Warum Angreifer gen GitHub abzielen und wie Sie es sichern können

Letzte Woche kündigte Okta eine Sicherheitsverletzung an, zwischen jener ein Angreifer Zugriff gen seinen gen GitHub gehosteten Quellcode erhielt. Dasjenige ist nur dasjenige jüngste Vorzeigebeispiel in einer langen Warteschlange von Angriffen, die sich Zugriff gen den Quellcode des Unternehmens in GitHub verschafft nach sich ziehen. Dropbox, Gentoo Linux und Microsoft nach sich ziehen allesamt ihre GitHub-Konten schon ins Visier genommen.

Mit 90 Mio. aktiven Benutzern ist GitHub dasjenige beliebteste Quellcode-Verwaltungstool z. Hd. Open-Source- und private Enterprise-Identifizierungszeichen-Repositories. Es ist ein wichtiger Teil jener grundlegenden Unterbau und jener Vormund einiger jener sensibelsten Vermögenswerte und Statistik jener Welt.

Kein Wunder, dass es Angreifern zunehmend gen den Quellcode es sei denn hat. In einigen Fällen, z. B. zwischen Okta, versuchen sie notfalls, Zugriff gen den Quellcode zu erhalten. Häufiger suchen die Angreifer nachher vertraulichen Informationen, die sie z. Hd. zusammenführen späteren Übergriff verwenden können.

Ein Angreifer, jener Zugriff gen privaten Quellcode erhält, kann ihn gen Schwachstellen untersuchen und jene Schwachstellen dann zwischen nachfolgenden Angriffen ausnutzen. Angreifer können ebenfalls Festtag codierte Schlüssel, Passwörter und andere Anmeldeinformationen, die notfalls in GitHub gespeichert sind, stehlen, um Zugriff gen Cloud-Dienste und Datenbanken zu erhalten, die in AWS, Azure oder GCP gehostet werden. Ein einziges gestohlenes Repository kann geistiges Eigentum, gültige Anmeldeinformationen und eine schöne verkettete Liste von Schwachstellen in Produktionssoftware enthalten, die ausgenutzt werden können.

Shiny Hunters, eine Angriffsgruppe, die bekanntlich speziell gen private GitHub-Repositorys abzielt, hat Dutzende von Unternehmen mit dieser Technologie zerschunden und ihre Statistik jenseits verschiedene Dark-Web-Marktplätze verkauft.

Sichern jener GitHub-Umgebung jener Organisation

Es steht außer Frage, dass GitHub ein kritischer Teil jener Unterbau des Unternehmens ist, nichtsdestoweniger dasjenige Zeitweilig ausschließen ist ein komplexes und herausforderndes Identitätssicherheitsproblem. Dasjenige Schöne am GitHub-Schema ist, dass es eine uneingeschränkte Zusammenarbeit ermöglicht, nichtsdestoweniger dasjenige verursacht ebenfalls eines jener größten Probleme in jener modernen IT-Sicherheit.

Denken Sie nur darüber nachher: Jeder, jener im Jahr 2022 aus jener Ferne technisch versiert ist, hat zusammenführen GitHub-Benutzerkonto. Und Sie können Ihr GitHub-Konto z. Hd. was auch immer verwenden. Wir können jene Konten z. Hd. persönliche Nebenprojekte, Open-Source-Beiträge und unsrige Arbeit in öffentlichen und privaten Identifizierungszeichen-Repositorys verwenden, die letztendlich unseren Arbeitgebern in Besitz sein von. Dasjenige ist sehr viel schweres In der Höhe halten z. Hd. eine einzelne Identität!

Sie können ebenfalls die Unterprogramm „Mit GitHub einsteigen“ verwenden, um Ihre GitHub-Identität gen anderen Websites und Diensten external von GitHub selbst zu verwenden. Und es gibt noch mehr: GitHub ist insofern einzigartig, denn Sie sich nicht nur gen ihrer Website einsteigen, sondern ebenfalls Identifizierungszeichen von den GitHub-Servern jenseits Git-Operationen jenseits HTTPS und SSH, die selbst Ihren GitHub erfordern, von den Servern von GitHub gen Ihren lokalen Computer ziehen, veräußern und klonen Identität.

GitHub hat jene Auswirkungen gen die Sicherheit unzweideutig aufgegriffen, denn es Vorjahr die Auflösung von Benutzernamen und Passwörtern z. Hd. Git-Operationen ankündigte – ein Schrittgeschwindigkeit in die richtige Richtung.

7 Tipps zum Sichern Ihres GitHub

Während GitHub Tools zum Zeitweilig ausschließen jener Umgebung bereitstellt, sollen Unternehmen wissen, wie sie jene verwenden. Leider erfordern manche jener wichtigsten Sicherheitsfunktionen GitHub Enterprise. Nichtsdestotrotz sind hier sieben Prinzipien z. Hd. eine bessere GitHub-Sicherheit.

1. Erlauben Sie keine privaten Konten z. Hd. die Arbeit. Wir verstehen, Ihr Unternehmen verfügt jenseits manche öffentliche Repositories und Sie können Ihre Glaubwürdigkeit einrichten, während Sie zwischen Ihrem nächsten Vorstellungsgespräch mit einigen öffentlichen Beiträgen angeben. Ihr persönlicher GitHub-Benutzerkonto ist Teil Ihrer Marke. Leider ist dies ebenfalls eine jener größten Lücken in Organisationen, die heute GitHub verwenden: Sie reglementieren die Verwendung persönlicher Konten z. Hd. Arbeitszwecke nicht streng. So verlockend es ebenfalls sein mag, persönliche Konten sollten nicht z. Hd. die Arbeit verwendet werden. Es gibt reibungslos keine Möglichkeit zu kontrollieren, wer Zugriff gen jene persönliche Gmail-Postanschrift hat, die Sie zum Erstellen Ihres persönlichen GitHub-Kontos verwendet nach sich ziehen.
2. Authentifizierung jenseits Unternehmens-SSO erforderlich. Leider taucht GitHub prominent gen jener SSO Wall of Shame gen. Dasjenige ist richtig – Sie sollen z. Hd. die SSO-Integration extra bezahlen. Sowie Sie jenseits GitHub Enterprise verfügen, können Sie GitHub mit Ihrem Unternehmens-SSO verbinden, z. B. Okta oder Azure AD oder Google Workspace, und Sie können Ihre Organisation zeitweilig ausschließen, um nur die Authentifizierung jenseits SSO zuzulassen.
3. Erfordern Sie 2FA z. Hd. allesamt Konten. Sogar wenn Sie die Zwei-Kriterium-Authentifizierung (2FA, ebenfalls berühmt denn MFA) jenseits Ihr SSO erzwingen und ebenfalls eine SSO-Authentifizierung verlangen, ist es die sicherste Vorkaufsrecht, weiterhin 2FA z. Hd. allesamt GitHub-Benutzer in Ihrer Organisation zu erzwingen. Ausnahmegruppen und Richtlinienausnahmen in Ihrem SSO-Versorger können SSO MFA reibungslos umgehen.
4. Verwenden Sie SSH-Schlüssel z. Hd. Git-Operationen. Während GitHub eine feinkörnige Berechtigungskontrolle mit persönlichen Zugriffstoken (PATs) eingeführt hat, bleiben sie kränklich z. Hd. Phishing, da jene Token oft im Klartext herumkopiert werden. Durch die Verwendung von SSH-Schlüsseln zur Authentifizierung z. Hd. Git-Operationen kann Ihr Unternehmen eine durchdachte PKI verwenden, um zu steuern, wie SSH-Schlüssel bereitgestellt werden, und dies ebenfalls mit jener Geräteverwaltung Ihres Unternehmens und Ihrer eigenen Zertifizierungsstelle (CA) zusammenschnüren.
5. Knausern Sie die Berechtigungen von Repository-Mitgliedern mithilfe von Schlingern. GitHub bietet verschiedene Repository-Schlingern an, die nachher dem Prinzip jener geringsten Rechte zugewiesen werden können. Basisberechtigungen können gen Organisationsebene gesteuert werden. Berücksichtigen Sie immer darauf, die am wenigsten privilegierte Rolle zuzuweisen, die ein Mitglied gesucht, um produktiv zu sein. Zeugen Sie nicht jeden zum Administrator.
6. Lassen Sie keine externen Mitwirkender zu. Die Zusammenarbeit mit Auftragnehmern ist ein normaler Element jener Verwaltung großer Softwareprojekte. Die Governance rund um externe Mitwirkender in GitHub reicht jedoch nicht aus, um Ihre Organisation sicher zu halten. Erzwingen Sie stattdessen externe Mitwirkender, sich jenseits Ihr Unternehmens-SSO zu authentifizieren, und erlauben Sie Repository-Administratoren nicht, sie geradlinig zu den Repositorys Ihrer Organisation einzuladen.
7. Prüfen, auswerten und nochmals prüfen. Keine Organisation ist perfekt; Selbst mit den besten Richtlinien hinfallen Konten durch dasjenige Raster und es werden Fehler gemacht. Nehmen Sie sich noch vor dem Zeitweilig ausschließen Ihrer GitHub-Organisation die Zeit, zusammenführen regelmäßigen Prüfprozess zu implementieren, um nachher inaktiven Konten zu suchen, die ihren Zugriff nicht nutzen, und um die Quantität jener privilegierten Schlingern in Ihren Repositories zu begrenzen. Sowie Ihre Umgebung nicht zugreifbar ist, würdigen Sie gen Richtlinienverstöße, z. B. zusammenführen Benutzer, jener sich irgendwie immer noch external Ihres SSO authentifiziert oder 2FA nicht verwendet.

Welcher Verstoß gegen dasjenige GitHub-Repository von Okta ist ein eindrucksvolles Vorzeigebeispiel hierfür, wie schwierig es ist, Identitäten in Unternehmen zu schützen, nichtsdestoweniger es ist kein Einzelfall. Tagtäglich sehen wir, welches passiert, wenn Mitwirkender und Auftragnehmer Kontoübernahmen erleben. Wir sehen die Auswirkungen einer schwachen Authentifizierung, lasche Richtlinien z. Hd. persönliche Elektronischer Brief-Konten und die ständig wachsende Größe jener Identitätsangriffsfläche.

Leider ist dieser jüngste Zwischenfall nur ein Teil eines wachsenden Trends von Identitätsverletzungen, gen die man im Jahr 2023 würdigen sollte.