در حوزه امنیت سایبری، مخاطرات بسیار زیاد است، و در هسته آن مدیریت اسرار نهفته است – ستونی که زیرساخت امنیتی شما بر آن استوار است. همه ما با این روال آشنا هستیم: حفاظت از کلیدهای API، کانکشن استرینگ و گواهینامهها و غیره. اما این یک سناریوی ساده «تنظیمش کن و فراموشش کن» نیست. این در مورد محافظت از اسرار در عصری است که تهدیدها به سرعت خود فناوری شکل میگیرند.
۵ اشتباه رایج در مدیریت رازها
۱- نوشتن اسرار در کد در مخازن کدها: یکی از اشتباهات رایج نوشتن اسرارها مانند کلیدهای API یا رمزعبورها در کد است. این شبیه این است که کلید خانهتان را زیر زیرپایی مخفی کنید. کار راحت و البته خطرناکی است. محیطهای توسعه چابک مستعد این اشتباه مخرب هستند، زیرا توسعهدهندگان تحت محدودیتهای زمانی ممکن است راحتی را به امنیت ترجیح دهند.
۲- فرایندهای چرخش و ابطال کلید ناکافی: اعتبارنامههای ایستا در طول زمان با خطر لو رفتن مواجه هستند. شرکتی را در نظر بگیرید که از کلیدهای رمزنگاری بدون تغییر در طول زمان زیادی بدون چرخش استفاده میکند. این میتواند بعنوان یک دروازه آسیبپذیر برای مهاجمان باشد.
۳- از طرف دیگر، چرخش مکرر کلیدها نیز باعث مشکلات عملیاتی می شود. اگر یک کلید در هر بار دسترسی به آن چرخانده شود، دسترسی همزمان به کلید برای چندین برنامه دشوار میشود. فقط اولین برنامه دسترسی پیدا میکند و اپلیکیشنهای بعدی با شکست مواجه میشوند. این نتیجه معکوس دارد. شما باید فاصله زمانی مناسب برای چرخش کلیدها را پیدا کنید.
۴- ذخیره اسرار در مکانهای عمومی یا مکانهای ناامن: ذخیره اطلاعات حساس مانند رمزهای عبور پایگاه داده در فایلهای پیکربندی که در دسترس عموم هستند، مثلا در یک ایمیج Docker یا یک مخزن کد عمومی، باعث ایجاد مشکل میشود.
۵- امتیازات بیش از حد برای اسرار: اعطای امتیازات بیش از حد برای اسرار شبیه دادن یک کلید اصلی برای کل دفتر به هر کارمند است. کارمندانی که دسترسی بیشتری نسبت به نیازشان دارند، میتوانند به طور ناخواسته یا بدخواهانه اطلاعات حساس را افشا کنند که منجر به نقض دادهها یا سایر حوادث امنیتی شود.
۳ دام کمتر شناخته شده در ذخیره سازی و مدیریت اسرار
متاسفانه موارد بیشتری وجود دارد:
۱- مدیریت نامناسب چرخه عمر اسرار: اغلب نادیده گرفته میشود، مدیریت چرخه حیات اسرار یکی از دامهای اصلی است که باید از آن اجتناب کرد. این شامل ایجاد و استفاده از اسرار و به روز رسانی منظم و در نهایت ابطال آنها است. مدیریت ضعیف چرخه عمر می تواند اسرار منسوخ یا استفاده نشده را در سیستم باقی بگذارد و به اهداف آسانی برای مهاجمان تبدیل شود. به عنوان مثال، یک کلید API که مدتهاست استفاده نمیشود، برای یک پروژهای بوده که دیگر فعال نیست، میتواند یک درب پشتی ناخواسته به سیستم شرکت ایجاد کند.
۲- نادیده گرفتن audit برای دسترسی به اسرار: یکی دیگر از مشکلات ظریف، عدم تشخیص اهمیت audit در مورد دسترسی مخفی است. بدون وجود مکانیزم حسابرسی قوی، نظارت بر اینکه چه کسی و چه زمانی به کدام راز دسترسی پیدا کرده است به یک کار دلهره آور تبدیل میشود.برای مثال، فقدان audit ممکن است ما را از الگوهای دسترسی غیرمعمول به اسرار حساس یا کسی که همه اسرار را به صورت انبوه از کیف پسوردها بارگیری میکند آگاه نکند.
۳- شکست در رمزگذاری اسرار Kubernetes: با درک نحوه ایجاد اسرار در اکوسیستم Kubernetes متوجه میشویم که چرا کمبود رمزگذاری موضوعی نگران کننده است. این اسرار اغلب فقط به صورت پیشفرض بر پایه ۶۴ کدگذاری میشوند، یک هش است که میتوان آن را به سادگی بازگرداند، یک پرده نازک امنیتی، به دور از رمزگذاری قوی. در صورت دسترسی به این اسرار، این آسیبپذیری در را به روی نقضهای احتمالی باز میکند.
منبع: https://thehackernews.com/2024/03/secrets-sensei-conquering-secrets.html
