GitHub'un Gizli Tarama Özelliği Artık AWS, Microsoft, Google ve Slack'i Kapsıyor - Dünyadan Güncel Teknoloji Haberleri

GitHub'un Gizli Tarama Özelliği Artık AWS, Microsoft, Google ve Slack'i Kapsıyor - Dünyadan Güncel Teknoloji Haberleri
söz konusu

Yazılım satıcılarına ayrıca tasarım gereği güvenli ilkeleri uygulamaları, mümkün olan yerlerde bellek açısından güvenli programlama dilleri kullanmaları, varsayılan parolaları yerleştirmekten kaçınmaları, müşterilere ekstra ücret ödemeden yüksek kaliteli denetim günlükleri sağlamaları ve kimlik avına karşı dayanıklı MFA yöntemlerini zorunlu kılmaları konusunda çağrıda bulunuldu

Bu yılın başlarında GitHub da genişletilmiş tüm genel depolar için gizli tarama uyarıları verdi ve geliştiricilerin ve bakımcıların, yüksek düzeyde tanımlanabilir sırları gönderilmeden önce tarayarak kodlarını proaktif bir şekilde güvence altına almalarına yardımcı olmak için anında iletme korumasının mevcut olduğunu duyurdu İlk olarak GitHub tokenları için etkinleştirildi

Bulut tabanlı kod barındırma ve sürüm kontrol hizmeti, gelecekte daha fazla tokenı desteklemeyi planladığını söyledi


06 Eki 2023Haber odasıProgramlama / Yazılım Güvenliği

GitHub’da duyuruldu Geçerlilik kontrollerini Amazon Web Services (AWS), Microsoft, Google ve Slack gibi popüler hizmetleri kapsayacak şekilde genişleten gizli tarama özelliğinde yapılan bir iyileştirme ” ajanslar dikkat çekti



siber-2

Bu gelişme, Amazon’un ayrıcalıklı kullanıcıları (yani kök kullanıcıları) zorunlu kılacak gelişmiş hesap koruma gereksinimlerinin önizlemesini yapmasıyla birlikte geliyor

Yeni bir araştırmaya göre, zayıf veya yanlış yapılandırılmış MFA yöntemleri de en yaygın 10 ağ yanlış yapılandırması arasında yer aldı ”

Diğer yaygın siber güvenlik yanlış yapılandırmaları şunlardır:

  • Yazılım ve uygulamaların varsayılan yapılandırmaları
  • Kullanıcı/yönetici ayrıcalığının hatalı şekilde ayrılması
  • Yetersiz dahili ağ izleme
  • Ağ bölümleme eksikliği
  • Kötü yama yönetimi
  • Sistem erişim kontrollerinin atlanması
  • Ağ paylaşımları ve hizmetlerinde yetersiz erişim kontrol listeleri (ACL’ler)
  • Yetersiz kimlik hijyeni
  • Sınırsız kod yürütme

Azaltıcı önlem olarak kuruluşların varsayılan kimlik bilgilerini ortadan kaldırması ve yapılandırmaları sağlamlaştırması önerilir; kullanılmayan hizmetleri devre dışı bırakın ve erişim kontrollerini uygulayın; yama uygulamasına öncelik verin; Yönetici hesaplarını ve ayrıcalıklarını denetleyin ve izleyin ortak danışma ABD Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanmıştır

“Bu girişimler başarılı olursa, bir tehdit aktörünün MFA kimlik doğrulama bilgilerine erişmesine veya MFA’yı atlayarak MFA korumalı sistemlere erişmesine olanak tanıyabilir

Ayarı değiştirmek için kuruluş veya kuruluş sahipleri ve veri havuzu yöneticileri Ayarlar > Kod güvenliği ve analizi > Gizli tarama’ya gidebilir ve “Bir sırrın geçerli olup olmadığını, ilgili ortağa göndererek otomatik olarak doğrula” seçeneğini işaretleyebilir AWS Organizasyonu 2024 ortalarından itibaren çok faktörlü kimlik doğrulamayı (MFA) açacak hesap ” dedi

“Bazı MFA biçimleri, kimlik avına, ‘itme bombalamasına’ ve Sinyal Sistemi 7’nin kötüye kullanılmasına karşı savunmasızdır (SS7) protokol güvenlik açıkları ve/veya ‘SIM takas’ teknikleri”, ajanslara göre söz konusu

“Bu yanlış yapılandırmalar, (1) olgun siber duruşlara sahip olanlar da dahil olmak üzere birçok büyük kuruluştaki sistemik zayıflık eğilimini ve (2) ağ savunucularının üzerindeki yükü azaltmak için yazılım üreticilerinin tasarım gereği güvenlik ilkelerini benimsemesinin önemini gösteriyor

Amazon’un güvenlik şefi Steve Schmidt, “MFA, hesap güvenliğini artırmanın en basit ve en etkili yollarından biri olup, yetkisiz kişilerin sistemlere veya verilere erişmesini önlemeye yardımcı olacak ek bir koruma katmanı sunar

Geçerlilik kontrolleri, tanıtıldı Microsoft’un yan kuruluşu tarafından bu yılın başlarında, gizli taramayla bulunan açıkta kalan token’ların aktif olup olmadığı konusunda kullanıcılar uyarılıyor ve böylece etkili iyileştirme önlemleri alınabiliyor