في الآونة الأخيرة ، كان هناك الكثير من الأخبار حول التسريبات العشوائية للبيانات السرية المختلفة من خدمة ويب لاستضافة مشاريع تكنولوجيا المعلومات وتطويرها المشترك بواسطة GitHub.
أؤكد أنه سيكون حول تسريبات عشوائية ، أي حدث إهمال ودون نية خبيثة من جانب مرتكبي الحوادث. شطب مثل هذه التسريبات على قلة خبرة الموظفين في قضايا تكنولوجيا المعلومات لن ينجح ، لأن مستخدمو GitHub هم مطورون بشكل ساحق ، أي الموظفين المؤهلين والمختصين. لسوء الحظ ، حتى المتخصصين الجيدين جدًا يرتكبون أحيانًا أخطاء تافهة ، خاصة عندما يتعلق الأمر بالمسائل الأمنية. دعونا نعتبره إهمال.
فيما يلي بعض الأمثلة الشهيرة جدًا حول GitHub:
- 2014 - سربت أوبر البيانات الشخصية لـ 50 ألف من سائقيها. كان السبب هو أنه في مستودع GitHub العام ، قام مطورو Uber بحفظ مفاتيح Amazon Cloud Access Keys (AWS) ، والتي بدورها قامت بتخزين نفس البيانات المفقودة.
- 2017 - اتضح أن مطوري الشركة المصنعة للرباعي الأسطوانات DJI المخزنة في المستودع العام GitHub المفتاح الخاص لشهادة SSL الخاصة بالشركة ومفاتيح AES لتشفير البرامج الثابتة. بالإضافة إلى ذلك ، تم تخزين بيانات اعتماد Amazon Web Services هناك ، والتي بدورها احتوت على سجلات الطيران وبيانات جواز السفر ومعلومات ترخيص عميل DJI.
- 2017 - قام مهندس في أحد كبار المتعهدين الخارجيين لتكنولوجيا المعلومات في الولايات المتحدة ، DXC Technologies بتحميل مفاتيح الوصول AWS إلى مستودع GitHub العام.
- 2017 - تم اكتشاف رموز المصدر والتقارير وخطط التطوير للعديد من المؤسسات المالية الكبيرة في كندا والولايات المتحدة واليابان ، والتي تم وضعها هناك من قبل موظفي شركة الاستعانة بمصادر خارجية الهندية Tata Consultancy Service ، الذين تأثر عملاؤهم في المؤسسات المالية ، في مستودع GitHub العام.
من الواضح أنه يمكن بسهولة منع جميع حالات التسرب غير المقصود هذه من خلال مراقبة البيانات التي يتم تحميلها على GitHub. لا أحد يتحدث عن حظر كامل على الوصول إلى GitHub ، فهذه فكرة لا معنى لها وحتى ضارة (إذا كان هناك حظر ، ولكن هناك حاجة إلى الخدمة ، فإن المطورين سيتجاوزون هذا الحظر). نحتاج إلى حل يمنع تسرب المعلومات ولديه محلل محتوى في الوقت الحقيقي يمنع GitHub من تحميل البيانات التي لا يجب أن تكون موجودة لأسباب أمنية (على سبيل المثال ، مفاتيح الوصول إلى سحابة Amazon).
سأوضح لك كيفية حل هذه المشكلة المحددة ، باستخدام DeviceLock DLP كمثال. البيانات الأولية لدينا هي كما يلي:
- حساب GitHub ،
- مفتاح AWS ،
- DeviceLock DLP الإصدار 8.3.
بادئ ذي بدء ، نحدد أن مفتاح AWS هو البيانات المحمية وأنه يجب منعه من الوصول إلى GitHub.
نظرًا لأن المفتاح عبارة عن مجموعة من وحدات البايت بدون أي توقيعات واضحة (نعم ، أعرف عن النص "BEGIN / END PRIVATE KEY" في البداية وفي النهاية ، ولكن هذا توقيع ضعيف جدًا ومن الأفضل عدم الاعتماد عليه) ، سنستخدم التعريف على بصمات الأصابع الرقمية .
أضف الملف الرئيسي إلى قاعدة بيانات بصمات الأصابع DeviceLock DLP حتى يتمكن المنتج من "معرفة" مفتاحنا "شخصيًا" ويمكنه لاحقًا تحديده بشكل فريد (وعدم الخلط بينه ، على سبيل المثال ، مع مفاتيح الاختبار التي يمكن تحميلها جيدًا على GitHub).
الآن دعنا ننشئ قاعدة لتصفية المحتوى لتخزين الملفات في DeviceLock DLP (يندرج GitHub تحت تصنيف "مخازن الملفات" لدينا ، والذي ، بالإضافة إلى GitHub ، يتم دعم أكثر من 15 خدمة مختلفة لتبادل الملفات والمزامنة).
وفقًا لهذه القاعدة ، يُحظر على أي مستخدم تنزيل البيانات ببصمات رقمية تتطابق مع تلك المحددة أعلاه ، وإذا تم الكشف عن البيانات المحظورة ، يجب تسجيل الأحداث المقابلة (سجلات الحوادث) ونسخ الظل في سجلات الأرشيف المركزية ، بالإضافة إلى التنفيذ الفعلي للإجراء مع حظر تنزيل البيانات إلى GitHub .
دعنا الآن نحاول تحميل مفتاح AWS في مستودع GitHub.
كما ترى ، فشلت عملية التنزيل "لسبب ما" ، وحذرنا DeviceLock DLP من حظره لهذه العملية (بالطبع ، الرسالة قابلة للتخصيص وتعطيلها).
في نفس الوقت ، إذا نظرت إلى سجل النسخ الاحتياطي DeviceLock DLP ، يمكنك العثور على نفس المفتاح هناك.
وبالتالي ، أظهر هذا المثال كيفية استخدام DeviceLock DLP لحل المشكلة الخاصة بمنع تسرب أي بيانات سرية (يمكن أخذ بصمات الأصابع الرقمية من أي ملف تقريبًا) إلى التخزين السحابي.
بالطبع ، بالإضافة إلى منع تسرب البيانات على GitHub ، يمكنك أيضًا جرد المستودعات بشكل دوري وتحديد المعلومات الموجودة فيها والتي لا ينبغي أن تكون موجودة. لغرض مسح مستودعات GitHub ، تم إنشاء المرافق المجانية Gittyleaks و Git Secrets و Git Hound و Truffle Hog وغيرها الكثير.