Lekcije iz kršitve kibernetske varnosti GitHub: Zaščita najbolj občutljivih podatkov

Nihče ne mara slišati besede na B: kršitev. Razvijalci zagotovo ne želijo slišati te besede v zvezi s platformo, ki jo uporabljajo iz dneva v dan.

Ko je GitHub v začetku tega leta razkril podrobnosti o kršitvi varnosti, ki je neznanemu napadalcu omogočila prenos podatkov iz več deset zasebnih skladišč kod, je bil to scenarij nočne more. Napadalci so podatke, zbrane iz GitHub-a, uporabljali za napad na dve platformi v oblaku kot storitev (PaaS) – Heroku in Travis CI.

Napadalci so ukradli žetone OAuth, izdane družbama Heroku in Travis CI, in te ukradene žetone uporabili za dostop in prenos vsebine zasebnih skladišč, GitHub najden.

Kje v vaši organizaciji se nahajajo najbolj občutljive informacije? Za organizacije, ki uporabljajo Heroku, Salesforce hrani informacije, ki bi lahko ohromile organizacijo, če bi bile izpostavljene. Varnostne ekipe morajo razmisliti o zaščiti svojih podatkov Salesforce. Zakaj bi morali ogroziti kibernetsko varnost organizacije z zanašanjem na integracije tretjih oseb?

Ti trije preprosti koraki lahko pomagajo izboljšati položaj kibernetske varnosti v storitvi Salesforce.

1. Uporabite izvorne aplikacije Salesforce

Aplikacije, zgrajene na Salesforce, zagotavljajo, da vaši podatki ostanejo na enem mestu z enako kibernetsko varnostjo kot platforma Salesforce. Z aplikacijami, združenimi na eni sami platformi, je površina napadov močno zmanjšana.

2. Vzpostavite model ničelnega zaupanja

Nikoli ne zaupaj, vedno preveri. Vsi uporabniki bi morali imeti minimalno raven dovoljenj in dostopa, ki so potrebni, da lahko dokončajo svoje potrebne naloge, hkrati pa morajo uporabniki pred dostopom dokazati svojo potrebo in identiteto. Revizija vsega.

3. Uporabite upravljanje skrivnosti

Poverilnic nikoli ne shranjujte v čistem besedilu, in vedno predpostavimo, da so zasebni reposi javni. Rešitev za upravljanje skrivnosti zagotavlja, da se vaše skrivnosti izmenjujejo skupaj z ustrezno stopnjo varnostne skladnosti glede vaših poverilnic.

S to izboljšano držo kibernetske varnosti bodo razvijalci, ekipe za informacijsko varnost in izvršni direktor sproščeni, saj bodo vedeli, da so najbolj občutljivi podatki organizacije varni.