Essai gratuit
Obtenez l'accès complet
Connexion

Comment atténuer les risques de fuites de jetons

Picture of Product Team
Équipe produit
  • Reading time: 3 min

risques de fuites de jetons

Jetons d'accès sont utilisés dans l'authentification basée sur les jetons et permettent aux utilisateurs d'accéder à un site Web, une application ou une API. Après avoir vérifié son identité, l'utilisateur n'a pas besoin de ressaisir ses informations d'identification pendant toute la durée de vie du jeton, car le jeton lui sert de ticket d'entrée. Lorsqu'ils sont créés, les jetons se voient attribuer une portée définie qui limite les actions qui peuvent être entreprises lorsqu'ils sont authentifiés avec ce jeton.

Prévalence des fuites techniques

Il est difficile pour les organisations de éviter les fuites de données techniques tels que les secrets exposés dans les plates-formes d'hébergement de code source telles que GitHub. Les petites comme les grandes entreprises ont leur part de problèmes qui les empêchent d'assurer les informations d'identification ne sont jamais exposées publiquement. C'est une réalité qui doit être acceptée et gérée par les organisations. En fait, selon l'estimation de GitHub, ainsi que des recherches indépendantes sur le sujet, les erreurs provoquant ce type de fuites se produisent sans cesse.

A papier 2019 des chercheurs de la North Carolina State University (NCSU) affirment que plus de 100,000 13 référentiels qu'ils ont scannés contenaient des jetons API ou des clés cryptographiques exposés. Les données ont été recueillies sur six mois en analysant des milliards de fichiers à partir de commits GitHub publics en temps réel et d'un instantané public couvrant XNUMX % des référentiels open source à l'époque.

Atténuation des risques intégrée à GitHub

La même année, le document a été publié, GitHub a affirmé avoir averti certains fournisseurs de services d'un milliards de jetons qui avaient été rendues publiques sur leur plateforme par erreur. Ces jetons ont été détectés par GitHub analyse secrète service qui, à l'époque, uniquement les référentiels publics analysés. GitHub annoncé le mois dernier que la couverture s'est étendue aux référentiels privés.

Ce service de balayage secret consiste en GitHub analyse le contenu des référentiels pour trouver des modèles de secrets divulgués émis par leurs partenaires. Lorsque des secrets sont trouvés, GitHub les relaie au partenaire qui les a émis, afin qu'ils puissent ensuite être révoqués. Même détection et correction rapides par GitHub et leurs partenaires peuvent laisser le temps aux acteurs malveillants de faire des dégâts, en particulier avec des jetons surdimensionnés.

Quant aux jetons émis par d'autres entités que les partenaires de GitHub, le problème reste entier et d'autres solutions sont nécessaires pour le pallier. Toutes les plates-formes d'hébergement de code n'ont pas de protection aussi avancé que GitHub, et secrets ont toujours un moyen de se retrouver là où ils ne devraient pas, comme sur les forums, les sites de questions et réponses et les sites de collage.

Stratégie globale d'atténuation des risques

Afin de pallier les risques de fuites potentielles de jetons ou autres secrets sur GitHub, il est préférable de attaquer le problème sous plusieurs angles. Alors que GitHub permet à leurs partenaires de révoquer les jetons divulgués, la plupart des organisations risquent de des secrets qui fuient non émis par ces partenaires.

En plus d'étendre la couverture des jetons divulgués sur GitHub, les organisations doivent également surveiller d'autres plates-formes qui offrent rarement une telle protection. Les jetons finissent inévitablement par être exposés dans des extraits de code sur StackOverflow or PasteBin, souvent par un développeur ayant besoin d'une réponse rapide. Il y a aussi la question de seaux qui fuient qui peut exposer publiquement des secrets par erreur humaine. Pour prévenir les attaques basées sur ces fuites potentielles, un large couverture est tenu d'aviser rapidement l'organisme afin qu'il puisse rectifier la situation dans les plus brefs délais.

Feu d'artifice, un produit développé par Flare Systems, surveille les commits récents ainsi que les référentiels publics sur GitHub pour trouver le code et tous les secrets divulgués appartenant à votre organisation et vous alerter directement. Cette approche est également appliquée sur des plates-formes telles que StackOverflow et PasteBin, offrant une couverture plus large du potentiel protection contre les fuites de données techniques.

Nous contacter pour en savoir plus.

Partager cet article
Afficher les messages

Équipe produit

Flare’s product team explores new technologies and processes that will help Flare stay ahead of the competition and guides the engineering team in the development of the product.

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion