Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

GitHub erweitert Scanning-Funktion

  GitHub hat eine Verbesserung seiner Secret-Scanning-Funktion angekündigt. Demnach werden Gültigkeitsprüfungen jetzt auch auf beliebten Diensten wie Amazon Web Services (AWS), Microsoft, Google und Slack durchgeführt

Lesezeit 2 Min.

Die Anfang des Jahres von der Microsoft-Tochter eingeführten Gültigkeitsprüfungen warnen Benutzer, ob die beim Secret Scanning gefundenen Token aktiv sind, und ermöglichen so wirksame Abhilfemaßnahmen. Sie wurden zuerst für GitHub-Tokens aktiviert. Laut Plan soll der cloudbasierte Code-Hosting- und Versionskontrolldienst in Zukunft weitere Token unterstützen.

Um die Einstellung zu aktivieren, können Eigentümer von Unternehmen oder Organisationen sowie Repository-Administratoren bei den Einstellungen >Codesicherheit und -analyse > Secret Scanning die Option „Automatically verify if a secret is valid by sending it to the relevant partner“ auswählen.

Anfang dieses Jahres erweiterte GitHub auch die Warnungen des Secret Scanning für alle öffentlichen Repositories und kündigte die Verfügbarkeit des Push-Schutzes an, um Entwickler und Betreuer dabei zu unterstützen, ihren Code proaktiv zu sichern. So wird der Code vor der Veröffentlichung auf hochgradig identifizierbare Geheimnisse (versehentlich geleakte Schlüssel und ähnliches) überprüft.

Die Entwicklung kommt zu einem Zeitpunkt, an dem Amazon eine Vorschau auf die erweiterten Anforderungen an den Kontenschutz gibt, die privilegierte Benutzer eines AWS-Organisations-Kontos dazu zwingen, ab Mitte 2024 die Multi-Faktor-Authentifizierung (MFA) zu aktivieren. „MFA ist eine der einfachsten und effektivsten Möglichkeiten, die Kontosicherheit zu erhöhen und bietet eine zusätzliche Schutzebene, um zu verhindern, dass unbefugte Personen Zugriff auf Systeme oder Daten erhalten“, so Steve Schmidt, Chief Security Officer bei Amazon.

Schwache oder falsch konfigurierte MFA-Methoden fanden auch einen Platz unter den Top 10 der häufigsten Netzwerk-Fehlkonfigurationen, so ein neues gemeinsames Advisory der U.S. National Security Agency (NSA) und der Cybersecurity and Infrastructure Security Agency (CISA). „Einige Formen der MFA sind anfällig für Phishing, ‚Push-Bombing‘, Ausnutzung von Schwachstellen im Signaling System 7 (SS7) Protokoll und/oder ‚SIM-Swap‘-Techniken“, so die Behörden. „Wenn diese Versuche erfolgreich sind, kann ein Bedrohungsakteur Zugang zu den MFA-Authentifizierungsdaten erhalten oder MFA umgehen und auf die MFA-geschützten Systeme zugreifen.“

Die weiteren verbreiteten Fehlkonfigurationen im Bereich der Cybersicherheit sind:

  • Standardkonfigurationen von Software und Anwendungen
  • unzureichende Trennung von Benutzer- und Administratorrechten
  • unzureichende interne Netzwerküberwachung
  • fehlende Netzwerksegmentierung
  • schlechtes Patchmanagement
  • Umgehung von Systemzugangskontrollen
  • unzureichende Zugriffskontrolllisten (ACLs) für Netzwerkfreigaben und -dienste
  • unzureichende Hygiene der Anmeldeinformationen
  • uneingeschränkte Code-Ausführung

Als Abhilfemaßnahmen wird empfohlen, dass Unternehmen keine Standard-Anmeldeinformationen mehr verwenden und Konfigurationen „härter“ gestalten, nicht genutzte Dienste deaktivieren und Zugriffskontrollen implementieren, Patches vorrangig installieren sowie administrative Konten und Berechtigungen prüfen und überwachen.

Die Softwarehersteller wurden außerdem aufgefordert, die Grundsätze des „Secure by Design“ umzusetzen, nach Möglichkeit speichersichere Programmiersprachen zu verwenden, die Einbettung von Standardpasswörtern zu vermeiden, den Kunden kostenlos hochwertige Audit-Protokolle zur Verfügung zu stellen und Phishing-resistente MFA-Methoden vorzuschreiben. „Diese Fehlkonfigurationen veranschaulichen erstens einen Trend zu systemischen Schwächen in vielen großen Organisationen, auch in solchen mit ausgereiften Cyber-Strukturen, und zweitens wie wichtig es ist, dass Softwarehersteller Secure-by-Design-Prinzipien einführen, um die Belastung der Netzwerkverteidiger zu verringern“, so die amerikanischen Behörden.

Diesen Beitrag teilen: