O recurso de varredura secreta do GitHub agora cobre AWS, Microsoft, Google e Slack
6 de Outubro de 2023

O GitHub anunciou uma melhoria em sua função de varredura de segredos que estende verificações de validade para serviços populares como Amazon Web Services (AWS), Microsoft, Google e Slack.

As verificações de validade, introduzidas pela subsidiária da Microsoft no início deste ano, alertam os usuários se os tokens expostos encontrados pela varredura de segredos estão ativos, permitindo, assim, medidas de remediação efetivas.

Foi ativado pela primeira vez para tokens do GitHub.

O serviço de hospedagem de código na nuvem e controle de versão disse que pretende suportar mais tokens no futuro.

Para alterar a configuração, proprietários de empresas ou organizações e administradores de repositórios podem ir até Configurações > Segurança e análise de código > Varredura secreta e marcar a opção "Verificar automaticamente se um segredo é válido, enviando-o ao parceiro relevante".

No início deste ano, o GitHub também expandiu alertas de varredura de segredos para todos os repositórios públicos e anunciou a disponibilidade de proteção de publicação para ajudar desenvolvedores e mantenedores a proteger proativamente seu código, varrendo segredos altamente identificáveis antes eles são publicados.

O desenvolvimento ocorre como Amazon previu requisitos de proteção de conta aprimorados que farão com que usuários privilegiados (também conhecidos como usuários raiz) de uma conta AWS Organization acionem a autenticação multifator (MFA) a partir de meados de 2024.

"A MFA é uma das maneiras mais simples e eficazes de melhorar a segurança da conta, oferecendo uma camada adicional de proteção para ajudar a prevenir que indivíduos não autorizados ganhem acesso a sistemas ou dados", disse Steve Schmidt, diretor de segurança da Amazon.

Métodos MFA fracos ou configurados incorretamente também figuraram entre as 10 configurações de rede mais comuns, de acordo com um novo conselho conjunto emitido pela Agência de Segurança Nacional dos EUA (NSA) e a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA).

"Algumas formas de MFA são vulneráveis a phishing, 'push bombing', exploração de vulnerabilidades do protocolo Sistema de Sinalização 7 (SS7) e/ou técnicas de 'SIM swap'" , disseram as agências.
"Essas tentativas, se bem-sucedidas, podem permitir que um invasor obtenha acesso a credenciais de autenticação MFA ou contorne a MFA e acesse os sistemas protegidos por MFA."

As outras configurações de segurança cibernética prevalentes são as seguintes -

Configurações padrão de software e aplicativos
Separação inadequada de privilégio de usuário/administrador
Monitoramento interno de rede insuficiente
Falta de segmentação de rede
Gestão insuficiente de patches
Bypass de controles de acesso ao sistema
Listas insuficientes de controle de acesso (ACLs) em compartilhamentos e serviços de rede
Higiene pobre de credencial
Execução irrestrita de código

Como medidas de atenuação, é recomendado que as organizações eliminem credenciais padrão e aumentem as configurações; desabilitem serviços não utilizados e implementem controles de acesso; priorizem o patching; auditam e monitoram contas e privilégios administrativos.

Foi solicitado também aos fornecedores de software que implementem princípios seguros por design, utilizem linguagens de programação seguras para memória, se possível, evitem incorporar senhas padrão, forneçam aos clientes logs de auditoria de alta qualidade sem nenhum custo adicional e exijam métodos MFA resistentes a phishing.

"Essas configurações demonstram (1) uma tendência de fraquezas sistêmicas em muitas grandes organizações, incluindo aquelas com posturas cibernéticas maduras, e (2) a importância dos fabricantes de software adotarem princípios seguros por design para reduzir o ônus sobre os defensores de rede", observaram as agências.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...