انتشار الأسرار – بودكاست
في هذا البودكاست ، نتعمق في إصدار 2022 من تقرير حالة الأسرار الممتدة مع ماكنزي جاكسون ، محامي المطورين في GitGuardian. نتحدث عن المشكلات التي تواجهها الشركات من خلال التسريبات العامة من مجموعات مثل Lapsus والمزيد ، بالإضافة إلى طرق للمطورين للحفاظ على أمان التعليمات البرمجية الخاصة بهم.
هل استطيع ان اقول لك سرا؟ هل ستبقيها بيننا؟ ربما تكون قد قلت هذا أو سمعت عنه عندما يتعلق الأمر بالأصدقاء والعائلة. ومع ذلك ، هل تعلم أيضًا أن الاحتفاظ بالسرية ، أو عدمه ، هو أحد أكبر المشكلات التي تواجهها الشركات؟
في أحدث إصدار في Threatpost Podcast Series ، تناقش المضيفة Becky Bracken ماهية الأسرار وكيف تكمن في الكود المصدري. يشرح ماكنزي جاكسون ، محامي المطورين في GitGuardian ، المشكلات التي تسببها التسريبات العامة وكيفية الحفاظ على أنظمتك آمنة.
يحدد تقرير حالة الأسرار الممتد حتى عام 2021 الصادر عن GitGuardian نطاق مخاطر أسرار العمل.
يمكن أن يكون السر أي بيانات حساسة نريد الحفاظ على خصوصيتها. عند مناقشة الأسرار في سياق تطوير البرامج ، تشير الأسرار عمومًا إلى بيانات اعتماد المصادقة الرقمية التي تمنح الوصول إلى الخدمات والأنظمة والبيانات. هذه هي الأكثر شيوعًا مفاتيح واجهة برمجة التطبيقات أو أسماء المستخدمين وكلمات المرور أو شهادات الأمان.
“الأسرار هي التي تربط الكتل الإنشائية المختلفة لتطبيق واحد معًا من خلال إنشاء اتصال آمن بين كل مكون. تمنح الأسرار الوصول إلى الأكثر حساسية
الأنظمة. “
للحصول على رؤى تنفيذية إضافية ، تحقق من موقع Threatpost podcast المصغر.
بيكي براكن: مرحبًا ، اسمي بيكي براكن. ويسعدنا أن نرحب بكم اليوم في أحدث إصدار من سلسلة Threatpost podcast. يسعدني أن أرحب بماكنزي جاكسون ، وهي مدافعة عن مطوري البرامج لدى GitGuardian. وهو هنا للتحدث إلينا اليوم عن الامتداد السري ، وأسرار الشركة الكامنة في شفرة المصدر. هل هذه طريقة جيدة لشرحها يا (ماكنزي)؟
ماكنزي جاكسون: نعم ، هذا رائع. أنا أحب الطريقة التي قلتها كامنة. يجعل الأمر يبدو مشبوهًا تمامًا ، وهو بالتأكيد نوع من التسلل. هذه هي الطريقة التي يجب أن نفكر بها في أسرارنا وهذا أمر جيد.
BB: فلنتحدث ، ودعنا نحدد السر الكامن في شفرة المصدر. ما هي بعض التفاصيل الحساسة التي قد لا تكون الشركات على علم بها؟
MJ: أجل ، بالطبع. لذلك ، يمكن تعريف السر على أنه بيانات اعتماد المصادقة الرقمية ، وهي مجرد طريقة خيالية لقول مفتاح API وشهادة الأمان وأقران الاعتماد ، إنه حقًا أي شيء يوفر ويمنح الوصول إلى الخدمات الخارجية والبنية التحتية والبيانات.
لذلك يمكننا أن نفكر في أسرارنا على أنها جوهرة التاج لمنظمتنا ، لأنها تصادق ، كما تعلمون ، الأنظمة والمستخدمين في مناطق مختلفة. من المهم حقًا أن نتأكد من أن هذه العناصر مؤمنة بإحكام ، وملفوفة في الكثير من طبقات المصادقة ، لأنه إذا وقع عليها فاعل ضار ، فمن الواضح أنه يمكنه اختراق أنظمتنا الداخلية ، ويمكنه رفع امتيازاته ، ويمكنه تقوم بجميع أنواع الأنشطة الضارة. بمجرد المصادقة عليها بشكل صحيح.
BB :: GitGuardian ، لقد أصدرتم للتو هذا التقرير المفصل بشكل لا يصدق عن حالة انتشار الأسرار. لذلك ، دعونا ولأي شخص مهتم بمزيد من المعلومات حول GitGuardian هذا يمكنه تقديم هذا التقرير لك لتنزيله. هناك ثروة من المعلومات هناك. ولكن ، لنتحدث قليلاً عن مكان وجود هذه المستودعات. أعلم أن أحد الأماكن الواضحة يعتقد الجميع أنه GitHub ، لكن التقرير يوضح حقًا أنه ليس بالضرورة أحد أكثر الأماكن خطورة. صحيح؟
MJ :: نعم ، هذا صحيح. نحن ننظر في حالة الأسرار لدينا ، التقرير الكامل ، نقوم بمسح الكثير من المجالات المختلفة بحثًا عن الأسرار. تحدثنا عن جيثب. نحن نفحص كل التزام عام تم إجراؤه على GitHub ، ونحو مليار التزام ، في العام الذي نفحصه ، والذي يوفر دائمًا كميات هائلة من المعلومات.
وهذا من أسوأ الأماكن التي يمكن أن ينتهي بها الأمر بسر. ولكن إذا كنا نتحدث عن التهديدات التي تتعرض لها المنظمات ، فإننا نحتاج أيضًا إلى مراعاة المجالات المختلفة غير الواضحة جدًا. تصبح مستودعات Git الداخلية الخاصة أهدافًا ضخمة وذات قيمة عالية للمهاجمين ، لأنهم معروفون باحتوائهم على الكثير من الأسرار. تشمل المناطق الأخرى صور Docker والحاويات الأخرى.
لأنه عندما نبنيها ، إذا قمنا ببنائها من الكود المصدري ، إذا كانت الشفرة المصدرية بها أسرار في صورة Docker ، أو أن الحاوية ستحتوي على أسرار ، لذا عامة ، GitHub هو الذي يفكر فيه الجميع. وهناك الكثير الذي يمكننا التحدث إليه بشأن ذلك. ولكن هناك أيضًا هذه ، كل هذه المجالات الأخرى التي تحتاج المؤسسات إلى أخذها في الاعتبار لأنها تتزايد
عن قصد أصبح هدفًا مفصلاً حقًا للمهاجمين.
BB :: لنتحدث عن كيفية رؤية المهاجمين لها. وأردت أيضًا أن أوضح ، إحدى المفاجآت التي رأيتها كانت الخدمات السحابية ، مثل AWS يمكنها أيضًا الاحتفاظ بالكثير من هذه الأسرار. فكيف يتعامل المهاجمون مع هذا؟ وما الذي يرون أنه الفرص المحتملة في هذه المستودعات؟
MJ :: المهاجمون بارعون حقًا في اكتشاف بيانات الاعتماد هذه. يعد حصاد بيانات الاعتماد أسلوبًا قويًا حقًا يستخدمونه ، لا سيما للوصول الأولي. إذا نظرنا إلى بعض الانتهاكات الأخيرة التي حدثت ، فيمكننا أن نأخذ حالة Uber ، والتي كانت مؤخرًا إلى حد ما. كان لديهم موظف نشر عن طريق الخطأ بعض رموز الشركة على مستودع GitHub العام. لم يكن مستودع GitHub العام مملوكًا لشركة Uber ، بل كان مملوكًا للموظفين أنفسهم. دفع المطور عن طريق الخطأ بعض التعليمات البرمجية المصدر إليه ، وكان يحتوي على بعض مفاتيح مزود الخدمة السحابية التي تمنح الوصول إلى Uber. ثم كان لديهم خرق يتبع ذلك. في هذه الحالة ، يمكنك أن ترى أن المهاجم قد أنشأ بالفعل محيطًا حول Uber واكتشف من يعمل لدى Uber ، ومن هم المطورون هناك ، ثم بدأ في مراقبة تلك المستودعات الشخصية بحثًا عن بيانات اعتماد مسربة.
نحن نرى هذا نرى هذا كثيرًا جدًا. نحن نعلم أن SolarWinds ، على الرغم من عدم الاعتراف بها رسميًا ، كنقطة وصول أولية. نحن نعلم أن الوصول إلى خادم SolarWinds قد تم تسريبه بواسطة موظف ومستودع GitHub العام الشخصي. مرة أخرى ، يمكننا أن نرى الجهات الخبيثة التي تراقب المحيط حول الشركات. وهو أمر مخيف بشكل خاص في مجاله العام ، نظرًا لعدم سيطرة المؤسسة عليه ، لا يمكنك التحكم في ما يفعله موظفوك. وفي معظم الحالات ، إنه حادث.
لكن ليس لديك سيطرة تحكم على ما هو المستودع الشخصي لموظفيك. وبعد ذلك ، إذا نظرنا إلى ، كما تعلمون ، بعض التقنيات الأخرى ، فيمكننا إلقاء نظرة على Codecov ، وهي أداة تغطية رمز ، وكان لديهم هجوم سلسلة إمداد هائل ، وكل ذلك نابع من حقيقة أن لديهم بيانات اعتماد تم منحها حق الوصول إلى نظام التحكم في التعليمات البرمجية المصدر الذي تم تسريبه في صورة عامل ميناء عام. مرة أخرى ، يمكننا أن نرى الخصوم ، يسحبون المعلومات العامة مثل صور Docker ، ويفصلونهم عن بعضهم البعض ، ويفحصونهم بحثًا عن الأسرار. وإذا كان هناك كشف أسرار ، فاستخدم ذلك لإطلاق نشاط ضار في حالة برنامج Codecov ، فسيتم حقن شفرة ضارة وتسبب في جميع أنواع الخراب.
ومن ثم فإن النقطة الأخيرة التي سأوضحها هي ، كما تعلمون ، مؤخرًا Lapsus في فم الجميع في الوقت الحالي. لقد سمعنا الكثير عنهم. وقد قاموا بتسريب الكثير من شفرة المصدر الداخلية. وهذا مجال آخر حيث قمنا بمسح كود مصدر Samsung ووجدنا حوالي 6000 من بيانات الاعتماد داخل كود المصدر الذي سربه Lapsus. إذن لدينا هنا مجال آخر حيث يمكننا أن نرى لماذا يستهدف الخصوم المستودعات الداخلية ، لأنه حتى Samsung ، التي ستكون أكثر وعيًا بالأمان من معظم الشركات لا تزال لديها كميات هائلة من الأسرار.
ما رأيناه في مستودع كود مصدر Samsung كان في الواقع أعلى بكثير من معيار الصناعة. كانت لديهم أسرار أقل مما يمكن توقعه في شركة مقارنة. لا أريد أن أقول أن قضية الأسرار لا تزال في حالة فوضى كاملة. أنا لا أهاجم سامسونج أو أي شخص آخر. لكن كما تعلم ، هذه مجرد مشكلة كبيرة. ويمكنك حقًا رؤية الأساليب المختلفة التي يستخدمها الخصوم للحصول على بيانات الاعتماد هذه ، ولماذا يستهدفون تقنيات معينة.
BB :: الآن ، من الأمور الشائعة التي لاحظتها في تقريري عبر مجتمع الأمن السيبراني ، هو هذا التعاون المتزايد بين المطورين والأمن. وأنا أعلم أن GitGuardian له دور محدد في هذا المجال. فلنتحدث عن كيف يمكنك ذلك ، فالجميع يود أن يحدث ذلك. فلنتحدث عن كيف يمكنكم جميعًا سد هذه الفجوة قليلاً؟
MJ :: بالتأكيد. حسنًا ، على سبيل المثال ، تم إعطاؤه الكثير من الأسماء التي تنتقل إلى اليسار أو عمليات تطوير SEC. لكنك تعلم ، بشكل أساسي ، مثل كلماتنا الطنانة الأخرى ، أنا متأكد من أن شخصًا ما سيخلق ، كما تعلمون ، لكن بشكل أساسي ، يتعلق الأمر ، كما تعلمون ، كل شخص لديه مسؤولية مشتركة ، في مجال الأمن. وأعني ، مثل ، أنا مدافع عن المطورين ، كما تعلم ، وأعمل في شركة أمنية. وأنا أدافع دائمًا عن وجود مسؤولية مشتركة يجب على المطورين أن يشاركوا فيها ليكونوا نشطين في هذا الأمان ، لكنهم لا يحتاجون إلى أن يصبحوا مهندسي أمن ، فهم بحاجة إلى التركيز على ما يتحكمون فيه ، وما هم يقدر على.
لذلك في GitGuardian ، نقوم بمسح الأنظمة الداخلية ومستودعات git وصور Docker بحثًا عن الأسرار. ولدينا أداة يستخدمها فريق الأمن والتي تمنحهم نظرة عامة على ما يحدث ، صحيح ، إذا تم تسريب الأسرار في مكانها. وبعد ذلك يمكنهم ، يمكنهم ، يمكنهم علاجها.
لكن لدينا أيضًا مجموعة من الأدوات المجانية للمطورين ، والتي تمكنهم من أن يكونوا جزءًا من هذا الحل. حتى يتمكنوا من استخدام منتج أطلقنا عليه اسم ggshield لتثبيت التزام مسبق أو التزام مسبق
خطاف الدفع ، والذي سيمنع عمليات الالتزام بأنظمة التحكم في الإصدار ، إذا كانت تحتوي على أسرار. كما تعلم ، نحن لا نعطل عملهم ، فهو يتناسب مع دورة الحياة الحالية ، ولا نضيف أي شيء آخر للقيام به. لكن النتيجة النهائية هي أن مهندسي الأمن لديهم القليل من هذه الحوادث للتعامل معها ، عندما ننفذ ذلك.
لذا فإن الأمر يتعلق بتحمل تلك المسؤولية المشتركة حيث ، حسنًا ، لست بحاجة إلى معرفة كل شيء عن الأمان ، لكنني أتعامل مع شفرة المصدر ، وبعد ذلك سأتولى بعض تلك المسؤولية المشتركة للتأكد من أن شفرة المصدر الخاصة بي لا يحتوي على أسرار. الصحيح.
BB :: ما أنا عليه مرارًا وتكرارًا ، أريد توجيه مستمعينا إلى حالة GitGuardians الخاصة بالامتداد السري لعام 2021. هناك الكثير من المعلومات الدقيقة حقًا هناك. لكنني أردت أن أصرح يوم 20 تشرين الثاني (نوفمبر) باعتباره يومًا مؤثرًا. على ما يبدو ، هذا هو اليوم الذي تم فيه تسريب معظم الأسرار من العام الماضي. فهل يمكنك أن تشرح لنا لماذا كان هذا اليوم مثل هذه الخاصية الساخنة؟ وماذا يخبرنا ذلك على نطاق أوسع؟
MJ :: نعم. لذلك في ذلك اليوم بالذات ، لسنا متأكدين تمامًا من سبب كون ذلك اليوم هو WIDA. لكن هناك بعض المعلومات أن ذلك اليوم كان يوم سبت. وعندما ننظر إلى المعلومات ، ما يمكننا رؤيته هو أن أكبر قدر من الأسرار يتم تسريبه علنًا في عطلات نهاية الأسبوع. كما تعلم ، عندما نسأل الناس ، متى تعتقد أنه سيتم تسريب معظم المعلومات الحساسة ، إنه نوع من الجمعة ، ربما تقوم ببناء يوم الجمعة بعد الظهر ، لديك تفكيرك بعد البيرة بعد العمل ، وأنت ارتكاب خطأ ، أو دفع بعض التعليمات البرمجية ، كما تعلم ، أو يوم الإثنين ، إذا كنت متأخرًا قليلاً في عطلة نهاية الأسبوع ، لكنها في الواقع عطلة نهاية الأسبوع لأن الناس يعملون على أجهزتهم الشخصية. قد يكونون يعملون في مشاريع شخصية ، وعندها ينتهي المطاف بالأسرار في الأماكن العامة. لذلك ، نعم ، إنها ظاهرة مختلفة أعتقد أن أي شخص يتوقعها. وإذا تجاهلنا عطلات نهاية الأسبوع ، فإن الأماكن التالية الأكثر شيوعًا لتلك النخبة السرية هي أيام العطل الرسمية. فلماذا 10 نوفمبر؟ كان اليوم الذي فكرت فيه ، بالتأكيد كان يومًا حزينًا. ربما يكون هذا نوعًا ما بين ذلك قبل عطلة عيد الميلاد ومحاولة الانتهاء هنا. لكن مشاريعك هناك.
BB :: نعم ، كان يوم السبت ، 20 نوفمبر. لذا ، فهذه الوظائف ومرة أخرى ، كما تعلمون ، كثيرًا ما تسمع أن أكثر الضرائب شريرًا ستحدث في عطلة عامة عندما يكون الناس على الأقل في حالة حراسة ، على ما أعتقد. نعم نعم.
MJ :: نعم. أعتقد أنني كنت أقول العاشرة ، أنك على حق. إنها اليوم العشرين. لذا خطأي.
BB :: لقد كتبت هنا للتو. وكنت أغش قليلا. قمة لي؟ حسنًا ، مرة أخرى ، أود أن أوضح أنه يوجد الكثير ، كما تعلمون ، معلومات دقيقة حول حالة الانتشار السري لها والكثير من المعلومات الجيدة. لكنني أعتقد أنه ربما أختتم الأمر اليوم ، ولكن نظرًا لأنك مدافع عن مطور ، وهذا ليس شيئًا لا نسمعه بالضرورة من ما يكفي ، أعتقد في تقارير الأمن السيبراني ، ربما هناك بعض الكلمات الفاصلة للحكمة التي يمكنك تركها مع الأمن المجتمع ، لإشراك المطورين بشكل أفضل لجلبهم إلى القضية؟ بدلاً من تأطير هذا على أنه نوع من العلاقة أكثر عدائية؟
MJ :: نعم ، بالتأكيد. أعني ، إنه ممتع ، لأنني أمشي بين عالمين ، العالمين هناك. وأنا لا أشعر بالضرورة بوجود صراع في نفسي ، لكنني بالتأكيد أراه في كل مكان. وأعتقد أن جزءًا من ذلك يرجع إلى وجود ضغط على جميع الفرق القادمة من مناطق مختلفة. لذا فإن المطورين لديهم هذا القدر الهائل من الضغط لإصدار نوع من البرامج بسرعة لإنجاز البناء التالي نوعًا ما. لقد انتهوا من السباق التالي. ومن الواضح أن فرق الهندسة الأمنية وفرق العمليات لديها قدر هائل من الضغط للتأكد من أن كل شيء يعمل بسلاسة ، وأنه لا يوجد توقف ، ولا توجد انتهاكات. لذلك لا توجد ثغرة أمنية.
إذن لديك هذه المصالح المتضاربة. وما أراه يعمل جيدًا حقًا هو إنشاء محادثة في منطقة يتحكم فيها كل شخص فيها. لذلك ، على سبيل المثال ، تشجيع المطورين على التحكم في إدارة أسرارهم ، والتأكد من عدم تسريبهم لأسرارهم ، في كود المصدر الخاص بهم هو شيء يتحكمون فيه ليس مفهومًا مجردًا ، إنه شيء سوف يفهمون عن كثب. وبعد ذلك يضعهم على الفور في مقعد السائق. لذلك سيؤدي ذلك إلى إنشاء علاقة أفضل ومشاركة وإنشاء نوع من الهدف المشترك في ذلك ، وهو ما يدور حوله في النهاية.
لذا ، نعم ، بالحصول على فكرة أوسع من الأسرار للتأكد من أن المطورين لديهم أدوات في أيديهم لمساعدتهم على مساعدة فرق الأمان من خلال ، كما تعلمون ، السماح لهم بإجراء ممارسات ترميز جيدة ، تتناسب مع دورات حياتهم. يتحكمون في الكثير من هذه الأنواع من إجراءات المنع ولا ينفذونها حيث يحتاجون إلى التحدث إليك حيث يحتاجون إلى الوصول إلى نوع ما ولا يفهمون ذلك حقًا ، ولا يتم شرحه ويشعرون بالإحباط نوعًا ما. وسخيفة بعض الشيء. لذلك من خلال السماح لهم ببعض السيطرة على ماذا
يمكنهم التحكم ، ويصلح على الفور بعضًا من هذا التوتر في العلاقة. لذا فأنا من أشد المدافعين عن التحول إلى اليسار. لا أتوقع أن يتعمق المطورون نوعًا ما ويعرفون أن كل شيء عن الأمان هو موضوع ضخم لا يمكنك القيام به ، ولكن هناك بعض العناصر التي يمكنهم القيام بها والتي ستساعد العلاقة بالتأكيد.
BB :: رائع. أعتقد أن هذه نصيحة رائعة. مرة أخرى ، نحن هنا نلقي نظرة على حالة تقرير الامتداد السري من GitGuardian. و McKenzie ، أردت فقط أن أعطيك فرصة قبل أن نختتم للتحدث عن أي معلومات أخرى تعتقد أنها ستكون مفيدة أو تريد أن يعرف مستمعونا المزيد عنها.
MJ :: نعم ، بالتأكيد. أعني ، أعتقد دائمًا أنه من المفيد نوعًا ما فهم حجم هذا الذي نتحدث عنه. يعلم الجميع أن الأسرار سيئة. يعلم الجميع أنه لا ينبغي أن يكون في الأماكن العامة ، كما تعلمون ، ولكن كم مرة يحدث ذلك؟ لذا فإن الحقائق الأساسية من دور حالة الأسرار هي أنه في العام الماضي 2021 ، وجدنا 6 ملايين وثيقة اعتماد تم تسريبها علنًا. وذلك فقط في GitHub العامة. وهي لا تؤثر حتى في صور Docker ، نجد أن 4.6٪ من صور Docker تحتوي على أسرار. والأكثر رعبا هو عندما ننظر في الواقع إلى المستودعات الداخلية ، وعندما يكون متوسط الشركة 400 ، سيجد المطورون حوالي 1000 ، سر فريد ، لكل منها حوالي 13 حدثًا. لذلك ننظر إلى هذا ، هذا ضخم ، حجمه ضخم. وعندما أتحدث دائمًا عن هذا ، وفقط لإنهاء هذا نوعًا ما ، هذا ، كما تعلمون ، هذه ليست مشكلة صغيرة يتم استخدام أوراق الاعتماد بطرق متنوعة من قبل الجهات الخبيثة. ولكي نكون قادرين على فهم المشكلة ، علينا أن نفهم نطاقها.
كلماتي العابرة لن تخيف أحدا. لكن بالتأكيد ألق نظرة على التقرير وتعمق قليلاً في فهمه. وكما تعلمون ، يجب أن يعرف حجم المشكلة مع هذا حتى نتمكن كمجتمع من البدء في إصلاحها ، لأنه سيتعين عليها إشراك الجميع ، لأنك تشارك من التعليم إلى المطورين وفرق الأمن ، فرق العمليات ، وكذلك مقدمو الخدمات أنفسهم يتحملون المسؤولية في هذا أيضًا. لذلك لدينا جميعًا وظيفة نلعبها وآمل أن أخفي حالة سرية لمدة عام واحد يمكننا فيها الحصول على أقل من مليون ورقة اعتماد تم العثور عليها في عام وأعتقد أن هذا سيكون رائعًا.
BB :: كنت سأقول أن الوقت قد حان لكي نشمر عن سواعدنا وننظف تلك المستودعات. ومرة أخرى ، نأمل العام المقبل ، أن تكون حالة كرة الأسرار لدينا أصغر بكثير. حسنًا ، نريد ، مرة أخرى ، التفكير في GitGuardian. نود أن نشكر ماكنزي على تخصيص بعض الوقت لإلقاء الضوء على هذا الموضوع لنا اليوم. بالنسبة إلى أي Threatpost ، المستمعين ، مرة أخرى ، المهتمين بالاستكشاف ، وفقًا لتقرير GitGuardians ، يمكننا توفير ذلك أو التواصل مع Mackenzie مباشرةً. أنا متأكد من أنه سيسعده توجيهك إلى الأشخاص المناسبين داخل مؤسسته. لمزيد من المعلومات حول Threatpost Podcast Series. اسمي بيكي براكن ، أنا صحفي مع Threatpost. وإذا كانت لديك أي أسئلة أو تعليقات حول سلسلتنا المستمرة ، فيرجى التواصل معي مباشرةً. لكن اليوم ، نريد أن نشكرك ماكنزي ونشكر GitGuardian على مساعدتنا في استمرار المسلسل.