Baru-baru ini, ada banyak berita tentang kebocoran acak berbagai data rahasia dari layanan web untuk menampung proyek-proyek TI dan pengembangan bersama mereka oleh GitHub.
Saya menekankan bahwa ini akan mengenai kebocoran acak, yaitu terjadi karena kelalaian dan tanpa niat jahat dari pihak para pelaku insiden. Hapus kebocoran seperti itu pada kurangnya pengalaman karyawan dalam masalah TI tidak akan berhasil, karena Pengguna GitHub adalah pengembang luar biasa, mis. personel yang sepenuhnya memenuhi syarat dan kompeten. Sayangnya, bahkan spesialis yang sangat baik pun terkadang membuat kesalahan sepele, terutama ketika menyangkut masalah keamanan. Mari kita anggap itu kelalaian.
Berikut adalah beberapa contoh yang sangat terkenal terkait dengan GitHub:
- 2014 - Uber membocorkan data pribadi 50 ribu driver-nya. Alasannya adalah bahwa dalam repositori GitHub publik, pengembang Uber menyimpan Amazon Cloud Access Keys (AWS), yang, pada gilirannya, menyimpan data yang hilang sama.
- 2017 - ternyata pengembang pembuat quadrocopters DJI disimpan dalam repositori publik GitHub kunci pribadi sertifikat SSL perusahaan dan kunci AES untuk mengenkripsi firmware. Selain itu, kredensial untuk Layanan Web Amazon disimpan di sana, yang, pada gilirannya, berisi log penerbangan, data paspor, dan informasi lisensi pelanggan DJI.
- 2017 - Seorang insinyur di agen outsourcing AS utama, DXC Technologies mengunggah kunci akses AWS ke repositori GitHub publik.
- 2017 - kode sumber, laporan, dan rencana pengembangan untuk beberapa lembaga keuangan besar di Kanada, Amerika Serikat, dan Jepang, yang ditempatkan di sana oleh karyawan dari perusahaan outsourcing India Tata Consultancy Service, yang pelanggannya dipengaruhi oleh lembaga keuangan, ditemukan di gudang publik GitHub.
Jelas, semua kasus kebocoran yang tidak disengaja ini dapat dengan mudah dicegah dengan memantau data yang diunggah ke GitHub. Tidak ada yang berbicara tentang larangan total akses ke GitHub, ini adalah ide yang tidak berguna dan bahkan berbahaya (jika ada larangan, tetapi layanan diperlukan, maka pengembang akan melewati larangan ini). Kami membutuhkan solusi yang mencegah kebocoran informasi dan memiliki penganalisa konten real-time yang mencegah GitHub dari hanya mengunggah data yang tidak boleh ada karena alasan keamanan (misalnya, kunci akses cloud Amazon).
Saya akan menunjukkan kepada Anda bagaimana mengatasi masalah khusus ini, menggunakan DeviceLock DLP sebagai contoh. Data awal yang kami miliki adalah sebagai berikut:
- Akun GitHub,
- Kunci AWS,
- DeviceLock DLP versi 8.3.
Untuk memulainya, kami menentukan bahwa kunci AWS adalah data yang dilindungi dan harus dicegah agar tidak sampai ke GitHub.
Karena kuncinya adalah sekumpulan byte tanpa tanda tangan yang diucapkan (ya, saya tahu tentang teks "KULIAH BEGIN / AKHIR AWAL" di awal dan di akhir, tapi ini adalah tanda tangan yang sangat lemah dan lebih baik tidak bergantung padanya), kami akan menggunakan identifikasi pada sidik jari digital .
Tambahkan file kunci ke basis data sidik jari DeviceLock DLP sehingga produk “mengetahui” kunci kami “secara langsung” dan nantinya dapat mengidentifikasinya secara unik (dan tidak membingungkan, misalnya, dengan kunci uji yang mungkin diunggah ke GitHub).
Sekarang mari kita membuat aturan penyaringan konten untuk penyimpanan file di DeviceLock DLP (GitHub termasuk dalam klasifikasi "penyimpanan file" kami, di mana, selain GitHub, lebih dari 15 pertukaran file dan layanan sinkronisasi didukung).
Menurut aturan ini, setiap pengguna dilarang mengunduh data dengan sidik jari digital yang cocok dengan yang ditentukan di atas, dan jika data terlarang terdeteksi, peristiwa terkait (catatan insiden) dan salinan bayangan harus dicatat dalam log arsip terpusat, di samping pelaksanaan tindakan yang sebenarnya dengan larangan mengunduh data ke GitHub .
Sekarang mari kita coba memuat kunci AWS ke dalam repositori GitHub.
Seperti yang Anda lihat, proses unduhan "karena alasan tertentu" gagal, dan DeviceLock DLP memperingatkan kami bahwa ia telah memblokir operasi ini (tentu saja, pesannya dapat disesuaikan dan dinonaktifkan).
Pada saat yang sama, jika Anda melihat log copy bayangan DeviceLock DLP, Anda dapat menemukan kunci yang sama di sana.
Jadi, dalam contoh ini, diperlihatkan cara menggunakan DeviceLock DLP untuk memecahkan masalah khusus mencegah kebocoran data rahasia (sidik jari digital dapat diambil dari hampir semua file) ke penyimpanan cloud.
Tentu saja, selain mencegah kebocoran data pada GitHub, Anda juga dapat secara berkala menginventarisasi repositori dan mengidentifikasi informasi di dalamnya yang seharusnya tidak ada. Untuk keperluan pemindaian repositori GitHub, utilitas gratis Gittyleaks, Rahasia Git, Git Hound, Truffle Hog dan banyak lainnya telah dibuat.