GitHub a annoncé une amélioration de sa fonction d’analyse secrète qui étend les contrôles de validité aux services populaires tels que Amazon Web Services (AWS), Microsoft, Google et Slack.
Contrôles de validité, introduit par la filiale Microsoft plus tôt cette année, alerte les utilisateurs si les jetons exposés trouvés par l’analyse secrète sont actifs, permettant ainsi des mesures correctives efficaces. Il a d’abord été activé pour les jetons GitHub.
Le service d’hébergement de code et de contrôle de version basé sur le cloud a déclaré qu’il avait l’intention de prendre en charge davantage de jetons à l’avenir.
Pour activer ou désactiver le paramètre, les propriétaires d’entreprise ou d’organisation et les administrateurs de référentiel peuvent accéder à Paramètres > Sécurité et analyse du code > Analyse des secrets et cocher l’option « Vérifier automatiquement si un secret est valide en l’envoyant au partenaire concerné ».
Plus tôt cette année, GitHub a également étendu des alertes d’analyse secrète pour tous les référentiels publics et a annoncé la disponibilité d’une protection push pour aider les développeurs et les responsables à sécuriser de manière proactive leur code en analysant les secrets hautement identifiables avant qu’ils ne soient poussés.
Ce développement intervient alors qu’Amazon a présenté en avant-première des exigences améliorées en matière de protection des comptes qui imposeront aux utilisateurs privilégiés (c’est-à-dire les utilisateurs root) d’un Organisation AWS compte pour activer l’authentification multifacteur (MFA) à partir de mi-2024.
« La MFA est l’un des moyens les plus simples et les plus efficaces d’améliorer la sécurité des comptes, offrant une couche de protection supplémentaire pour empêcher les personnes non autorisées d’accéder aux systèmes ou aux données », a déclaré Steve Schmidt, directeur de la sécurité chez Amazon. dit.
Les méthodes MFA faibles ou mal configurées ont également trouvé leur place parmi les 10 erreurs de configuration réseau les plus courantes, selon une nouvelle étude. conseil conjoint délivré par la National Security Agency (NSA) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA).
« Certaines formes de MFA sont vulnérables au phishing, au « push bombing » et à l’exploitation du système de signalisation 7 (ES7) vulnérabilités du protocole et/ou techniques de « SIM swap » », ont indiqué les agences. dit.
« Ces tentatives, si elles réussissent, peuvent permettre à un acteur malveillant d’accéder aux informations d’authentification MFA ou de contourner la MFA et d’accéder aux systèmes protégés par la MFA. »
Les autres erreurs de configuration courantes en matière de cybersécurité sont les suivantes :
- Configurations par défaut des logiciels et applications
- Mauvaise séparation des privilèges utilisateur/administrateur
- Surveillance insuffisante du réseau interne
- Manque de segmentation du réseau
- Mauvaise gestion des correctifs
- Contournement des contrôles d’accès au système
- Listes de contrôle d’accès (ACL) insuffisantes sur les partages et services réseau
- Mauvaise hygiène des informations d’identification
- Exécution de code sans restriction
À titre d’atténuation, il est recommandé aux organisations d’éliminer les informations d’identification par défaut et de renforcer les configurations ; désactiver les services inutilisés et mettre en œuvre des contrôles d’accès ; donner la priorité aux correctifs ; auditer et surveiller les comptes et privilèges administratifs.
Les éditeurs de logiciels ont également été invités à mettre en œuvre des principes de conception sécurisée, à utiliser des langages de programmation sécurisés en mémoire lorsque cela est possible, à éviter d’intégrer des mots de passe par défaut, à fournir des journaux d’audit de haute qualité aux clients sans frais supplémentaires et à imposer des méthodes MFA résistantes au phishing.
« Ces mauvaises configurations illustrent (1) une tendance aux faiblesses systémiques dans de nombreuses grandes organisations, y compris celles ayant une cyber-posture mature, et (2) l’importance pour les fabricants de logiciels d’adopter les principes de sécurité dès la conception pour réduire le fardeau des défenseurs des réseaux », a déclaré le rapport. agences notées.