Im digitalen Bereich sind Geheimnisse (API-Schlüssel, private Schlüssel, Benutzernamen- und Passwort-Kombinationen usw.) die Schlüssel zum Königreich. Aber was, wenn diese Schlüssel versehentlich in den Werkzeugen, die wir täglich zur Zusammenarbeit nutzen, offen liegen gelassen würden?
Ein einziges Geheimnis kann verheerende Folgen haben
Stellen Sie sich Folgendes vor: Es ist ein typischer Dienstag im Juni 2024. Ihr Entwicklerteam steckt mitten in Sprints, Jira-Tickets fliegen herum und Slack brummt mit dem üblichen Mix aus Katzen-Memes und Code-Schnipseln. Ohne Ihr Wissen verbirgt sich in diesem digitalen Geplapper eine tickende Zeitbombe – eine Klartext-Anmeldeinformation, die uneingeschränkten Zugriff auf die Kronjuwelen Ihres Unternehmens gewährt.
Spulen Sie ein paar Wochen vor und Sie befinden sich mitten im schlimmsten Albtraum eines CISOs. Terabytes von Kundendaten, darunter Millionen von Bankkontodaten, wurden exfiltriert. Ihr Unternehmen ist in den Schlagzeilen zu sehen, und täglich tauchen neue Vorfälle auf. Der Übeltäter? Ein Geheimnis, das versehentlich in einem Jira-Kommentar geteilt wurde.
Dies ist kein unrealistisches Szenario. Es ist kürzlich einem Datenanalyseunternehmen im Wert von 40 Milliarden Dollar passiert. Dieses Ereignis, wie so viele andere, zwingt uns, unser Vorgehen bei der Geheimnissverwaltung zu überdenken und unsere Wachsamkeit über traditionelle Code-Repositorys hinaus auszuweiten.
Das Problem: Geheimnisse sind überall und sie vermehren sich
Seien wir ehrlich: Geheimnisse sind wie Löwenzahn im Frühlingswind – sie verbreiten sich und vermehren sich schneller, als wir sie im Auge behalten können. Dies sind nicht nur Ihre gewöhnlichen Passwörter; wir sprechen über die Schlüssel, die es unseren immer komplexeren Systemen ermöglichen, sicher zu kommunizieren. API-Schlüssel, Zugriffstoken, Verschlüsselungsschlüssel – sie sind die stillen Ermöglicher unseres vernetzten digitalen Ökosystems.
Laut CyberArk übertreffen Maschinenidentitäten menschliche Identitäten jetzt um das erstaunliche Verhältnis von 45:1. Lassen Sie das für einen Moment auf sich wirken. Für jede menschliche Identität in Ihrem Unternehmen gibt es 45 Maschinenidentitäten, die jeweils über einen eigenen Satz von Geheimnissen verfügen.
Aber hier wird es wirklich interessant (oder erschreckend, je nach Perspektive): Diese Geheimnisse verstecken sich nicht nur in Ihrem Quellcode. Sie sind über eine schwindelerregende Auswahl von Collaboration-Tools verstreut – Slack, Microsoft Teams, Jira, Confluence – nennen Sie es. Diese Plattformen, die darauf ausgelegt sind, die Produktivität zu steigern und die Zusammenarbeit zu fördern, sind unbeabsichtigt zur neuen Grenze für Geheimnisse geworden.
Ihre Collaboration-Tools sind eine Goldmine für Angreifer
Jetzt denken Sie vielleicht: „Klar, aber unser Entwicklungsteam weiß es besser, als sensible Informationen in Slack einzufügen.“ Nun, ich muss Ihnen das sagen, aber die Daten deuten auf etwas anderes hin. In einer kürzlich durchgeführten Analyse von GitGuardian, dem führenden Unternehmen für die Erkennung von Geheimnissen, fanden sie etwas, das jeden CISO aufhorchen lassen sollte:
Fest codierte Geheimnisse im Quellcode sind häufig (alleine im Jahr 2023 wurden über 12 Millionen Geheimnisse auf GitHub öffentlich zugänglich gemacht). Allerdings ist es noch wahrscheinlicher, dass Menschen Geheimnisse in Collaboration-Tools preisgeben!
Die Geheimnisse, die in diesen Tools gefunden wurden, unterschieden sich oft von denen im Quellcode, wodurch die Angriffsfläche effektiv verdoppelt wurde.
Am alarmierendsten war, dass die in Slack und Jira offengelegten Geheimnisse im Durchschnitt einen höheren Schweregrad aufwiesen als die im Quellcode.
Wir sprechen hier nicht nur über API-Schlüssel auf niedriger Ebene. Wir sprechen über Geheimnisse mit hohem Schweregrad, die möglicherweise weitreichenden Zugriff auf kritische Systeme ermöglichen.
Aber es kommt noch schlimmer. Mit über 65.000 Unternehmen, die sich für Jira Software zur Projektverwaltung verlassen, und Hunderttausenden von anfälligen Atlassian Confluence-Instanzen, die einem Remote-Zugriff ausgesetzt sind, ist das Ausmaß dieses Problems wirklich erschreckend.
Die Lösung: Erweitern Sie Ihren Umfang der Geheimnissenerkennung
Was also kann ein sicherheitsbewusstes Unternehmen tun? Die Antwort ist klar: Es ist an der Zeit, Ihren Umfang der Geheimnissenerkennung über den Quellcode hinaus in den Bereich der Collaboration-Tools auszuweiten.
Aber hier ist der Clou – es geht nicht nur darum, ein größeres Netz zu werfen. Es geht darum, blitzschnell zu reagieren. In der Welt der Geheimnisslecks zählt jede Sekunde. Sie benötigen Funktionen zur Echtzeit-Erkennung und -Behebung, die mit der rasanten Natur von Bedrohungsakteuren mithalten können.
Hier kommen Plattformen wie GitGuardian ins Spiel. Durch die Integration in Slack-Arbeitsbereiche, Microsoft Teams-Mandanten, Jira und Confluence-Sites ermöglicht GitGuardian eine fast sofortige Erweiterung Ihres geschützten Umfangs. So funktioniert es:
Echtzeitüberwachung: GitGuardian scannt Ihre Collaboration-Tools in Echtzeit und erkennt Geheimnisse, sobald sie geteilt werden.
Konsolidierte Warnungen: Mehrere Vorkommen desselben Geheimnisses auf verschiedenen Plattformen werden zu einem einzigen Vorfall zusammengefasst, wodurch die Warnmüdigkeit reduziert wird.
Gültigkeitsprüfungen: Die Plattform kennzeichnet nicht nur potenzielle Geheimnisse; sie prüft auch, ob sie noch gültig sind und in der Quelle vorhanden sind.
Schnelle Behebung: Mit Echtzeitwarnungen können Sie schnell Maßnahmen ergreifen, um kompromittierte Geheimnisse zu widerrufen und zu rotieren.
Denken Sie daran, dass Sie zwar nie zu schnell sein können, um vor allen Angreifern vollständig sicher zu sein, aber schnelles Handeln kann Ihre Expositionsdauer erheblich reduzieren.
Förderung einer Kultur des Geheimnissbewusstseins
Während die Erweiterung Ihrer Erkennungsfunktionen eine wichtige Maßnahme zur Cybersicherheit ist, ist es auch wichtig, eine Kultur des Geheimnissbewusstseins in Ihrem Unternehmen zu fördern. Hier sind ein paar Strategien, die Sie in Betracht ziehen sollten:
Schulen Sie Ihr Team kontinuierlich über die Bedeutung der Geheimnissverwaltung und die Risiken, die mit der Weitergabe sensibler Informationen in Collaboration-Tools verbunden sind.
Legen Sie klare Richtlinien fest und kommunizieren Sie diese, wie Sie mit Geheimnissen in verschiedenen Kontexten umgehen.
Stellen Sie bei Bedarf sichere Alternativen für die Weitergabe sensibler Informationen bereit, z. B. verschlüsselte Kanäle oder spezielle Tools zur Geheimnissverwaltung.
Führen Sie regelmäßige Audits Ihrer Collaboration-Tools durch, um alle verbleibenden Geheimnisse zu identifizieren und zu beheben (die GitGuardian-Plattform bietet alle KPIs, die Sie dafür benötigen).
Der Weg nach vorne: Der Konkurrenz einen Schritt voraus bleiben
Da sich unsere digitalen Ökosysteme weiterentwickeln, werden auch die Herausforderungen der Geheimnissverwaltung zunehmen. Der Schlüssel ist es, wachsam und anpassungsfähig zu bleiben. Behalten Sie neue Collaboration-Tools im Auge und seien Sie proaktiv bei der Erweiterung Ihrer Geheimnissenerkennungsfunktionen, um neue potenzielle Leckvektoren abzudecken.
In der Cybersicherheit kann das, was Sie nicht wissen, Sie verletzen. Indem Sie Ihren Umfang der Geheimnissenerkennung auf Collaboration-Tools erweitern, schließen Sie nicht nur ein Leck – Sie stärken Ihre Sicherheitshaltung.
Beginnen Sie mit GitGuardian, um fest codierte Geheimnisse in Ihren Produktivitätstools zu scannen und zu beheben. Sie müssen sich keine Sorgen machen, wenn jemand in Ihrem Unternehmen das nächste Mal eine Nachricht in Slack oder einen Kommentar in Jira absendet, ohne zweimal nachzudenken.