News

Современные практики разработки программного обеспечения повышают уязвимость данных.

News | 05.10.2020

Требования пользователей к технологическим продуктам постоянно возрастают. Подтверждение этому - непрерывный интерес к новейшим продуктам, последним версиям и дополнительным функциям. Однако пользователь не зацикливается на выборе, скорее постоянно расширяет перечень используемых технологических продуктов. В наши дни компании стремятся выпускать новые продукты, чтобы утолить этот цифровой голод. Согласно исследованию Google, крупные организации выпускают обновления программного обеспечения в среднем несколько раз в день, но не реже одного раза в полгода.

Однако сочетание скорости создания программного обеспечения, новых возможностей для разработки в режиме онлайн, а также неэффективных методов обеспечения безопасности, повысило вероятность утечки конфиденциальных данных, таких как код, технические данные и решения для хранения данных:

  • Такое ощущение, что каждую неделю мы слышим о появлении новой базы данных клиентов в открытом доступе. Давайте посмотрим правде в глаза, так и есть. Каждый день разработчики тысяч организаций неправильно конфигурируют свои репозитории кода или базы данных, и делают их общедоступными.
  • Отчет Verizon Data Breach Incident Report 2020 подтверждает, что ошибки являются более распространенной причиной утечки данных, чем вредоносные программы. Если в 2018 году на неправильную конфигурацию приходилось 20% всех разновидностей ошибок, то в 2019 году эта цифра увеличилась вдвое и превысила 40%.
  • Вдобавок к этому, исследователи из Университета штата Северная Каролина заметили, что утечка секретных данных затрагивает более 100 000 репозиториев, а новые уникальные данные, идентифицированные как API и криптографические ключи, просачиваются на Github со скоростью тысячи в день.

Кто ответственный?

Хотя перечисленные риски являются следствием разработки программного обеспечения, управление этими рисками, как правило, входит в компетенцию служб безопасности. 
Оценить предрасположенность к техническим утечкам не просто, особенно без понимания того, где находятся эти активы и внутренние ресурсы. С целью управления и сокращения технических утечек данных Digital Shadows выпускает новую функцию продукта SearchLight  - «оповещение о несанкционированной транзакции/действия», которая выявляет несанкционированные действия в публичных репозиториях кода, исходящие от инструментов совместной разработки программного обеспечения.

 

Виды кода, которые вы не хотите раскрывать.

Одна из самых больших проблем при разработке программного обеспечения - когда разработчики раскрывают конфиденциальные данные. С точки зрения программного обеспечения, конфиденциальные данные - это формы цифровой аутентификации, такие как пароли, API, ключи доступа и многое другое. Подобно тому, как наши пароли могут храниться в онлайн-хранилище паролей, конфиденциальные данные хранятся в своей системе хранения: репозитории кода. Хотя большинство репозиториев кода являются частными, известны случаи, когда конфиденциальные данные раскрываются в публичных репозиториях, а значит становятся доступны для всех.

В 2018 году злоумышленник обнаружил учетные данные AWS внутри кода в частном репозитории для разработчиков(инженеров) Uber на Github. Несмотря на то, что репозиторий был частным, злоумышленник либо взломал, либо подобрал пароль, что позволило ему получить доступ к базам данных приложения, украсть личную информацию о 57 миллионах пассажиров и водителей, включая имена, адреса электронной почты и номера телефонов. Обеспечение защиты данных означает не только то, что базы данных не являются общедоступными, но и содержат достаточно методов аутентификации для доступа к ним.

Сотрудники могут непреднамеренно передать конфиденциальные технические данные в общедоступные репозитории, особенно при отсутствии внутренних политик безопасности или осведомленности сотрудников о том, что следует или не следует передавать. Примеры конфиденциальных данных, которые могут быть случайно раскрыты:

  1. Внутренний код. Это может поставить под угрозу вашу интеллектуальную собственность.
  2. Подробная информация о внутренней сети и данные конфигурации, позволяющие хакерам получить представление о вашей инфраструктуре.
  3. Живой код, который можно использовать для исследования уязвимостей общедоступных продуктов и услуг.

Если компании будут отслеживать корпоративную деятельность своих сотрудников в открытых репозиториях кода и предупреждать их о потенциальной утечке, то смогут избежать серьезных технических утечек в будущем.

Использование SearchLight для обнаружения технических утечек.

В дополнение к мониторингу раскрытия кода или конфиденциальной информации в общедоступных репозиториях, организации теперь могут отслеживать корпоративную активность сотрудников в публичных репозиториях кода с помощью «предупреждения о несанкционированной фиксации». Выявление того, были ли сотрудники непреднамеренно связаны с репозиторием, предоставляет организациям быстрый и масштабируемый способ превентивного обнаружения утечки до того, как она станет серьезной угрозой.

Разработка программного обеспечения: больше, чем защита программного обеспечения изнутри.

На разработку программного обеспечения в настоящее время влияет цифровая трансформация, которая размывает периметр сети, с большой вероятностью это значит, что данные будут доступны в Интернете. Вдобавок, характер индустрии разработки программного обеспечения, которая требует быстрой доставки и совместной работы множества заинтересованных сторон с инструментами совместной работы, также увеличивает вероятность публичного раскрытия конфиденциальных данных. Чтобы предотвратить утечку программного обеспечения и минимизировать угрозы для программного обеспечения, Digital Shadows рекомендует следующее:

  • Мониторинг технических активов: воспользуйтесь набором бесплатных или платных инструментов для обнаружения открытого кода или конфиденциальных активов компании в общедоступных репозиториях, таких как Github, BitBucket или Gitlab. Searchlight обнаруживает техническую утечку, а также факт использования сотрудником корпоративного адреса электронной почты для публичного обращения к репозиториям. В качестве альтернативы доступны бесплатные инструменты с открытым исходным кодом, включая Git hound, который предотвращает утечку конфиденциальных данных, или TruffleHog, который ищет конфиденциальные данные в репозиториях.

  • Повышение осведомленности: сотрудники не всегда осведомлены в вопросах защиты технических данных. Такую проблему можно решить путем более качественного обучения и подготовки в отношении этих рисков.
  • Простота использования: когда дело доходит до инструментов совместной работы с программным обеспечением, таких как GitHub или GitLab, убедитесь, что протоколы безопасности настроены так, чтобы активность не публиковалась в открытом доступе.

Автор: Viktoria Austin. Источник: https://www.digitalshadows.com/blog-and-research/reducing-technical-leak...