CarderPlanet
Professional
GitHub объявила об улучшении своей функции секретного сканирования, которая расширяет возможности проверки достоверности для популярных сервисов, таких как Amazon Web Services (AWS), Microsoft, Google и Slack.
Проверки достоверности, введенные дочерней компанией Microsoft ранее в этом году, предупреждают пользователей о том, активны ли открытые токены, обнаруженные в результате секретного сканирования, что позволяет принимать эффективные меры по исправлению. Впервые она была включена для токенов GitHub.
Облачная служба хостинга кода и контроля версий заявила, что намерена поддерживать больше токенов в будущем.
Чтобы переключить настройку, владельцы предприятий или организаций и администраторы репозиториев могут перейти в Настройки > Безопасность и анализ кода > Секретное сканирование и установить флажок "Автоматически проверять, действителен ли секрет, отправив его соответствующему партнеру".
Ранее в этом году GitHub также расширил оповещения о секретном сканировании для всех общедоступных репозиториев и объявил о доступности push-защиты, которая поможет разработчикам и сопровождающим активно защищать свой код путем сканирования на наличие легко идентифицируемых секретов перед их отправкой.
Разработка началась после того, как Amazon представила расширенные требования к защите учетных записей, которые позволят привилегированным пользователям (они же root-пользователи) учетной записи AWS Organization включить многофакторную аутентификацию (MFA), начиная с середины 2024 года.
"MFA - это один из самых простых и эффективных способов повышения безопасности учетной записи, предлагающий дополнительный уровень защиты, помогающий предотвратить получение несанкционированными лицами доступа к системам или данным", - сказал Стив Шмидт, директор по безопасности Amazon.
Слабые или неправильно настроенные методы MFA также вошли в топ-10 наиболее распространенных сетевых ошибок, согласно новому совместному исследованию, выпущенному Агентством национальной безопасности США (NSA) и Агентством по кибербезопасности и инфраструктурной безопасности (CISA).
"Некоторые формы MFA уязвимы для фишинга, "push-бомбардировки", использования уязвимостей протокола Signaling System 7 (SS7) и / или методов "замены SIM-карт", - сказали агентства.
"Эти попытки, в случае успеха, могут позволить субъекту угрозы получить доступ к учетным данным аутентификации MFA или обойти MFA и получить доступ к системам, защищенным MFA".
Другие распространенные неправильные настройки кибербезопасности заключаются в следующем -
- Настройки программного обеспечения и приложений по умолчанию
- Неправильное разделение прав пользователя и администратора
- Недостаточный мониторинг внутренней сети
- Отсутствие сегментации сети
- Плохое управление исправлениями
- Обход системных средств контроля доступа
- Недостаточно списков контроля доступа (ACL) к общим сетевым ресурсам и службам
- Плохая гигиена учетных данных
- Неограниченное выполнение кода
В качестве мер по смягчению последствий организациям рекомендуется исключить учетные данные по умолчанию и ужесточить конфигурации; отключить неиспользуемые службы и внедрить средства контроля доступа; расставить приоритеты исправлений; проверять и отслеживать учетные записи администратора и привилегии.
Поставщикам программного обеспечения также настоятельно рекомендовано внедрять принципы secure by design, по возможности использовать безопасные для памяти языки программирования, избегать встраивания паролей по умолчанию, предоставлять клиентам высококачественные журналы аудита без дополнительной оплаты и внедрять методы MFA, устойчивые к фишингу.
"Эти неправильные настройки иллюстрируют (1) тенденцию к системным недостаткам во многих крупных организациях, в том числе со зрелыми киберпозициями, и (2) важность того, чтобы производители программного обеспечения придерживались принципов безопасности по дизайну, чтобы снизить нагрузку на сетевых защитников", - отметили агентства.
