Salesforce子公司Heroku的总经理仍在4月初向一个重大数据泄露的开发人员社区道歉,威胁参与者偷走了Oauth用户代币 ,这导致了更多的凭证妥协并最终窃取了源代码 。关于作者
Gerardo A Dada是CMO
,守护者安全
。
该事件具有远处的含义,因为看来黑客能够将其转向私人存储库。虽然不太可能知道一段时间的损害程度,但袭击是与恶意演员有关的一系列引人注目的事件中的最新事件。盗窃基础设施秘密–机器对机器凭证
,使一个系统访问另一个系统:例如数据库
,SSH凭据或API证书的密码
。
该事件表明公司试图针对各种构建和部署系统中的特权帐户的公司的趋势增加,这是有道理的
,因为这些是可以访问公司皇冠珠宝的帐户
。如果凭证在早期作为基础设施秘密处理并安全地存储在安全的库中
,而不是在系统上放置,则可以避免这场火车残骸。
你可能喜欢
开源软件中的安全问题使有关系统有关
凭证合作的权威指南
InfoStealer的兴起:组织防御的最新问题
威胁行为者
Salesforce将这一事件描述为从2022年4月7日开始发生的事件
,“威胁参与者获得了Heroku数据库的访问权限
,并下载了存储的客户Github集成Oauth Tokens
。对环境的访问
。通过利用遭到攻击者的攻击者的攻击者,通过利用折衷的softies the Hereoku persities of the Heroku github github github github github github github github
,代码&Hellip;同一折衷的令牌被利用以访问数据库
,并为客户的用户帐户删除Hashed and Salped密码。
结果,Salesforce撤销了所有GitHub集成OAuth代币 ,以防止客户通过Heroku仪表板或通过自动化部署Github的应用程序
。然后
,他们必须重置所有HEROKU用户密码,并(手动)旋转内部Heroku凭据
。
这是一个重大的事件,具有严重的安全性
,功能和信任的影响。这一切始于通过受损的令牌获得对一个数据库的访问
。
不孤立
Heroku事件并非孤立
。相反
,恶意参与者针对基础架构秘密越来越普遍:机器对机器凭证,例如API键
,数据库密码和数字证书。这些通常使恶意参与者可以直接访问大量数据和关键系统 。
不幸的是
,大多数公司尚未采用管理和保护基础设施秘密的纪律
。除了容易受到网络犯罪分子的影响,这可能是一个大问题
,因为承包商或员工离开公司没有控制权。如果DBA退出组织
,则大多数组织将无法确定自己拥有的证书,甚至确保组织中的某人拥有该人拥有的系统和数据库的所有凭据。
密码管理器
就像密码管理人员旨在管理和保护人类凭据一样
,秘密管理解决方案保护和管理基础架构秘密
。首先
,将秘密存储在保险库中,使用控制台或API将权限分配给特定的应用程序用户 ,通常被锁定到特定的IP地址
。软件应用程序不再需要硬码凭据
,它们获得了一个令牌,该代币用于请求凭据,然后从保险库中动态地提供该凭据。该系统可以确认请求者已进行身份验证
,并且在特定的IP地址中
。通过将凭据管理为秘密
,它们可以自动旋转并定期更改,即每个月甚至每小时
。
这些解决方案通常会促进凭证管理
,并与CI/CD系统以及编程语言集成。有基于云的以及基于本地的秘密管理解决方案
。开发人员和DBA不再需要查看凭据
,他们只需要用于在应用程序和秘密保险库之间建立连接的令牌
。同样,基础设施的秘密对于恶意演员而言是看不见的
,几乎不可能偷窃。
第一步
一个好的第一步是库存可以使用基础设施秘密的组织中的所有工作负载
。开发团队是一个不错的起点
,但是Web服务器和数据库之间以及营销自动化和CRM系统之间也有密钥和凭据
。鉴于其灵活性和价值的时间,组织必须确定云解决方案是否更合适。一旦选择了供应商
,鉴于库存系统的复杂性和风险
,应优先完成实施 。
Heroku事件表明,针对各种构建和部署系统中特权基础设施证书的网络犯罪分子的增加
。组织应该将实施秘密管理解决方案作为保护其免受此类攻击的优先事项。现在是时候将证书视为基础架构的秘密并将其从系统中进行管理。
我们列出了最佳的端点保护软件
。
本文来自作者[侦三贷]投稿,不代表卓思号立场,如若转载,请注明出处:https://nc-sczs.cn/zlan/202505-2133.html
评论列表(4条)
我是卓思号的签约作者“侦三贷”!
希望本篇文章《管理机器凭据作为最高秘密》能对你有所帮助!
本站[卓思号]内容主要涵盖:国足,欧洲杯,世界杯,篮球,欧冠,亚冠,英超,足球,综合体育
本文概览: Salesforce子公司Heroku的总经理仍在4月初向一个重大数据泄露的开发人员社区道歉,威胁参与者偷走了Oauth用户代币,这导致了更多的凭证妥协并最终窃取了源代码。...