Bạn có biết bí mật của mình ở đâu không? Nếu không, tôi có thể nói với bạn: bạn không đơn độc.
Hàng trăm CISO, CSO và các nhà lãnh đạo bảo mật, dù từ các công ty nhỏ hay lớn, cũng không biết. Bất kể quy mô, chứng chỉ, công cụ, con người và quy trình của tổ chức: các bí mật không được tiết lộ trong 99% trường hợp.
Thoạt nghe có vẻ nực cười: giữ bí mật là suy nghĩ hiển nhiên đầu tiên khi nghĩ về bảo mật trong vòng đời phát triển. Dù ở trên đám mây hay tại chỗ, bạn biết rằng các bí mật của mình được lưu trữ an toàn đằng sau những cánh cổng cứng mà ít người có thể truy cập. Đây không chỉ là vấn đề thông thường vì nó còn là một yêu cầu tuân thủ thiết yếu đối với các cuộc kiểm toán và chứng nhận bảo mật.
Các nhà phát triển làm việc trong tổ chức của bạn nhận thức rõ rằng các bí mật cần được xử lý một cách đặc biệt cẩn trọng. Họ đã đưa ra các công cụ và quy trình cụ thể để tạo, giao tiếp và xoay vòng thông tin xác thực của con người hoặc máy móc một cách chính xác.
Tuy nhiên, bạn có biết bí mật của bạn ở đâu không?
Bí mật trải dài khắp mọi nơi trong hệ thống của bạn và nhanh hơn hầu hết mọi người nhận ra. Các bí mật được sao chép và dán vào tệp cấu hình, tập lệnh, mã nguồn hoặc tin nhắn riêng tư mà không cần suy nghĩ nhiều. Hãy nghĩ về điều này: một nhà phát triển mã hóa cứng một khóa API để kiểm tra chương trình một cách nhanh chóng và vô tình cam kết và đẩy công việc của họ lên một kho lưu trữ từ xa. Bạn có tự tin rằng sự cố có thể được phát hiện kịp thời không?
Khả năng kiểm tra và khắc phục không đầy đủ là một số lý do khiến việc quản lý bí mật trở nên khó khăn. Chúng cũng ít được giải quyết nhất bởi các khung bảo mật. Tuy nhiên, những khu vực màu xám này—nơi các lỗ hổng không nhìn thấy vẫn bị che giấu trong một thời gian dài—là những lỗ hổng trắng trợn trong các lớp phòng thủ của bạn.
Nhận thấy khoảng cách này, chúng tôi đã phát triển một công cụ tự đánh giá để đánh giá quy mô của ẩn số này. Để đánh giá tình trạng bảo mật thực sự của bạn liên quan đến các bí mật trong tổ chức của bạn, hãy dành năm phút để trả lời tám câu hỏi (hoàn toàn ẩn danh).
Vì vậy, bao nhiêu bạn không biết về bí mật của bạn?
Mô hình trưởng thành quản lý bí mật
Quản lý bí mật âm thanh là một chiến thuật phòng thủ quan trọng đòi hỏi một số suy nghĩ để xây dựng một tư thế bảo mật toàn diện. Chúng tôi đã xây dựng một khuôn khổ (bạn có thể tìm thấy sách trắng tại đây) để giúp các nhà lãnh đạo bảo mật hiểu được tình hình thực tế của họ và áp dụng các phương pháp quản lý bí mật doanh nghiệp hoàn thiện hơn theo ba giai đoạn:
Đánh giá rủi ro rò rỉ bí mậtThiết lập quy trình quản lý bí mật hiện đạiTạo lộ trình cải tiến trong các lĩnh vực mong manh
Điểm cơ bản được giải quyết bởi mô hình này là việc quản lý bí mật vượt xa cách tổ chức lưu trữ và phân phối bí mật. Đây là một chương trình không cần sắp xếp con người, công cụ và quy trình mà còn tính đến lỗi của con người. Lỗi là không thể tránh khỏi! Hậu quả của chúng là. Đó là lý do tại sao các chính sách và công cụ phát hiện và khắc phục, cùng với việc lưu trữ và phân phối bí mật, tạo thành trụ cột cho mô hình trưởng thành của chúng tôi.
Mô hình hoàn thiện quản lý bí mật xem xét bốn bề mặt tấn công của vòng đời DevOps:
Sau đó, chúng tôi đã xây dựng một giai đoạn tăng trưởng trưởng thành qua năm cấp độ, từ 0 (Chưa quen) đến 4 (Chuyên gia). Từ 0 đến 1 chủ yếu là về việc đánh giá các rủi ro do các phương pháp phát triển phần mềm không an toàn gây ra và bắt đầu kiểm tra các tài sản kỹ thuật số để tìm thông tin xác thực được mã hóa cứng. Ở cấp độ trung cấp (cấp độ 2), quá trình quét bí mật diễn ra có hệ thống hơn và các bí mật được chia sẻ một cách thận trọng trong vòng đời DevOps. Cấp độ 3 (Nâng cao) và 4 (Chuyên gia) tập trung vào giảm thiểu rủi ro với các chính sách rõ ràng hơn, kiểm soát tốt hơn và tăng cường trách nhiệm chung trong việc khắc phục sự cố.
Một cân nhắc cốt lõi khác đối với khung này là việc làm cho việc sử dụng bí mật trở nên khó khăn trong bối cảnh DevOps chắc chắn sẽ dẫn đến việc bỏ qua các lớp bảo vệ tại chỗ. Cũng như mọi vấn đề khác về bảo mật, câu trả lời nằm giữa khả năng bảo vệ và tính linh hoạt. Đây là lý do tại sao việc sử dụng trình quản lý kho tiền/bí mật chỉ bắt đầu ở cấp trung gian. Ý tưởng là việc sử dụng trình quản lý bí mật không nên được coi là một giải pháp độc lập mà là một lớp bảo vệ bổ sung. Để có hiệu quả, nó yêu cầu các quy trình khác, chẳng hạn như quét liên tục các yêu cầu kéo, phải đủ hoàn thiện.
Dưới đây là một số câu hỏi mà mô hình này nên nêu ra để giúp bạn đánh giá mức độ trưởng thành của mình: các bí mật sản xuất của bạn được luân chuyển thường xuyên như thế nào? Làm thế nào là nó dễ dàng để xoay bí mật? Các bí mật được phân phối như thế nào ở giai đoạn phát triển, tích hợp và sản xuất? Những biện pháp nào được đưa ra để ngăn chặn việc phổ biến thông tin đăng nhập không an toàn trên các máy cục bộ? Thông tin đăng nhập của đường ống CI/CD có tuân thủ nguyên tắc đặc quyền tối thiểu không? Các thủ tục được áp dụng khi (không phải nếu) bí mật bị rò rỉ là gì?
Việc xem lại tư thế quản lý bí mật của bạn nên được ưu tiên hàng đầu vào năm 2023. Đầu tiên, mọi người làm việc với mã nguồn đều phải xử lý bí mật, nếu không muốn nói là hàng ngày, thì ít nhất là thỉnh thoảng một lần. Bí mật không còn là đặc quyền của các kỹ sư bảo mật hoặc DevOps. Chúng được yêu cầu bởi ngày càng nhiều người, từ các kỹ sư ML, nhà khoa học dữ liệu, sản phẩm, hoạt động, v.v. Thứ hai, nếu bạn không tìm thấy bí mật của mình ở đâu, tin tặc sẽ tìm ra.
Tin tặc sẽ tìm thấy bí mật của bạn
Rủi ro gây ra cho các tổ chức không áp dụng các thực hành quản lý bí mật trưởng thành không thể phóng đại. Môi trường phát triển, kho lưu trữ mã nguồn và đường dẫn CI/CD đã trở thành mục tiêu yêu thích của tin tặc, những kẻ mà bí mật là cửa ngõ dẫn đến sự di chuyển và thỏa hiệp bên lề.
Các ví dụ gần đây nêu bật sự mong manh của việc quản lý bí mật ngay cả trong các tổ chức trưởng thành nhất về công nghệ.
Vào tháng 9 năm 2022, một kẻ tấn công đã có quyền truy cập vào mạng nội bộ của Uber, nơi hắn tìm thấy thông tin xác thực quản trị viên được mã hóa cứng trên một ổ đĩa mạng. Các bí mật đã được sử dụng để đăng nhập vào nền tảng quản lý quyền truy cập đặc quyền của Uber, nơi có nhiều thông tin đăng nhập văn bản rõ hơn được lưu trữ trong các tệp và tập lệnh. Sau đó, kẻ tấn công có thể chiếm đoạt tài khoản quản trị viên trong AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne, v.v.
Vào tháng 8 cùng năm, trình quản lý mật khẩu LastPass trở thành nạn nhân của một kẻ tấn công đã giành được quyền truy cập vào môi trường phát triển của nó bằng cách đánh cắp thông tin đăng nhập của nhà phát triển phần mềm và mạo danh cá nhân đó. Cuối tháng 12, công ty tiết lộ rằng ai đó đã sử dụng thông tin đó để đánh cắp mã nguồn và dữ liệu khách hàng.
Trên thực tế, vào năm 2022, rò rỉ mã nguồn đã được chứng minh là một bãi mìn thực sự đối với các tổ chức: NVIDIA, Samsung, Microsoft, Dropbox, Okta và Slack, trong số những tổ chức khác, đã từng là nạn nhân của việc rò rỉ mã nguồn. Vào tháng 5, chúng tôi đã cảnh báo về khối lượng thông tin xác thực quan trọng có thể được thu thập bằng cách phân tích các cơ sở mã này. Được trang bị những thứ này, những kẻ tấn công có thể đạt được đòn bẩy và chuyển hướng vào hàng trăm hệ thống phụ thuộc trong cái được gọi là các cuộc tấn công chuỗi cung ứng.
Cuối cùng, thậm chí gần đây hơn, vào tháng 1 năm 2023, nhà cung cấp tích hợp liên tục CircleCI cũng bị xâm phạm, dẫn đến việc hàng trăm biến môi trường, mã thông báo và khóa của khách hàng bị xâm phạm. Công ty kêu gọi khách hàng của mình thay đổi ngay mật khẩu, khóa SSH hoặc bất kỳ bí mật nào khác được lưu trữ trên hoặc quản lý bởi nền tảng. Tuy nhiên, nạn nhân cần tìm ra những bí mật này ở đâu và chúng được sử dụng như thế nào để nhấn nút khẩn cấp!
Đây là một trường hợp mạnh mẽ để có một kế hoạch khẩn cấp sẵn sàng để thực hiện.
Bài học rút ra từ tất cả những sự cố này là những kẻ tấn công đã nhận ra rằng việc thỏa hiệp máy móc hoặc danh tính con người mang lại lợi tức đầu tư cao hơn. Tất cả chúng đều là những dấu hiệu cảnh báo về sự cấp bách phải xử lý các thông tin xác thực được mã hóa cứng và loại bỏ việc quản lý bí mật nói chung.
Từ cuối cùng
Chúng tôi có một câu nói trong lĩnh vực an ninh mạng: “mã hóa thì dễ nhưng quản lý khóa thì khó”. Điều này vẫn đúng cho đến ngày nay, mặc dù nó không chỉ là về các khóa mã hóa nữa. Thế giới dịch vụ siêu kết nối của chúng tôi dựa vào hàng trăm loại khóa hoặc bí mật để hoạt động bình thường. Đây có thể là nhiều vectơ tấn công tiềm năng nếu được quản lý sai.
Biết bí mật của bạn ở đâu, không chỉ trên lý thuyết mà còn trên thực tế và cách chúng được sử dụng trong chuỗi phát triển phần mềm là rất quan trọng đối với bảo mật. Để giúp bạn, chúng tôi đã tạo một mô hình trưởng thành cụ thể về phân phối bí mật, phát hiện rò rỉ, quy trình khắc phục và thói quen xoay vòng.
Bước đầu tiên luôn là kiểm tra rõ ràng tình hình bảo mật của tổ chức liên quan đến các bí mật: chúng được sử dụng ở đâu và như thế nào? Họ rò rỉ ở đâu? Làm thế nào để chuẩn bị cho điều tồi tệ nhất? Điều này một mình có thể chứng minh là một phao cứu sinh trong tình huống khẩn cấp. Tìm ra vị trí của bạn với bảng câu hỏi và tìm hiểu nơi để đi từ đó với giấy trắng.
Trước các cuộc tấn công gần đây vào môi trường phát triển và công cụ kinh doanh, các công ty muốn tự bảo vệ mình một cách hiệu quả phải đảm bảo rằng các vùng màu xám trong chu kỳ phát triển của họ được xóa càng sớm càng tốt.
