您的主系统并不是破坏公开凭证的唯一来源。您的组织使用的第三方应用程序还具有必须保护的特权登录。云平台,软件即服务(SaaS)和本地第三方应用程序(例如ERP系统)通常具有完全控制的管理登录。这些帐户允许负责您的应用程序的人员执行管理任务,并且应对尽可能少的个人保密, 强大的密码政策 强制执行。
第三方凭证如何泄漏
UpGuard有 遇到应用程序凭证 在 研究过程中的几种形式,但是有两种常见的公开方式。首先,尽管它违反了所有最佳实践甚至是基本安全性,但组织有时仍会在一个简单的文本文档或电子表格中仅列出所有应用程序以及凭证的文档。不带 加密,这些文件就像是攻击者的金矿。看起来似乎很明显,但是这些文档永远不应该首先创建。有许多安全的方法可以存储密码,其中任何一种方法都比名为passwords.txt的记事本文档更好。不需要大型应用程序公司的数据泄露即可公开您的数据-公开您自己的凭据的可能性更大,并且结果相同。
其次,我们通常在为组织定制的代码中找到纯文本应用程序凭据。同样,尽管偏离了将证书加密和/或存储在其他地方的最佳实践,但这些通常在代码本身内部仍然可读。对于集成目的或自动化而言,这是很常见的,其中多个系统必须进行交互并且需要彼此访问。的 最小特权原则 建议这些集成应仅使用具有执行工作所需权限的自定义帐户。管理应用程序凭据不应该用于此目的,它是一种捷径,如果暴露了这些凭据,则可能会完全危害应用程序及其数据。
如何安全地管理第三方证书
从CTO / CISO到支持团队再到开发团队,大多数从事技术工作的人都遇到了上述基本错误。
您应该从自己和第三方考虑与第三方凭据相关的风险 供应商 侧。
您的团队:锁定您的第三方凭据
避免使用'password.txt'似乎很可笑,直到你坐在一起 UpGuard'的BreachSight研究团队 当您很快意识到在数千个面向Internet的公开服务中很容易发现纯文本管理凭据时,请别笑了。将管理凭据安全锁定,并且只有管理员可以访问。使用特权较低的凭据进行应用程序级别的访问。
如果您需要以编程方式使用第三方凭据,请将其安全地存储在以下产品中:'旨在这样做。一世'我有很好的经验 金库 和 秘密服务器.
您的供应商:使用安全调查表审核您的第三方供应商
大多数组织可以锁定他们的第三方凭据。但是呢'经常被忽视的是 使用安全调查表审核您的第三方供应商 (完整披露-我们将帮助实现这一目标的自动化!)。
为什么?这里'是一个例子。防止恶意使用第三方凭据的关键控制措施是2FA(两因素身份验证),因此,即使凭据遭到破坏,攻击者与其目标之间也存在另一层安全保护。但是,那里's no point having a 密码安全检查表 如果您的供应商应用程序中有一半未在管理凭据上指定2FA'甚至根本不支持2FA。如果你'认真评估,监控和减少您的 第三方供应商 风险,您需要了解他们的 安全态势 完全负责并使它们对您的标准负责。
本文是系列文章的一部分。阅读以下文章中的更多文章 供应商风险:来自第三方供应商的数据泄漏的影响。
详细了解可帮助您解决问题的解决方案 第三方风险管理.
