Güvenlik uzmanları, yıllardır çok faktörlü kimlik doğrulama davulunu çalıyor ve kullanıcıları en hassas hesaplarını güvence altına almak için yalnızca kullanıcı adı/şifre kombinasyonuna güvenmekten uzaklaşmaya teşvik ediyor. Şimdi GitHub’ın cesaretlendirilmesi işi bitti: Şirket, 2023’ün sonunda, GitHub tarafından barındırılan depolara kod katkıda bulunan tüm kullanıcıların bir veya daha fazla iki faktörlü kimlik doğrulama biçimini etkinleştirmesi gerektiğini söylüyor.
Sıfırıncı gün saldırıları ve karmaşık istismarlar korkutucudur, ancak sosyal mühendislik ve kimlik bilgisi hırsızlığı, kurumsal savunucular için daha büyük baş ağrıları oluşturur. Kullanıcı kimlik bilgileri, saldırganlara uygulamaya ve ilgili verilere tam erişim veya GitHub gibi bir kod deposu olması durumunda, kaynak kodun görünürlüğünün yanı sıra kodu kötü niyetli olarak değiştirme yeteneği sağlar.
GitHub’ın CSO’su Mike Hanley, “Bu, yalnızca güvenliği ihlal edilmiş hesaplarla ilişkili kişileri ve kuruluşları değil, etkilenen kodun tüm kullanıcılarını da riske atıyor” diyor. Bir saldırganın popüler bir kod deposunun kontrolünü ele geçirmesinin aşağı yönlü etkileri şaşırtıcıdır, çünkü “on binlerce veya yüz binlerce kez indirilebilir” diyor.
Yazılım tedarik zincirine yönelik saldırılar 2021’de %300’den fazla arttı, Aqua Security Ocak ayında söyledi.
LARES Consulting COO’su Andrew Hay, GitHub’ın kararının hesap devralmalarının karmaşıklığını artırdığını söylüyor. “Çok faktörlü kimlik doğrulamanın, oturum açma sürecini katlanarak karmaşık hale getirmeden bir kullanıcının hesabına ek bir koruma katmanı sağladığı defalarca kanıtlanmıştır” diyor.
Çıtayı Yükseltmek
GitHub.com’daki çok sayıda geliştirici ve aktif depo göz önüne alındığında, bu hareket, yazılım tedarik zincirinin güvenliğini önemli ölçüde artırma potansiyeline sahiptir. Şirket, iki faktörlü kimlik doğrulamaya geçişin 83 milyon geliştiriciyi etkileyeceğini söylüyor.
Hanley geçmişte GitHub’ın büyüklüğünün şirketi tüm yazılım ekosisteminin güvenliğini artırmak için güçlü bir konuma getirdiğini söyledi. GitHub, yeni güvenlik özellikleri uygulayarak geliştiricilerin ve proje yürütücülerin yapması gereken şeylerde çıtayı yükseltiyor.
Delinea’nın güvenlik bilimcisi ve danışman CISO’su Joseph Carson, “Güçlü parola yönetimi, ayrıcalıklı erişim güvenliği ve MFA, saldırganların ilk dayanak noktası elde etmede başarılı olmasını zorlaştıracak” diyor. “Bu muhtemelen onları başka yerlerde daha kolay bir hedef aramaya zorlayacaktır.”
Zorunlu Kayda Geç
GitHub, 2013’ten beri bir şekilde iki faktörlü kimlik doğrulama sunuyor. Saldırganların npm kayıt defterindeki JavaScript paketlerini giderek daha fazla hedeflediğini fark eden GitHub, Şubat ayında zorunlu iki faktörlü kimlik doğrulama ile ilk 100 npm paketinin tüm bakımcılarını kaydettirdi. Buna rağmen, evlat edinme gecikti. Şirket, şu anda aktif GitHub kullanıcılarının yalnızca %16,5’inin ve npm kullanıcılarının %6,44’ünün hesaplarında bir veya daha fazla iki faktörlü kimlik doğrulama biçimini etkinleştirdiğini söylüyor.
Rakamlar iç karartıcı, ancak tamamen beklenmedik değil. 2018’de Google, Gmail için iki faktörlü kimlik doğrulamayı başlattıktan yedi yıl sonra, etkin hesapların %10’undan daha azının özelliği etkinleştirdiğini belirtti. Microsoft, Microsoft Active Directory’ye (AD) sahip kuruluşların dörtte üçünden fazlasının (%78) şu anda kullanıcı hesapları için çok faktörlü kimlik doğrulama kullanmadığını söyledi. Siber Sinyaller raporu bu yılın başları. Microsoft defalarca söyledi “İhlallerin %99,9’u önlenecek MFA’yı yeni uyguladıysanız.”
GitHub, yalnızca kullanıcı adı ve parolaya güvenmenin ötesinde güvenliği artırmak için başka adımlar attı. Daha önce GitHub, Git işlemleri ve GitHub’ın REST API’si için temel kimlik doğrulamasını kullanımdan kaldırmıştı ve şimdi e-posta tabanlı cihaz doğrulaması gerektiriyor. Mart ayından bu yana, tüm npm hesapları gelişmiş giriş doğrulaması gerektiriyor. şirket başlattı iOS ve Android’de GitHub Mobile için 2FA Ocak ayında geri döndü.
GitHub, doğrudan GitHub uygulamasından onaylanan donanım güvenlik anahtarları ve mobil anında iletme bildirimleri dahil olmak üzere birden çok yönteme izin verecektir.
GitHub, kurumsal müşterilere, geliştiricilerin kurumsal havuzlara erişmek için iki faktörlü kimlik doğrulama kullanmasını zorunlu kılma yeteneği veriyor. Hay notları, yaptırım yürürlüğe girdiğinde, GitHub’ın iki faktörlü kimlik doğrulaması etkinleştirilmemiş kullanıcıları kurumsal depolardan kaldırmasını tamamlaması durumunda bazı sorunlar olabilir. “Bir kullanıcı, bir zamanlar erişim sahibi olduğu kod havuzlarına artık erişemeyeceğini tespit ederse, destek masasına bazı çağrılar yapılmasına neden olabilir.”
Gecikmeli Yürütme
Zorunlu iki faktörlü kimlik doğrulamaya geçiş aşamalı olarak gerçekleşecektir. En iyi 500 paketin tüm sahipleri, 31 Mayıs’ta zorunlu iki faktörlü kimlik doğrulamaya kaydolacak. GitHub’ın 500’den fazla bağımlı kişi veya haftalık bir milyon indirmeye sahip olanlar olarak tanımladığı yüksek etkili npm paketlerinin koruyucuları, zorunlu iki pakete kaydolacak. Hanley, 2022’nin üçüncü çeyreğinde faktör kimlik doğrulaması. Bir yıldan fazla süren uzun teslim süresinin, komut satırı ve web arayüzü ile kullanıcı deneyimini sağlama açısından GitHub’ın “bunu doğru yaptığımızdan emin olmamıza” yardımcı olacağını söylüyor. .
Carson, son gelişmelerin çok faktörlü kimlik doğrulamayı kullanıcılar için “çok daha az külfetli” hale getirdiğini belirtiyor. Kurumsal dağıtımlardaki en yaygın hata, mevcut kimlik doğrulama şemalarını güçlendirmek (ve potansiyel olarak değiştirmek) yerine çok faktörlü kimlik doğrulamayı eklemektir. Oturum açmayı daha verimli ve daha güvenli hale getirmek için çok faktörlü kimlik doğrulama kullanılmalıdır.
Carson, “Kimlik doğrulamasını kolaylaştırmak ve mümkün olduğunda deneyimi olumlu hale getirmek önemlidir” diyor. “Aksi takdirde, kullanıcılar güvenlik kontrolünün onları daha zayıf hale getirmenin yollarını bulacaktır.”
