7 ошибок безопасности, которые совершают другие, и вы (вероятно) не должны этого делать
18 мая 2023 г.Независимо от уровня ваших знаний о безопасности, есть несколько простых действий, которые сразу же повысят безопасность вашего программного обеспечения. Это низко висящие плоды безопасности, которые до сих пор не используются многими компаниями. Изучите распространенные ошибки безопасности, которые совершали другие, и извлеките из них ценные уроки.
Ошибка №1: Непроверка учетных данных для входа
Equifax, кредитная компания, использовала общее имя пользователя и пароль "admin" для базы данных за пределами США, в частности, на своем веб-сайте в Аргентине. Исследователи из компании Hold Security, специализирующейся на кибербезопасности, обнаружили эту уязвимость и получили доступ к личной информации сотрудников, включая имена, адреса электронной почты и данные социального обеспечения более чем 100 человек.
Усвоенный урок
Убедитесь, что все учетные записи администраторов не имеют учетных данных для входа по умолчанию или легко взломанных учетных данных, таких как логин: admin, пароль: admin.
Ошибка №2: Хранение конфиденциальных данных в коде
Репортер St. Louis Post-Dispatch обнаружил, что обвинение в взломе/">номера социального страхования учителей штата Миссури были встроены в исходный HTML-код веб-сайта, управляемого департаментом образования штата. Газета проинформировала государство о проблеме. Однако губернатор штата Миссури не очень обрадовался, назвав действия газеты хакерскими атаками…
Усвоенный урок
Проверьте, не жестко ли запрограммированы тестовые учетные данные или конфиденциальные данные в комментариях к внешнему коду.
Ошибка № 3: легко взломать учетные данные CI/CD
По словам Business Leader, хакеры получить доступ к корпоративным серверам, используя плохие методы обеспечения безопасности, в частности, используя обычные пароли или пароли по умолчанию. Хакеры обычно используют учетные данные по умолчанию, в том числе учетные данные Raspberry Pi по умолчанию и учетные данные, используемые на компьютерах с Linux, для получения несанкционированного доступа к серверам.
Усвоенный урок
Если вы используете поставщиков CI/CD и другие внешние инструменты или информационные панели, убедитесь, что все учетные записи по умолчанию не имеют легко взломанных учетных данных.
Ошибка №4: Проверка секретов в репозиториях
Исследователи CloudSek обнаружили, что в популярных мобильных приложениях происходит утечка ключей Amazon Web Services (AWS), раскрывающая пользовательские данные и корпоративную информацию. Исследователи обнаружили, что примерно 0,5 % из 8 000 исследованных приложений содержали жестко запрограммированные закрытые ключи для API AWS.
Усвоенный урок
Проверьте, нет ли каких-либо секретов, например. Ключи AWS, пароли и т. д. не сохраняются в репозиториях.
Секретные инструменты обнаружения утечек, которые можно внедрить прямо сейчас:
Gitleaks — доступен бесплатно в качестве инструмента для сканирования секретных утечек во всех тарифных планах Gitlab.
TruffleHog — работает как расширение Chrome, которое показывает секретные утечки на веб-сайтах.
Сканирование секретов GitHub — оповещения о сканировании секретов для репозиториев GitHub. Это бесплатно для всех общедоступные репозитории.
Ошибка №5. Открытие нежелательных портов
Конфиденциальный и конфиденциальный список наблюдения правительства США, известный как список запрещенных для полетов, просочился после того, как его оставили незащищенным на сервере авиакомпании. Список содержит имена лиц, которым запрещено летать из-за подозрений в связях с террористами или других соображений безопасности. Сотрудник авиакомпании обнаружил незащищенный сервер и сообщил о взломе в Департамент внутренней безопасности.
Усвоенный урок
Убедитесь, что используемые вами службы не имеют нежелательных открытых портов.
Инструменты для сканирования открытых портов:
Censys — бесплатная поисковая система, которую можно использовать для инфракрасной разведки.
Shodan – платная альтернатива Censys.
Ошибка №6. Взятие ключей из руководств
Шифрование автомобиля Hyundai было успешно взломано, что позволило удаленно управлять функциями автомобиля. Hyundai использовала пару открытого и закрытого ключей из руководства и поместила открытый ключ в свой код. Разработчик программного обеспечения обнаружил недостаток в алгоритме шифрования, используемом для связи автомобиля с его мобильным приложением. Используя эту уязвимость, был получен несанкционированный доступ к системам автомобиля, что позволило выполнять такие действия, как отпирание дверей и запуск двигателя.
Усвоенный урок
Не используйте открытые ключи из руководств.
Ошибка №7. Забыли отозвать доступ
Исследование Beyond Identity показало, что около 25% бывших сотрудников по-прежнему имеют доступ к своим бывшим рабочим аккаунтам и электронной почте, при этом более 41% из них признались, что делились своими учетными данными для входа.
Усвоенный урок
Регулярно закрывать доступ к любым инструментам у бывших сотрудников или людей, которые они не нужны, чтобы уменьшить поверхность атаки.
Рассмотрите возможность использования единого входа для всех ваших служб, например входа через Google.
Каких еще ошибок не следует делать?
Загрузите нашу бесплатную электронную книгу и получите доступ к лучшим методам и инструментам обеспечения безопасности.
Оригинал