risklerini değerlendirme
- Modern sır yönetimi iş akışları oluşturma
- Kırılgan alanlarda iyileştirme için bir yol haritası oluşturmak
Bu modelin ele aldığı temel nokta, sır yönetiminin organizasyonun sırları nasıl sakladığı ve dağıttığının çok ötesine geçtiğidir. İnsanları, araçları ve süreçleri hizalaması gerekmeyen, aynı zamanda insan hatasını da hesaba katması gereken bir programdır. Hatalar olumsuzluk kaçınılmaz! Onların sonuçları. Bu nedenle, sır saklama ve dağıtmanın yanı sıra tespit ve düzeltme araçları ve politikaları olgunluk modelimizin temel direklerini oluşturur.
Sır yönetimi olgunluk modeli, DevOps yaşam döngüsünün dört saldırı yüzeyini dikkate alır:
- Geliştirici ortamları
- Kaynak kodu havuzları
- CI/CD ardışık düzenleri ve yapıları
- Çalışma zamanı ortamları
Ardından, 0’dan (Başlatılmamış) 4’e (Uzman) giden beş düzeyde bir olgunluk artışı oluşturduk. 0’dan 1’e gitmek, çoğunlukla güvenli olmayan yazılım geliştirme uygulamalarının ortaya koyduğu riskleri değerlendirmek ve dijital varlıkları sabit kodlanmış kimlik bilgileri için denetlemeye başlamakla ilgilidir. Orta düzeyde (seviye 2), sır taraması daha sistematiktir ve sırlar, DevOps yaşam döngüsü boyunca dikkatli bir şekilde paylaşılır. Seviye 3 (Gelişmiş) ve Seviye 4 (Uzman), daha net politikalar, daha iyi kontroller ve olayları düzeltmeye yönelik artan ortak sorumluluk ile risk hafifletmeye odaklanır.
Bu çerçeve için bir başka temel husus, bir DevOps bağlamında sırların kullanılmasını zorlaştırmanın, kaçınılmaz olarak yerinde koruyucu katmanların atlanmasına yol açacağıdır. Güvenlikle ilgili diğer her şeyde olduğu gibi, cevaplar koruma ve esneklik arasındadır. Bu nedenle kasa/sırlar yöneticisinin kullanımı yalnızca orta düzeyde başlar. Buradaki fikir, bir sır yöneticisinin kullanımının tek başına bir çözüm olarak değil, ek bir savunma katmanı olarak görülmesi gerektiğidir. Etkili olması için, çekme isteklerinin sürekli taranması gibi diğer süreçlerin yeterince olgun olmasını gerektirir.
Olgunluğunuzu değerlendirmenize yardımcı olması için bu modelin ortaya atması gereken bazı sorular şunlardır: Üretim sırlarınız ne sıklıkta döndürülüyor? Sırları döndürmek ne kadar kolay? Geliştirme, entegrasyon ve üretim aşamasında sırlar nasıl dağıtılır? Kimlik bilgilerinin yerel makinelerde güvenli olmayan bir şekilde dağıtılmasını önlemek için hangi önlemler alınmaktadır? CI/CD ardışık düzenlerinin kimlik bilgileri en az ayrıcalık ilkesine uygun mu? Sırların sızdırılması (eğer sızdırılmaması) durumunda uygulanan prosedürler nelerdir?
2023’te sır yönetimi duruşunuzu gözden geçirmek her zaman ilk akla gelen olmalıdır. İlk olarak, kaynak koduyla çalışan herkes, her gün olmasa da en az arada bir sırlarla uğraşmak zorundadır. Sırlar artık güvenlik veya DevOps mühendislerinin ayrıcalığı değildir. Makine öğrenimi mühendisleri, veri bilimcileri, ürün, operasyonlar ve daha pek çok kişi tarafından giderek daha fazla kişi tarafından talep ediliyor. İkincisi, sırlarınızın nerede olduğunu siz bulamazsanız bilgisayar korsanları bulacaktır.
Bilgisayar korsanları sırlarınızı bulacak
Olgun sır yönetimi uygulamalarını benimsemede başarısız olan kuruluşların maruz kaldığı riskler abartılamaz. Geliştirme ortamları, kaynak kodu havuzları ve CI/CD ardışık düzenleri, sırları yanal hareket ve uzlaşmaya açılan bir kapı olarak gören bilgisayar korsanları için favori hedefler haline geldi.
Son örnekler, teknolojik olarak en olgun kuruluşlarda bile sır yönetiminin kırılganlığını vurgulamaktadır.
Eylül 2022’de bir saldırgan, Uber’in dahili ağına erişti ve burada bir ağ sürücüsünde sabit kodlanmış yönetici kimlik bilgileri buldu. Sırlar, Uber’in dosyalar ve komut dosyaları boyunca çok daha fazla düz metin kimlik bilgisinin depolandığı ayrıcalıklı erişim yönetimi platformunda oturum açmak için kullanıldı. Saldırgan daha sonra AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne ve daha fazlasındaki yönetici hesaplarını ele geçirmeyi başardı.
Aynı yılın Ağustos ayında, parola yöneticisi LastPass, bir yazılım geliştiricinin kimlik bilgilerini çalarak ve o kişinin kimliğine bürünerek geliştirme ortamına erişim sağlayan bir saldırganın kurbanı oldu. Aralık ayının sonlarında firma, birinin bu bilgileri kaynak kodunu ve müşteri verilerini çalmak için kullandığını açıkladı.
Aslında, 2022’de kaynak kodu sızıntılarının kuruluşlar için gerçek bir mayın tarlası olduğu kanıtlandı: NVIDIA, Samsung, Microsoft, Dropbox, Okta ve Slack, diğerlerinin yanı sıra kaynak kodu sızıntılarının kurbanı oldu. Mayıs ayında, bu kod tabanlarını analiz ederek toplanabilecek önemli miktarda kimlik bilgisi hakkında uyarıda bulunuyorduk. Saldırganlar bunlarla donanarak avantaj elde edebilir ve bilinen yüzlerce bağımlı sisteme yönelebilir. tedarik zinciri saldırıları.
Son olarak, daha yakın bir tarihte, Ocak 2023’te, sürekli entegrasyon sağlayıcısı CircleCI da ihlal edildi ve bu da yüzlerce müşteri ortamı değişkeninin, jetonunun ve anahtarının ele geçirilmesine yol açtı. Şirket, müşterilerini şifrelerini, SSH anahtarlarını veya platformda depolanan veya platform tarafından yönetilen diğer sırları derhal değiştirmeye çağırdı. Yine de kurbanların bu sırların nerede olduğunu ve acil durum düğmesine basmak için nasıl kullanıldığını öğrenmeleri gerekiyor!
Bu, harekete geçmeye hazır bir acil durum planına sahip olmak için güçlü bir durumdu.
Tüm bu olaylardan çıkarılan ders, saldırganların makine veya insan kimliklerinden taviz vermenin daha yüksek bir yatırım getirisi sağladığını fark etmeleridir. Bunların hepsi aciliyetin uyarı işaretleridir. sabit kodlanmış kimlik bilgileriyle başa çıkmak için ve genel olarak sır yönetiminin tozunu almak için.
Son söz
Siber güvenlikte bir sözümüz vardır: “Şifreleme kolaydır, ancak anahtar yönetimi zordur.” Bu, artık sadece şifreleme anahtarlarıyla ilgili olmasa da, bugün hala geçerlidir. Hiper bağlantılı hizmetler dünyamız, düzgün çalışması için yüzlerce türde anahtara veya sırra dayanır. Bunlar, yanlış yönetilirse çok sayıda potansiyel saldırı vektörü olabilir.
Sırlarınızın sadece teoride değil pratikte de nerede olduğunu ve bunların yazılım geliştirme zinciri boyunca nasıl kullanıldığını bilmek güvenlik için çok önemlidir. Size yardımcı olmak için özel olarak sır dağıtımı, sızıntı tespiti, düzeltme süreci ve rotasyon alışkanlıkları hakkında bir olgunluk modeli oluşturduk.
İlk adım her zaman kuruluşun sırlarla ilgili güvenlik duruşunun net bir denetimini almaktır: bunlar nerede ve nasıl kullanılır? Nereye sızıyorlar? En kötüsüne nasıl hazırlanılır? Bu tek başına acil bir durumda cankurtaran olabilir. ile nerede durduğunuzu öğrenin anket ve oradan nereye gideceğinizi öğrenin Beyaz kağıt.
Geliştirme ortamlarına ve iş araçlarına yönelik son saldırıların ardından, kendilerini etkili bir şekilde savunmak isteyen şirketler, geliştirme döngülerindeki gri alanların bir an önce temizlenmesini sağlamalıdır.