Щодня ми взаємодіємо з десятками машинних сутностей різної складності: починаючи з інструментів на основі штучного інтелекту, що мають намір змінити правила гри, та закінчуючи уже звичними сервісами, на кшталт розумних термостатів, навігаторів тощо.
Згідно з дослідженням CyberArk, програмні облікові записи переважають людські у 45 разів. Програмні облікові записи, такі як боти для роботизованої автоматизації процесів (RPA) та мікросервіси, що працюють у хмарі, зростають експоненціальними темпами, оскільки все більше компаній трансформуються в цифровому форматі. Вони автоматизують багато раніше рутинних завдань і підвищують операційну ефективність багатьох функцій. Ці програмні облікові записи отримують доступ до критично важливих ресурсів для виконання своєї роботи, використовуючи при цьому секретні облікові дані (включаючи паролі, SSH-ключі та API-ключі). І ці дані потрібно захищати так само як і привілейовані облікові дані людей.
Ймовірно, у вашій організації є кілька областей, де зберігаються програмні облікові записи та дані, які потребують захисту. Нижче ми розглянемо сім типів найпоширеніших програмних облікових записів, які ви можете знайти у вашій організації, а також деякі проблеми безпеки для кожного типу, коли йдеться про управління секретами. Розуміння цих викликів і усвідомлення того, наскільки різними вони можуть бути для кожного типу облікових записів, є першим кроком до побудови цілісного плану їх подолання.

1. Хмарні середовища та додатки

Багато організацій використовують декілька постачальників хмарних послуг, щоб підтримувати контроль над цінами, забезпечити гнучкість та уникнути залежності від провайдера. Кожен CSP має свій власний метод зберігання, доступу та управління секретами. Крім того, хмарні додатки, створені на цих платформах, постійно оновлюються за допомогою процесів CI/CD і часто використовують секрети для зв'язку з іншими мікросервісами в хмарному середовищі для запуску. Основна проблема, яку потрібно вирішити, коли мова йде про хмару, — забезпечення такої ж гнучкості та динамічності системи безпеки, як і середовище, в якому працюють ваші розробники.
Виклики безпеки:● Розробники повинні мати можливість працювати динамічно і в масштабі.● Розробники можуть обирати короткі шляхи (наприклад, жорстке кодування секретів) або нехтувати вимогами безпеки.● Невиконання вимог корпоративної безпеки може створити перешкоди для дотримання нормативних вимог.● Базові інструменти DevOps та контейнерні платформи можуть бути недостатньо захищеними.● Сховища коду можуть випадково розкрити секрети і ключі доступу до хмари

2. Інструменти DevOps, конвеєри CI/CD та ланцюжок постачання програмного забезпечення

Інструменти DevOps зазвичай вимагають високого рівня привілейованого доступу для виконання своїх завдань. Таким чином, конвеєри CI/CD та інші інструменти DevOps відомі як активи «нульового рівня», що означає, що якщо зловмисник отримує доступ до цих активів, він може отримати доступ до більш привілейованих облікових даних. Життєвий цикл розробки програмного забезпечення рухається швидко, і інструменти, що використовуються в ньому, можуть стати великою вразливістю, якщо ваші команди DevOps не повністю усвідомлюють необхідні заходи безпеки.
Виклики безпеки:● Безпека повинна зміститися вліво, щоб бути задіяною на більш ранніх стадіях циклу розробки.● Адміністратори та розробники DevOps можуть використовувати вбудовані функції управління секретами, що призводить до розростання секретів або сховищ.● Може знадобитися примусова система стримувань і противаг.● Зловмисник може мати можливість розширити доступ після того, як інструмент буде скомпрометований.

3. Інструменти автоматизації та скрипти

Інструменти автоматизації та скрипти можуть бути потужними і виконувати складні ІТ- завдання. Але вони також можуть бути дуже простими, наприклад, базовий сценарій PowerShell, який використовується нечасто. Хоча ці прості скрипти можуть не здаватися великою вразливістю, ці інструменти автоматизації та скрипти часто вимагають високого рівня привілейованого доступу і були причиною деяких гучних порушень в минулому.
Виклики безпеки:● Занадто часто скрипти використовують вбудовані жорстко закодовані облікові дані і можуть бути розміщені в репозиторіях● Через свою простоту скрипти можуть бути проігноровані як вразливість безпеки● Легкість реплікації та нечасте використання ускладнюють відстеження скриптів● Деякі інструменти автоматизації мають вбудовані можливості управління секретами, які можуть призвести до розростання секретів і сховища.● Зловмисники можуть використовувати цінні облікові дані, навіть якщо інструмент є базовим (див. злам Uber 2022 року).

4. Комерційні та ISV-програми

Комерційні готові програми (COTS) та програми незалежних постачальників програмного забезпечення (ISV) вимагають високого рівня привілейованого доступу для виконання своєї роботи. Оскільки ці програми не належать вашій компанії, вони мають деякі унікальні вимоги до безпеки, які слід враховувати, наприклад, забезпечити їх інтеграцію з вашими інструментами захисту.
Виклики безпеки:● Потребують інтеграції, розробленої постачальником.● Вони вразливі до слабких місць у ланцюжку постачання програмного забезпечення та процесах CI/CD постачальника.● Високий рівень доступу означає високий рівень вразливості, якщо їх скомпрометує зловмисник.● Персональна інформація, що зберігається в бізнес-додатках, може стати вразливою в разі витоку даних.● Найменші привілеї та своєчасний доступ є обов'язковими для зменшення ризику

5. Роботизована автоматизація процесів (RPA)

Боти RPA допомагають командам розробників та IT-Ops автоматизувати багато рутинних завдань, прискорюючи робочі процеси. Але ручна ротація облікових даних для цих ботів не масштабується, особливо коли організація використовує велику кількість автоматизованих ботів без людини-керівника. Найбільшим викликом для команд безпеки є необхідність забезпечити швидкість RPA, а також централізовано керувати політиками для дотримання нормативних вимог і захисту від атак.
Виклики безпеки:● Ручна ротація та процеси управління не масштабуються.● Безпека може розглядатися як перешкода для розгортання або вимог до операційної ефективності.● Служба безпеки потребує простих у використанні інтеграцій, щоб мінімізувати проблеми з безпекою та пришвидшити розгортання.

6. N-рівень/статичні додатки власного виробництва

Хоча багато з перерахованих вище додатків використовують новітні цифрові інновації, такі як хмарні технології та автоматизація, більшість організацій все ще покладаються на різноманітні додатки, розроблені власними силами. Ці додатки включають різноманітні традиційні середовища (наприклад, Java) та операційні системи, в тому числі Unix/Linux. Оскільки вони розміщені на локальному рівні, вони можуть створювати різні виклики для інших типів облікових записів.
Виклики безпеки:● Облікові дані жорстко закодовані або зберігаються локально, що створює ризики їх компрометації● Автоматична ротація облікових даних, що використовуються цими програмами, іноді неможлива.● Права доступу мають бути краще адаптовані, оскільки ці програми можуть мати надмірні повноваження.● Мають легко підключатися до інших систем і додатків.

7. Програми для мейнфреймів

Як і додатки N-рівня, додатки, розміщені на мейнфреймах (наприклад, zOS), все ще широко використовуються підприємствами для конкретних випадків використання. Це найбільш критично важливі додатки на підприємстві, і життєво важливо, щоб вони не зазнавали збоїв або не переривали свої процеси через процедури безпеки.
Проблеми безпеки:● Ротація облікових даних потенційно може перервати великі обсяги транзакцій● Облікові дані жорстко кодуються або зберігаються локально, що створює ризики їх компрометації● Потрібен високий рівень надійності.

Як за цим встежити?

Управління секретами може стати значно складнішим при роботі з такою кількістю програмних доступів. Кожна група має свої нюанси і вимоги які необхідно враховувати при створенні політики безпеки. Усвідомлення всіх різних типів і облікових записів у вашій організації та розуміння всіх різних потреб у безпеці, які необхідно враховувати, є першими кроками до побудови цілісної програми для управління та захисту цих сутностей та їх чутливих даних.
Саме тут може допомогти централізоване управління секретами. Електронна книга «Ключові міркування щодо захисту різних типів програмних облікових записів» ознайомить вас з найкращими практиками захисту секретів у кожній з цих категорій та надасть поетапний підхід до створення більш ефективної програми управління секретами.