Современные практики разработки программного обеспечения повышают уязвимость данных.
News | 05.10.2020
Требования пользователей к технологическим продуктам постоянно возрастают. Подтверждение этому - непрерывный интерес к новейшим продуктам, последним версиям и дополнительным функциям. Однако пользователь не зацикливается на выборе, скорее постоянно расширяет перечень используемых технологических продуктов. В наши дни компании стремятся выпускать новые продукты, чтобы утолить этот цифровой голод. Согласно исследованию Google, крупные организации выпускают обновления программного обеспечения в среднем несколько раз в день, но не реже одного раза в полгода.
Однако сочетание скорости создания программного обеспечения, новых возможностей для разработки в режиме онлайн, а также неэффективных методов обеспечения безопасности, повысило вероятность утечки конфиденциальных данных, таких как код, технические данные и решения для хранения данных:
- Такое ощущение, что каждую неделю мы слышим о появлении новой базы данных клиентов в открытом доступе. Давайте посмотрим правде в глаза, так и есть. Каждый день разработчики тысяч организаций неправильно конфигурируют свои репозитории кода или базы данных, и делают их общедоступными.
- Отчет Verizon Data Breach Incident Report 2020 подтверждает, что ошибки являются более распространенной причиной утечки данных, чем вредоносные программы. Если в 2018 году на неправильную конфигурацию приходилось 20% всех разновидностей ошибок, то в 2019 году эта цифра увеличилась вдвое и превысила 40%.
- Вдобавок к этому, исследователи из Университета штата Северная Каролина заметили, что утечка секретных данных затрагивает более 100 000 репозиториев, а новые уникальные данные, идентифицированные как API и криптографические ключи, просачиваются на Github со скоростью тысячи в день.
Кто ответственный?
Хотя перечисленные риски являются следствием разработки программного обеспечения, управление этими рисками, как правило, входит в компетенцию служб безопасности.
Оценить предрасположенность к техническим утечкам не просто, особенно без понимания того, где находятся эти активы и внутренние ресурсы. С целью управления и сокращения технических утечек данных Digital Shadows выпускает новую функцию продукта SearchLight - «оповещение о несанкционированной транзакции/действия», которая выявляет несанкционированные действия в публичных репозиториях кода, исходящие от инструментов совместной разработки программного обеспечения.
Виды кода, которые вы не хотите раскрывать.
Одна из самых больших проблем при разработке программного обеспечения - когда разработчики раскрывают конфиденциальные данные. С точки зрения программного обеспечения, конфиденциальные данные - это формы цифровой аутентификации, такие как пароли, API, ключи доступа и многое другое. Подобно тому, как наши пароли могут храниться в онлайн-хранилище паролей, конфиденциальные данные хранятся в своей системе хранения: репозитории кода. Хотя большинство репозиториев кода являются частными, известны случаи, когда конфиденциальные данные раскрываются в публичных репозиториях, а значит становятся доступны для всех.
В 2018 году злоумышленник обнаружил учетные данные AWS внутри кода в частном репозитории для разработчиков(инженеров) Uber на Github. Несмотря на то, что репозиторий был частным, злоумышленник либо взломал, либо подобрал пароль, что позволило ему получить доступ к базам данных приложения, украсть личную информацию о 57 миллионах пассажиров и водителей, включая имена, адреса электронной почты и номера телефонов. Обеспечение защиты данных означает не только то, что базы данных не являются общедоступными, но и содержат достаточно методов аутентификации для доступа к ним.
Сотрудники могут непреднамеренно передать конфиденциальные технические данные в общедоступные репозитории, особенно при отсутствии внутренних политик безопасности или осведомленности сотрудников о том, что следует или не следует передавать. Примеры конфиденциальных данных, которые могут быть случайно раскрыты:
- Внутренний код. Это может поставить под угрозу вашу интеллектуальную собственность.
- Подробная информация о внутренней сети и данные конфигурации, позволяющие хакерам получить представление о вашей инфраструктуре.
- Живой код, который можно использовать для исследования уязвимостей общедоступных продуктов и услуг.
Если компании будут отслеживать корпоративную деятельность своих сотрудников в открытых репозиториях кода и предупреждать их о потенциальной утечке, то смогут избежать серьезных технических утечек в будущем.
Использование SearchLight для обнаружения технических утечек.
В дополнение к мониторингу раскрытия кода или конфиденциальной информации в общедоступных репозиториях, организации теперь могут отслеживать корпоративную активность сотрудников в публичных репозиториях кода с помощью «предупреждения о несанкционированной фиксации». Выявление того, были ли сотрудники непреднамеренно связаны с репозиторием, предоставляет организациям быстрый и масштабируемый способ превентивного обнаружения утечки до того, как она станет серьезной угрозой.
Разработка программного обеспечения: больше, чем защита программного обеспечения изнутри.
На разработку программного обеспечения в настоящее время влияет цифровая трансформация, которая размывает периметр сети, с большой вероятностью это значит, что данные будут доступны в Интернете. Вдобавок, характер индустрии разработки программного обеспечения, которая требует быстрой доставки и совместной работы множества заинтересованных сторон с инструментами совместной работы, также увеличивает вероятность публичного раскрытия конфиденциальных данных. Чтобы предотвратить утечку программного обеспечения и минимизировать угрозы для программного обеспечения, Digital Shadows рекомендует следующее:
- Мониторинг технических активов: воспользуйтесь набором бесплатных или платных инструментов для обнаружения открытого кода или конфиденциальных активов компании в общедоступных репозиториях, таких как Github, BitBucket или Gitlab. Searchlight обнаруживает техническую утечку, а также факт использования сотрудником корпоративного адреса электронной почты для публичного обращения к репозиториям. В качестве альтернативы доступны бесплатные инструменты с открытым исходным кодом, включая Git hound, который предотвращает утечку конфиденциальных данных, или TruffleHog, который ищет конфиденциальные данные в репозиториях.
- Повышение осведомленности: сотрудники не всегда осведомлены в вопросах защиты технических данных. Такую проблему можно решить путем более качественного обучения и подготовки в отношении этих рисков.
- Простота использования: когда дело доходит до инструментов совместной работы с программным обеспечением, таких как GitHub или GitLab, убедитесь, что протоколы безопасности настроены так, чтобы активность не публиковалась в открытом доступе.
Автор: Viktoria Austin. Источник: https://www.digitalshadows.com/blog-and-research/reducing-technical-leak...