histats

Comment gérer et réduire la prolifération clandestine

Comment gérer et réduire la prolifération clandestine

Les secrets, ou informations d’identification numériques, permettent aux éléments d’un environnement de communiquer avec un minimum de confidentialité et de sécurité et de déverrouiller l’accès aux systèmes, applications et données essentiels au succès des opérations commerciales.

Ces chaînes de code nécessaires et puissantes sont largement partagées, mais en même temps, elles doivent être protégées et gérées pour maintenir leur intégrité.

Le problème des secrets

Le volume de secrets utilisés dans les organisations a augmenté de façon exponentielle avec la prolifération des appareils mobiles, des applications et des services cloud.

Voici des exemples de secrets que les organisations utilisent et doivent protéger :

  • Jetons OAuth
  • Clés API
  • Identifiant Mot de passe
  • Certificats SSH/TLS
  • clés de chiffrement et de signature de code
  • identificateurs de machine
  • authentification des applications

Le problème avec les secrets, c’est qu’ils ne sont pas secrets. Ils sont répliqués et stockés dans l’ensemble de l’infrastructure de l’entreprise. C’est par nécessité; les secrets doivent être disponibles et distribués entre les applications et les appareils pour permettre la communication. Cependant, cette utilisation peut signifier que plusieurs copies d’un secret sont stockées de manière aléatoire – et aléatoire. Les secrets peuvent également être codés en dur dans les applications et les appareils, ce qui les rend non sécurisés.

Le caractère irrégulier et effréné de la prolifération clandestine crée ce que l’on appelle diffusion secrète.

Comment les attaquants obtiennent des secrets

L’étalement des secrets rend difficile le contrôle et la visibilité des secrets. Il élargit également considérablement la surface d’attaque d’une organisation, donnant aux attaquants plus de possibilités de découvrir un secret actif et de l’exploiter.

Étant donné que les secrets sont un point d’entrée dans les applications et les appareils, les cybercriminels les convoitent. Les études sur les cyber-violations indiquent systématiquement que des informations d’identification compromises facilitent les violations. Pourquoi les attaquants enfonceraient-ils une porte alors qu’ils peuvent la déverrouiller ?

Les attaquants peuvent acquérir des secrets via plusieurs méthodes différentes. Une façon consiste à les récolter à partir de référentiels accessibles au public. Les secrets codés en dur dans les applications et les appareils peuvent également être trouvés en ligne – par exemple, dans les tables arc-en-ciel. Les acteurs malveillants peuvent également utiliser une technique connue sous le nom de Google Dorking pour découvrir les noms d’utilisateur, les mots de passe et les clés SSH. De plus, de nombreux secrets consistent en une chaîne de caractères aléatoire de longueur définie, ce qui permet de les trouver dans le code logiciel.

L’exploitation des secrets n’est pas théorique. Un exemple notoire est le malware Mirai. Mirai a analysé les réseaux à la recherche d’appareils IoT spécifiques auxquels il pourrait se connecter avec des noms d’utilisateur et des mots de passe par défaut connus. Une fois connecté, il a ajouté l’appareil infecté à un botnet à utiliser dans les attaques DDoS. Dans un autre exemple, les chercheurs de DataBreaches.net ont trouvé les dossiers de 150 000 à 200 000 patients de neuf organisations liées à la santé dans les référentiels GitHub.

L’essentiel est que l’étalement secret est une vulnérabilité majeure pour les entreprises.

Comment contrôler l’étalement secret

Il n’y a pas de solution facile pour gagner en visibilité et en contrôle sur les secrets. Cependant, les organisations peuvent mettre en œuvre certaines actions pour réduire la surface d’attaque étendue.

La première étape consiste à mieux comprendre les secrets qui peuvent être disponibles pour les attaquants. Utilisez l’outil open source TruffleHog, par exemple, pour trouver des clés en JavaScript ou des paramètres de partage de ressources entre les origines dans les API.

Rappelez aux employés qui créent des secrets de les protéger et de ne pas les rendre publics. Les organisations peuvent compléter ces efforts de sensibilisation à la cybersécurité en appliquant une politique zéro secret dans le code. Les développeurs ont besoin des outils pour implémenter cela.

Enfin, disposez d’un emplacement central capable de gérer tous les aspects du cycle de vie du secret. Les actions spécifiques devraient inclure les étapes suivantes :

  1. Faites le point sur tous les secrets et les associations secrètes.
  2. Gérer les sociétés secrètes pour s’assurer que l’accès est conforme à la politique.
  3. Documentez à quoi sert chaque secret, pourquoi il a été créé et à qui il appartient.
  4. Mettez à jour, révisez, renouvelez et supprimez régulièrement les secrets.
  5. Centralisez et limitez l’autorisation de créer des secrets.

Les programmes spécialisés de gestion des secrets peuvent centraliser la sécurité des identifiants, gérer les activités du cycle de vie des secrets et fournir aux utilisateurs des informations sur qui a accès à chaque secret.

Prendre le contrôle des secrets améliore considérablement la sécurité globale tout en favorisant la continuité des opérations commerciales.

See also  La version bêta d'Amazon Appstore Preview est proposée à davantage d'utilisateurs

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *