Ngày 23 tháng 5 năm 2023Tin tức về Hacker Bảo mật ứng dụng
Tài sản quý giá nhất trong thời đại thông tin ngày nay là bí mật được bảo vệ an toàn dưới ổ khóa và chìa khóa. Đáng tiếc, việc duy trì bí mật ngày càng trở nên khó khăn, như được nhấn mạnh trong báo cáo Mở rộng trạng thái bí mật năm 2023, phân tích lớn nhất về hoạt động công khai của GitHub.
Báo cáo cho thấy một Tăng 67% so với năm trước về số lượng bí mật được tìm thấy, với 10 triệu bí mật được mã hóa cứng được phát hiện chỉ trong năm 2022. Sự gia tăng đáng báo động này trong các điểm nổi bật về bí mật nhu cầu hành động và nhấn mạnh tầm quan trọng của việc phát triển phần mềm an toàn.
Mở rộng bí mật đề cập đến các bí mật xuất hiện trong văn bản gốc ở nhiều nguồn khác nhau, chẳng hạn như mã nguồn, tập lệnh xây dựng, cơ sở hạ tầng dưới dạng mã, nhật ký, v.v. giữa các nhà phát triển, máy móc, ứng dụng và hệ thống cơ sở hạ tầng làm tăng khả năng rò rỉ.
Các sự cố an ninh mạng làm nổi bật sự nguy hiểm của các bí mật được mã hóa cứng
Hai sự cố an ninh mạng nổi tiếng liên quan đến Uber và Toyota đã nhấn mạnh nhu cầu cấp thiết phải giải quyết vấn đề rò rỉ bí mật và ưu tiên bảo mật mã. Khi nhận thức về vấn đề này tăng lên, các công ty bắt buộc phải ưu tiên bảo vệ bí mật và đầu tư vào các giải pháp sáng tạo giúp phát hiện và khắc phục các mối đe dọa tiềm ẩn.
Uber đã hứng chịu một cuộc tấn công trong đó kẻ tấn công giành được quyền truy cập vào các hệ thống quan trọng bằng cách sử dụng thông tin xác thực quản trị viên được mã hóa cứng có trong tập lệnh PowerShell. Ngược lại, Toyota đã vô tình để lộ thông tin đăng nhập cấp quyền truy cập vào dữ liệu khách hàng trong kho lưu trữ GitHub công khai trong gần 5 năm. Cả hai sự cố đều là những lời nhắc nhở rõ ràng về những rủi ro liên quan đến việc tiết lộ bí mật. Ngoài ra, như báo cáo đã chỉ ra, hầu hết các sự cố bảo mật đều liên quan đến các bí mật ở một số điểm: đó có thể là các khóa bị kẻ tấn công lợi dụng hoặc bị lộ thông qua mã nguồn bị rò rỉ chẳng hạn.
Một điểm mù lớn trong bảo mật ứng dụng
Với 1 trong số 10 tác giả viết mã tiết lộ một bí mật vào năm 2022, rõ ràng là vấn đề này vượt qua mức độ kinh nghiệm và ảnh hưởng đến các nhà phát triển trên toàn diện.
Quản lý bí mật đang ngày càng thu hút sự chú ý khi ngày càng có nhiều tổ chức xem xét kỹ lưỡng các quy trình chuỗi cung ứng phần mềm của họ sau một loạt các vụ vi phạm bảo mật nghiêm trọng. Các nhóm an ninh mạng có truyền thống tập trung vào việc xác định các lỗ hổng thay vì phát hiện ra các thông tin đăng nhập được bảo mật kém. Do đó, vô số ứng dụng chạy trong môi trường sản xuất có thể gặp sự cố quản lý bí mật chưa được khám phá.
Trong một kịch bản hoàn hảo, việc áp dụng các phương pháp hay nhất của DevSecOps sẽ giải quyết vấn đề đang gia tăng này. Tuy nhiên, với sự mở rộng liên tục của các kho mã, nhiều lỗi cơ bản hơn xuất hiện. Nhận thấy các lỗ hổng trong chuỗi cung ứng phần mềm, tội phạm mạng chủ động quét các kho lưu trữ để tìm ra các bí mật có thể tạo điều kiện cho các vi phạm ứng dụng.
Vấn đề có thể sẽ trở nên tồi tệ hơn khi các cuộc tấn công vào chuỗi cung ứng phần mềm dự kiến sẽ leo thang. Khi công nghệ tiến bộ và mã trở nên gắn bó hơn với cuộc sống hàng ngày của chúng ta, những rủi ro liên quan đến việc mở rộng bí mật trở nên cấp bách hơn.
Việc tăng cường tập trung vào việc đảm bảo an toàn cho chuỗi cung ứng phần mềm, đặc biệt là theo Chiến lược an ninh mạng quốc gia của chính quyền Biden, dự kiến sẽ thúc đẩy nhiều tổ chức CNTT triển khai các biện pháp bảo mật đầu cuối trong vòng đời phát triển phần mềm của họ. Do đó, các nhóm DevOps nên dự đoán mức độ tập trung ngày càng tăng vào việc quản lý bí mật từ các chuyên gia an ninh mạng.
Thực hiện các biện pháp chủ động để giảm thiểu rủi ro mở rộng bí mật
Để chống lại mối đe dọa ngày càng tăng này, các tổ chức phải ưu tiên bảo vệ bí mật của họ và đầu tư vào các giải pháp để phát hiện và giải quyết các lỗ hổng tiềm ẩn.
Sự phát triển liên tục của mô hình mọi thứ dưới dạng mã và việc hàng hóa hóa cơ sở hạ tầng và dịch vụ kỹ thuật số có nghĩa là phần mềm, mã và bí mật sẽ chỉ trở nên quan trọng hơn trong hoạt động kinh doanh hàng ngày của họ.
Không thể loại bỏ hoàn toàn nguy cơ lộ bí mật, ngay cả với các hệ thống quản lý bí mật tập trung. Nhưng nó có thể được giảm thiểu bằng cách giải quyết các thực hành vệ sinh bí mật kém và thực hiện các hướng dẫn khắc phục.
Để đo lường mức độ mà chương trình phát hiện và khắc phục bí mật có thể mang lại cho tổ chức của bạn, bạn có thể sử dụng Công cụ tính giá trị miễn phí của chúng tôi để ước tính chi phí có thể xảy ra nếu không xử lý khoản nợ bảo mật bao gồm hàng nghìn bí mật được mã hóa cứng hiện nay.
Bằng cách học cách chung sống với vấn đề này và sử dụng các công cụ và tài nguyên phù hợp, các công ty có thể giảm đáng kể rủi ro liên quan đến các bí mật bị rò rỉ và khai thác.
Tóm lại, việc phát tán bí mật là một mối đe dọa ngày càng tăng đòi hỏi sự chú ý ngay lập tức của các tổ chức. Với các công cụ và chiến lược phù hợp, các công ty có thể giảm thiểu rủi ro liên quan đến các bí mật bị rò rỉ và khai thác. Đã đến lúc ưu tiên quản lý bí mật và đầu tư vào các giải pháp sáng tạo để đảm bảo bí mật của chúng ta luôn an toàn và bảo mật.
Trong một thế giới nơi thông tin là sức mạnh, đã đến lúc phải hành động và đảm bảo bí mật của chúng ta vẫn an toàn dưới ổ khóa và chìa khóa.
