嵌入式凭据(通常也称为硬编码凭据)是源代码中的纯文本凭据。排五走势图/凭证 硬编码  指将纯文本(非加密)凭据(帐户排五走势图,SSH密钥,DevOps机密等)嵌入源代码中的做法。

However, the practice of 硬编码 credentials is increasingly discouraged as it poses formidable security risks that are routinely exploited 通过 malware 和 hackers. In some cases, a threat actor (perhaps aligned with a nation-state) may insert hardcoded credentials to create a backdoor, allowing them persistent access to a device, application, or system.

该博客旨在概述嵌入式/凭据,并涵盖它们的常见位置,如何使用硬编码凭据,它们所带来的风险,管理它们的挑战,以及在整个企业中解决嵌入式凭据的四种最佳实践。

嵌入式排五走势图如何使用以及在哪里找到?

制造商和软件公司通常将排五走势图硬编码到硬件,固件,软件,IoT和其他设备,脚本,应用程序和系统中,因为它有助于简化大规模部署。开发人员和其他用户也可以将凭据嵌入代码中,以便在其工作流程中轻松访问。

Proponents of 硬编码 credentials also claim it provides an extra layer of assurance so that unsophisticated users cannot tamper with the code or product.

排五走势图通常嵌入在:

  • 软件applications, both locally installed 和 cloud-based
  • 跨计算机,移动设备,服务器,打印机等的BIOS和其他固件。
  • 物联网(IoT)设备和医疗设备
  • DevOps工具
  • 网络交换机,路由器和其他控制系统(SCADA等)

嵌入式排五走势图通常用于:

  • 设置新系统
  • API和其他系统集成
  • 加密和解密密钥
  • 特权和超级用户访问
  • 应用到应用(a2a)和应用到数据库通信

为什么嵌入式/硬编码凭据存在风险?

硬编码凭据是首选的网络攻击目标,可用于排五走势图猜测攻击,使黑客和恶意软件可以劫持固件,设备(例如健康监控设备),系统和软件。

通常,制造商/软件开发公司在特定系列,版本或型号下,在所有应用程序(许多需要提升特权才能使用)或设备上的所有应用程序(或许多需要更高特权才能使用)中使用相同的硬编码凭据,或数量有限。因此,一旦黑客知道默认排五走势图,他们就有可能危害所有相似的设备或应用程序实例。这种利用导致了一些大规模的网络攻击,这些攻击导致了大规模的安全漏洞,全球范围的中断,甚至危及了关键的基础设施。

此外,开发人员和其他IT人员经常将排五走势图嵌入代码中,以便在需要时可以轻松访问。但是,有时这些排五走势图会被遗忘,并在代码中保留为嵌入的纯文本格式。有时,甚至使用纯文本排五走势图将代码发布(例如发布到GitHub),任何使用广泛扫描工具的人都可以轻易找到该排五走势图。这显然是发生在 优步违规 暴露了5700万客户以及大约60万驾驶员的信息。一名Uber员工在源代码中发布了纯文本凭据。有时,该代码被无意间发布在开发人员使用的流行存储库Github上。警惕的黑客注意到GitHub上的嵌入式凭据,然后使用它们来获得对Uber的Amazon AWS Instances的特权访问,可能并不需要花很多技术时间。

硬编码不仅会给特定设备,固件,应用程序等本身带来网络风险,而且还会给所连接的IT生态系统的其他组件带来网络风险。此外,无辜的第三方可能会受到硬编码疏忽的影响,因为它们可能会受到通过硬编码凭据泄露而奴役的设备的僵尸网络的DDOS攻击的袭击。这正是Mirai恶意软件所发生的事情,该恶意软件在2016年末开始盛行(尽管很可能早在几年前就活跃了)。

Mirai在具有Busybox的基于Linux的IoT盒(例如DVR和WebIP摄像机)上以及无人值守的Linux服务器上扫描Telnet服务。通过蛮力攻击,然后应用一张 61个已知的硬编码默认用户名和排五走势图 尝试登录。 Mirai及其变体用于组装庞大的IoT设备僵尸网络,最多可容纳约40万台互联设备,这是大多数所有者所不知道的。与Mirai相关的僵尸网络发起了一些迄今为止最具破坏性的DDOS攻击。 Mirai IoT僵尸网络的受害者包括法国电信,安全克雷布斯(Krebs on Security),Dyn,德意志电信(Deutsche Telecom),俄罗斯银行和利比里亚国家-由于DDOS的袭击,所有这些都遭受了严重的停机。

此外,DevOps工具通常在脚本或文件中嵌入机密信息,这可能会危害整个自动化过程的安全性。因此,获得对嵌入式排五走势图和密钥的控制是  机密管理 and DevOps安全.

(使用BeyondTrust的 免费企业物联网扫描仪 以查明整个组织的IoT生态系统中的默认和/或嵌入式凭据,并制定缓解威胁的路径)。

管理的主要挑战&保护嵌入式排五走势图

操作风险: 尽管存在过时排五走势图的风险,但经常创建硬编码凭据的目的是永远不要更改它们。因此,管理员可能会担心尝试更改某些类型的嵌入式排五走势图,因为担心会破坏系统中的某些内容并可能破坏公司的运营。

可见度和意识有限:一个中型组织可能会在设备,应用程序和系统之间散布成千上万个排五走势图,密钥和其他机密。其中一些可能包括影子IT,而影子IT甚至被其视线所遮蔽。了解组织中所有嵌入式排五走势图的存在位置可能会带来艰巨的任务-特别是在没有合适的工具完成任务的情况下。要获得对所有嵌入式/硬编码凭据的可见性,将需要一个全面的审核和发现过程。作为公司的IT策略,您还应该始终查看有关硬编码和默认排五走势图的供应商文档,以便在部署过程中立即计划补救措施。

工具不足: 不幸的是,没有可行的手动方法来检测或集中管理存储在应用程序或脚本中的排五走势图。保护嵌入式凭据的安全取决于首先将排五走势图与代码分开,以便在不使用排五走势图时将其保护在 集中排五走势图安全,而不是经常以纯文本形式显示。

一些IT安全供应商提供 特权排五走势图管理解决方案 能够不断发现硬编码和默认排五走势图并将其置于管理之下,包括强制执行排五走势图轮换和其他最佳做法。

减轻嵌入式排五走势图风险的4种方法

如果要减少对嵌入式排五走势图的访问,可以采取一些步骤:

  1. 管理应用程序排五走势图: 介绍第三方 特权排五走势图管理 or 应用程序排五走势图管理解决方案 可以发现整个企业中的默认和硬编码凭据,并强制应用程序,脚本等从集中式排五走势图保险箱中调用(或请求)使用排五走势图。一旦凭据得到管理,该工具便可以实施排五走势图安全最佳实践,包括排五走势图轮换,排五走势图长度和唯一性,以大大降低网络风险。 
  2. 拒绝购买包含硬编码凭据的软件或硬件注意:拒绝购买具有严重排五走势图漏洞的软件和硬件,这会给厂商施加压力,以消除这种不良的安全做法。加利福尼亚已经朝着这个方向迈出了一步 通过法律 从2020年开始禁止在消费类设备中使用默认排五走势图。这将预示着更多针对嵌入式和默认身份验证凭据的法规。
  3. 漏洞管理: 软件和产品供应商会定期发布补丁来解决缺陷,例如使用硬编码的排五走势图。如果你有一个彻底的 漏洞扫描 和修补程序管理流程就位,一旦发现这些问题并且有可用的修补程序,您就可以迅速解决。
  4. 执行笔测试: 对于安全性环境最严格的组织,雇用外部笔测试人员来检查和生产漏洞(例如,硬编码和默认凭据)可提供额外的主动网络防御措施。

BeyondTrust帮助成千上万的组织 消除嵌入式凭证并对其进行管理。 联系我们 了解更多信息或获取个性化演示。

Source://www.bomgar.com/blog