هناك حكمة يتعلمها كل من يبحر في عالم الأمن السيبراني وهي: «إن لم تجد مكان أسرارك، فسيفعل المتسللون ذلك»، وقول آخر وهو: «إن التشفير سهل، ولكن الإدارة الرئيسية صعبة».
المئات من مديري أمن المعلومات والمنظمات وقادة الأمن، سواء من الشركات الصغيرة أو الكبيرة، لا يعرفون أيضا أين يقع مرسى الأسرار، فالأسرار غير مرئية مع 99% من الحالات.
وعند التفكير في دورة حياة التطوير سواء في السحابة أو في مكان العمل، فأنت تعلم أن أسرارك مخزنة بأمان خلف بوابات صلبة لا يستطيع سوى عدد قليل من الناس الوصول إليها.
وعليه يدرك المطورون العاملون في المؤسسات جيدا أنه يجب التعامل مع الأسرار بعناية، لذلك وضعوا أدوات وإجراءات محددة لإنشاء البيانات وتوصيلها وتدويرها بشكل صحيح.
ومع ذلك فإن هناك مناطق رمادية تكون ثقوبا صارخة في طبقات دفاعك الأمني.
وبالمناسبة لكي تقيموا وضع مؤسساتكم الأمني أقدم لكم نموذج إدارة الأسرار، حيث التكتيك الدفاعي الحاسم لبناء وضع أمني شامل لمساعدة قادة الأمن على فهم وضعهم الفعلي واعتماد ممارسات إدارة أسرار المؤسسة الأكثر نضجا على ثلاث مراحل:
1- تقييم مخاطر تسرب الأسرار.
2- إنشاء سير عمل حديث لإدارة الأسرار.
3- وضع خارطة طريق للتحسين في المناطق الهشة.
النقطة الأساسية هنا هي أن إدارة الأسرار، تأخذ في الاعتبار أربعة أسطح هجومية لدورة حياة DevOps:
بيئات المطورين، ومستودعات التعليمات البرمجية المصدرية، وخطوط أنابيب CI/CD، وبيئات وقت التشغيل.
ولكي تكون فعالة، يتطلب الأمر عمليات أخرى، مثل المسح المستمر لطلبات السحب، لتكون أمنه بما فيه الكفاية.
ومن المهم أن يتعين على كل من يعمل مع شفرة المصدر التعامل مع الأسرار، إن لم يكن يوميا، مرة واحدة على الأقل من حين لآخر.
لذا يجب على جميع الوزارات والشركات والمنظمات أن تراجع وضع إدارة الأسرار الخاصة بها وأن يكون على رأس أولوياتها في عام 2023.
ونلفت الى أن الأسرار لم تعد من اختصاص مهندسي الأمن أو DevOps، بل إنها مطلوبة من قبل المزيد من مهندسي التعلم الآلي وعلماء البيانات والمنتجات والعمليات وغير ذلك الكثير.
وأصبح لزاما علينا كمحللين وقارئين للأمن السيبراني أن نسلط الضوء على أمثلة حديثة تعبر عن هشاشة إدارة الأسرار في المنظمات الأكثر نضجا من الناحية التكنولوجية.
ففي سبتمبر 2022، تمكن مهاجم من الوصول إلى شبكة أوبر الداخلية، حيث وجد بيانات اعتماد المسؤول المشفرة على محرك أقراص الشبكة.
وتم استخدام الأسرار لتسجيل الدخول إلى منصة إدارة الوصول لأوبر، حيث تم تخزين العديد من بيانات اعتماد النص العادي في جميع الملفات والبرامج النصية، تمكن المهاجم بعد ذلك من الاستيلاء على حسابات المشرف في AWS وGCP وGoogle Drive وSlack وSentinelOne وHackerOne والمزيد.
وفي أغسطس من نفس العام، وقع مدير كلمات المرور LastPass ضحية لمهاجم تمكن من الوصول إلى بيئة تطويره عن طريق سرقة بيانات اعتماد مطور برامج وانتحال شخصية هذا الفرد.
في وقت لاحق من ديسمبر، كشفت الشركة عن أن شخصا ما استخدم تلك المعلومات لسرقة شفرة المصدر وبيانات العملاء.
وأخيرا، في يناير 2023، تم اختراق مزود التكامل المستمر CircleCI أيضا، مما أدى إلى اختراق المئات من متغيرات بيئة العملاء والرموز المميزة والمفاتيح.
حثت الشركة عملاءها على تغيير كلمات المرور أو مفاتيح SSH أو أي أسرار أخرى مخزنة على المنصة. ومع ذلك، يحتاج الضحايا إلى معرفة مكان هذه الأسرار وكيف يتم استخدامها للضغط على زر الطوارئ!
الدروس المستفادة من كل هذه الحوادث هي أن المهاجمين أدركوا أن اختراق الهويات الآلية أو البشرية يعطي عائدا أعلى من الاستثمار.
نصيحتي في نهاية المقال هي أنه لم يعد يتعلق الأمر فقط بمفاتيح التشفير بعد الآن، بل إن معرفة مكان أسرارك، وكيفية استخدامها أمر بالغ الأهمية.
لذلك احرصوا دائما على الحصول على تدقيق واضح للموقف الأمني للمنظمة فيما يتعلق بالأسرار: أين وكيف يتم استخدامها؟ أين يتسربون؟ كيف تستعد للأسوأ؟ الإجابة عن تلك الاستفسارات كفيلة بأن تنقذنا وتنقذ مؤسساتنا في حالة الطوارئ.