Tanulság a CISA incidenskezeléséből
A CISA saját incidenséről készített utóelemzése ritka példája annak, amikor egy vezető kiberbiztonsági szervezet részletesen bemutatja saját hibáit és az azokból levont tanulságokat. Az incidens során egy külsős szerződéses partner személyes, nyilvános GitHub-tárhelyére töltötte fel a CISA infrastruktúrájához kapcsolódó forráskódot, Infrastructure-as-Code állományokat, AWS GovCloud hitelesítő adatokat és egyéb érzékeny információkat. Az esetet nem a CISA saját észlelőrendszerei fedezték fel, hanem a GitGuardian automatikus szkennelése, majd egy újságíró értesítése indította el az incidenskezelést. A vizsgálat szerint nem történt bizonyítható illetéktelen hozzáférés vagy adatszivárgás, ugyanakkor az eset rávilágított arra, hogy még egy kiberbiztonsági hatóság is sérülékennyé válhat alapvető fejlesztési és jogosultságkezelési hibák miatt.
A CISA az utóelemzésben több hiányosságot is azonosított. Kiderült, hogy nem rendelkeztek kifejezetten ilyen jellegű incidensre kidolgozott válaszforgatókönyvvel, a biztonsági kutatók számára nem volt egyértelmű, mely csatornán lehet hasonló problémát jelenteni, és a nyilvános kódtárak folyamatos monitorozása sem volt megfelelő. A szervezet ennek hatására átfogó hitelesítőadat-cserét hajtott végre, megszüntette az érintett hozzáféréseket, szigorította a fejlesztői jogosultságokat, bevezette a nyilvános repositoryk automatikus figyelését, valamint egyszerűsítette az incidensbejelentési folyamatot. A közlemény egyik legfontosabb üzenete, hogy az incidenskezelés sikerét nem kizárólag a technológia, hanem az előre kidolgozott folyamatok, a beszállítók biztonsági felügyelete és a gyors reagálás határozza meg. Az eset jól példázza, hogy a hitelesítő adatok nyilvános kódtárakba kerülése továbbra is az egyik leggyakoribb és legnagyobb kockázatot jelentő biztonsági hiba, amely ellen folyamatos automatizált ellenőrzéssel és szigorú fejlesztési szabályokkal lehet hatékonyan védekezni.