GitHub’da duyuruldu Geçerlilik kontrollerini Amazon Web Services (AWS), Microsoft, Google ve Slack gibi popüler hizmetleri kapsayacak şekilde genişleten gizli tarama özelliğinde yapılan bir iyileştirme.
Geçerlilik kontrolleri, tanıtıldı Microsoft’un yan kuruluşu tarafından bu yılın başlarında, gizli taramayla bulunan açıkta kalan token’ların aktif olup olmadığı konusunda kullanıcılar uyarılıyor ve böylece etkili iyileştirme önlemleri alınabiliyor. İlk olarak GitHub tokenları için etkinleştirildi.
Bulut tabanlı kod barındırma ve sürüm kontrol hizmeti, gelecekte daha fazla tokenı desteklemeyi planladığını söyledi.
Ayarı değiştirmek için kuruluş veya kuruluş sahipleri ve veri havuzu yöneticileri Ayarlar > Kod güvenliği ve analizi > Gizli tarama’ya gidebilir ve “Bir sırrın geçerli olup olmadığını, ilgili ortağa göndererek otomatik olarak doğrula” seçeneğini işaretleyebilir.
Bu yılın başlarında GitHub da genişletilmiş tüm genel depolar için gizli tarama uyarıları verdi ve geliştiricilerin ve bakımcıların, yüksek düzeyde tanımlanabilir sırları gönderilmeden önce tarayarak kodlarını proaktif bir şekilde güvence altına almalarına yardımcı olmak için anında iletme korumasının mevcut olduğunu duyurdu.
Bu gelişme, Amazon’un ayrıcalıklı kullanıcıları (yani kök kullanıcıları) zorunlu kılacak gelişmiş hesap koruma gereksinimlerinin önizlemesini yapmasıyla birlikte geliyor. AWS Organizasyonu 2024 ortalarından itibaren çok faktörlü kimlik doğrulamayı (MFA) açacak hesap.
Amazon’un güvenlik şefi Steve Schmidt, “MFA, hesap güvenliğini artırmanın en basit ve en etkili yollarından biri olup, yetkisiz kişilerin sistemlere veya verilere erişmesini önlemeye yardımcı olacak ek bir koruma katmanı sunar.” dedi. söz konusu.
Yeni bir araştırmaya göre, zayıf veya yanlış yapılandırılmış MFA yöntemleri de en yaygın 10 ağ yanlış yapılandırması arasında yer aldı. ortak danışma ABD Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanmıştır.
“Bazı MFA biçimleri, kimlik avına, ‘itme bombalamasına’ ve Sinyal Sistemi 7’nin kötüye kullanılmasına karşı savunmasızdır (SS7) protokol güvenlik açıkları ve/veya ‘SIM takas’ teknikleri”, ajanslara göre söz konusu.
“Bu girişimler başarılı olursa, bir tehdit aktörünün MFA kimlik doğrulama bilgilerine erişmesine veya MFA’yı atlayarak MFA korumalı sistemlere erişmesine olanak tanıyabilir.”
Diğer yaygın siber güvenlik yanlış yapılandırmaları şunlardır:
- Yazılım ve uygulamaların varsayılan yapılandırmaları
- Kullanıcı/yönetici ayrıcalığının hatalı şekilde ayrılması
- Yetersiz dahili ağ izleme
- Ağ bölümleme eksikliği
- Kötü yama yönetimi
- Sistem erişim kontrollerinin atlanması
- Ağ paylaşımları ve hizmetlerinde yetersiz erişim kontrol listeleri (ACL’ler)
- Yetersiz kimlik hijyeni
- Sınırsız kod yürütme
Azaltıcı önlem olarak kuruluşların varsayılan kimlik bilgilerini ortadan kaldırması ve yapılandırmaları sağlamlaştırması önerilir; kullanılmayan hizmetleri devre dışı bırakın ve erişim kontrollerini uygulayın; yama uygulamasına öncelik verin; Yönetici hesaplarını ve ayrıcalıklarını denetleyin ve izleyin.
Yazılım satıcılarına ayrıca tasarım gereği güvenli ilkeleri uygulamaları, mümkün olan yerlerde bellek açısından güvenli programlama dilleri kullanmaları, varsayılan parolaları yerleştirmekten kaçınmaları, müşterilere ekstra ücret ödemeden yüksek kaliteli denetim günlükleri sağlamaları ve kimlik avına karşı dayanıklı MFA yöntemlerini zorunlu kılmaları konusunda çağrıda bulunuldu.
“Bu yanlış yapılandırmalar, (1) olgun siber duruşlara sahip olanlar da dahil olmak üzere birçok büyük kuruluştaki sistemik zayıflık eğilimini ve (2) ağ savunucularının üzerindeki yükü azaltmak için yazılım üreticilerinin tasarım gereği güvenlik ilkelerini benimsemesinin önemini gösteriyor.” ajanslar dikkat çekti.
