Godinama je osiguranje sistema kompanije bilo sinonim za osiguranje njenog “perimetra”. Postojalo je ono što je sigurno „iznutra“ i nesigurni spoljni svet. Izgradili smo čvrste zaštitne zidove i postavili sofisticirane sisteme za detekciju, uvjereni da zadržavanje hakera izvan zidova čuva naše podatke i sisteme sigurnim.
Problem je u tome što više ne radimo unutar granica fizičkih instalacija na licu mjesta i kontroliranih mreža. Podaci i aplikacije sada se nalaze u distribuiranim okruženjima u cloud-u i data centrima, kojima pristupaju korisnici i uređaji koji se povezuju s bilo kojeg mjesta na planeti. Zidovi su se srušili, a perimetar se raspao, otvarajući vrata novom bojnom polju: identitetu.
Identitet je u središtu onoga što je industrija hvalila kao novi zlatni standard sigurnosti preduzeća: “nulto povjerenje”. U ovom modelu, eksplicitno povjerenje postaje obavezno za bilo kakve interakcije između sistema, i nikakvo implicitno povjerenje neće postojati. Svaki zahtjev za pristup, bez obzira na njegovo porijeklo, mora biti autentificiran, autoriziran i kontinuirano validiran prije nego se pristup odobri.
Dvostruka priroda identiteta
Identitet je širok pojam sa dvojnom realnošću. S jedne strane, ljudima je potreban pristup njihovoj e-pošti i kalendaru, a nekima (naročito softverskim inženjerima) privilegovani pristup serveru ili bazi podataka da bi obavljali svoj posao. Industrija je usavršavala upravljanje ovim identitetima u posljednjih 20 godina kako se zaposleni pridružuju, dobijaju privilegije za određene sisteme i na kraju napuštaju preduzeće.
S druge strane, imamo još jednu vrstu identiteta: mašinski identiteti, koji se takođe nazivaju neljudski identiteti (NHI), koji čine ogromnu većinu svih identiteta (procjenjuje se da oni brojčano nadmašuju ljudske identitete barem za faktor od 45 do 1).
Za razliku od svojih ljudskih pandana, NHI – od servera, aplikacija ili procesa – nisu vezani za pojedince i stoga predstavljaju potpuno drugačiji problem:
- Njima nedostaju tradicionalne sigurnosne mjere jer, za razliku od ljudskih korisnika, ne možemo jednostavno primijeniti MFA na server ili API ključ.
- Može ih kreirati u bilo kom trenutku bilo ko u preduzeću (mislimo da Marketing povezuje svoj CRM sa klijentom e-pošte) uz malo ili nimalo nadzora. Rasuti su po raznim alatima, što upravljanje njima čini nevjerovatno složenim.
- Oni su u velikoj mjeri privilegovani i vrlo često ‘ustajali’: za razliku od ljudskih identiteta, mnogo je vjerojatnije da će NHI ostati dugo nakon što su upotrijebljeni. Ovo stvara situaciju visokog rizika u kojoj pretjerano dodijeljeni akreditivi sa širokim dozvolama ostaju čak i nakon što je njihova predviđena upotreba prestala.
Sve ovo u kombinaciji predstavlja savršenu oluju za velika preduzeća koja se bore sa prostranim okruženjima u cloud-u i zamršenim lancima nabavke softvera. Nije iznenađujuće da su pogrešno vođeni identiteti – čiji je simptom širenje tajni – sada osnovni uzrok većine sigurnosnih incidenata koji pogađaju preduzeća širom svijeta.
Visoka cijena neaktivnosti: kršenja u stvarnom svijetu
Posledice zanemarivanja sigurnosti NHI nisu teorijske. Vijesti su prepune primjera kršenja visokog profila gdje su kompromitovani NHI služili kao ulazna tačka za napadače, što je dovelo do značajnih finansijskih gubitaka, oštećenja reputacije i erozije povjerenja korisnika. Dropbox, Sisense, Microsoft i The New York Times su svi primjeri kompanija koje su priznale da su na njih utjecali kompromitovani NHI samo 2024. godine.
Najgore je, možda, to što ovi incidenti imaju talasaste efekte. U januaru 2024. Cloudflare interni Atlassian sistemi su probijeni jer su tokeni i servisni nalozi – drugim riječima, NHI-i – prethodno bili kompromitovani na Okti, vodećoj platformi za identitet. Ono što ovdje posebno otkriva je da je Cloudflare brzo otkrio upad i reagovao rotiranjem sumnjivih akreditiva. Međutim, kasnije su shvatili da neki pristupni tokeni nisu pravilno rotirani, dajući napadačima još jednu priliku da ugroze njihovu infrastrukturu.
Ovo nije izolovana priča: 80% organizacija iskusilo je kršenje sigurnosti u vezi sa identitetom, a izdanje DBIR-a iz 2024. rangiralo je “Kompromis identiteta ili vjerodajnica” kao vektor broj jedan za cyber napade.
Treba li se brinuti? Kada se osvrnemo na priču o Cloudflareu, uticaj još nije poznat. Međutim, kompanija je otkrila da napori na sanaciji uključuju rotiranje svih 5.000 akreditiva za proizvodnju, opsežnu forenzičku trijažu i ponovno pokretanje svih sistema kompanije. Razmislite o vremenu, resursima i finansijskom teretu koji bi takav incident nanio vašoj organizaciji. Možete li priuštiti da preuzmete taj rizik?
Rješavanje problema loše upravljanih identiteta, popravljanje trenutnih izloženosti i budućih rizika, je dug put. Iako ne postoji čarobni metak, rješavanje jednog od najvećih i najsloženijih sigurnosnih rizika naše ere je ostvarivo. Organizacije mogu ublažiti rizike povezane sa neljudskim identitetima kombinovanjem neposrednih akcija sa srednjoročnim i dugoročnim strategijama.
Praćenje klijenata sa liste Fortune 500 u ovom procesu u proteklih 7 godina je ono što je GitGuardian učinilo vodećim u industriji u oblasti zaštite tajni.
Upoznavanje sa NHI-ima, počevši od Secrets Security
Organizacije moraju usvojiti proaktivan i sveobuhvatan pristup sigurnosti NHI-a, počevši od sigurnosti tajni. Sticanje kontrole nad NHI-ima počinje implementacijom efikasnih sigurnosnih mogućnosti tajne:
1.Uspostavite sveobuhvatnu i kontinuiranu vidljivost
Ne možeš zaštititi ono što ne znaš. Sigurnost tajne počinje praćenjem širokog spektra sredstava u velikoj mjeri, od spremišta izvornog koda do sistema za razmjenu poruka i pohrane u cloud-u. Ključno je proširiti svoje praćenje izvan internih izvora kako biste otkrili bilo kakve tajne povezane s kompanijom u visoko izloženim područjima poput GitHub-a. Tek tada organizacije mogu da počnu da shvataju izloženost osetljivim informacijama i da preduzmu korake da poprave ove slabosti.
GitGuardian Secret Detection se može pohvaliti najvećim brojem detektora i najširim spektrom imovine koja se prati na tržištu, uključujući sve javne aktivnosti GitHub-a u posljednjih 5 godina.
2.Pojednostavite sanaciju
Sigurnost tajne nije jednokratan zadatak već stalan proces. Mora se integrisati u razvoj softvera i druge tokove rada kako bi se pronašle i popravile (poništile) tvrdo kodirane tajne i spriječio osnovni uzrok kršenja. Pravovremene i efikasne mogućnosti sanacije, ograničavanje zamora od upozorenja i pojednostavljivanje procesa sanacije u velikim razmjerima su od ključne važnosti. Ovo omogućava organizacijama da se pozabave problemima prije nego što ih napadači iskoriste, efikasno i mjerljivo smanjujući rizik.
Platforma GitGuardian čini popravku prioritetom broj jedan. Objedinjeno upravljanje incidentima, prilagođene smjernice za sanaciju i detaljne informacije o incidentima omogućavaju organizacijama da se pozabave prijetnjom širenja tajni u velikom obimu.
3.Integracija sa sistemima identiteta i tajnih podataka
Analiziranje konteksta procurele tajne ključno je za određivanje njene osjetljivosti i povezanog rizika. Integracija sa upravljanjem identitetom i pristupom (IAM), sistemima za upravljanje privilegovanim pristupom (PAM) i Secrets Managers pruža sveobuhvatniji pregled otiska i aktivnosti NHI.
GitGuardianovo partnerstvo sa CyberArk Conjur, liderom u upravljanju tajnama i sigurnosti identiteta, prvo je u industriji. Ovo partnerstvo donosi sveobuhvatnu sigurnost tajni na tržište, otključavajući nove slučajeve upotrebe kao što su automatizirano otkrivanje izloženosti javnosti, primjena politike upravljanja tajnama i automatizirana rotacija nakon curenja.
Promjena načina razmišljanja: od perimetra do tajne sigurnosti
Brzo širenje neljudskih identiteta stvorilo je kompleksan i često zanemaren sigurnosni izazov. Tradicionalne sigurnosne mjere bazirane na perimetru više nisu dovoljne u današnjim distribuiranim okruženjima koja su usmjerena na oblak. Rizici vezani za loše vođene NHI su stvarni i potencijalno razorni, o čemu svjedoče kršenja visokog profila koja su rezultovanja značajnom finansijskom i reputacijskom štetom.
Međutim, postoji nada. Prebacivanjem našeg fokusa na sigurnost tajni i usvajanjem sveobuhvatnog pristupa koji uključuje robusno otkrivanje, automatiziranu sanaciju i integraciju sa sistemima identiteta, organizacije mogu značajno smanjiti svoju površinu napada i ojačati svoju cjelokupnu sigurnost.
Izvor:The Hacker News