דיגיטל וטק

מהפכה באבטחת המידע: איך אפשר למנוע מהמידע הרגיש ביותר להיחשף?

חברת Legit Security צפויה לספק דיוק מבוסס בינה מלאכותית המאפשר זיהוי ומניעה מקיף של סודות – מונח שמתייחס למידע רגיש כמו מפתחות API, גישה, סיסמאות ומידע אישי. המטרה: לאבטח את נתוני המפתחים לאורך כל מערכת הפיתוח. המנכ"ל רוני פוקס: "אנחנו חלוצים בדרך לאבטחת מידע מלאה למפתחים"
מערכת ice | 
מאגרי מידע (צילום shutterstock)
חברת Legit Security, הפלטפורמה המובילה לניהול עמדת האבטחה של יישומים (ASPM) המאפשרת אספקת יישומים מאובטחת, הכריזה על יכולות מורחבות ומבוססות בינה מלאכותית לזיהוי והגנה על סודות לאורך כל צינור הפיתוח של התוכנה. עם סודות שנמצאים בליבת הפעילות המאפשרת לאפליקציות לפעול, הבנת המיקומים בהם הם קיימים - מעבר לסודות מקודדים וקשיחים וקוד מקור - ומניעת הדליפה שלהם נמצאים ברמת חשיבות עליונה.
הסודות - מונח שמתייחס למידע רגיש כמו מפתחות API, מפתחות גישה, סיסמאות ומידע אישי מזהה (PII) - מהווים נקודת מוקד לתוקפים בשל ערכם הגבוה וההתפשטות ההולכת וגוברת של נתונים כאלה בתוך סביבות פיתוח. בנוסף, התקפות ידועות על שרשרת האספקה נבעו מחשיפת סודות שנמצאו לעתים קרובות בתוך קוד המקור. הגנה על סודות היא גם אחד הדברים המרכזיים לעמידה בדרישות הרגולטוריות הגלובליות, כגון תקנות הגנת המידע הכללית של האיחוד האירופי (GDPR), תקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS) ודרישות רבות אחרות ברמת המדינה, ברמה הפדרלית ובתעשייה.

אחת הבעיות הידועות של אמצעים לסריקה אחר סודות היא שלעתים קרובות שיעור הזיהוי החיובי השגוי גבוה, במיוחד במקרים בהם הם אינם מכווננים לחלוטין או מותאמים לסביבת לקוח מוגדרת. עם השקת הגרסה הזו, Legit היא הראשונה ליישם בינה מלאכותית/לימוד מכונה כדי להפחית באופן משמעותי את הרעשים הקשורים לסריקה אחר סודות. ההקשרים סביב סודות רבים, שיכולים להיות מורכבים, מניעים נפח משמעותי של רעש ותוצאות חיוביות שגויות. Legit משתמשת במערך של היוריסטיות מתקדמות ובינה מלאכותית מותאמת כדי לספק תוצאות מדויקות במיוחד.
Legit מספקת אבטחה מקיפה באמצעות מינוף בינה מלאכותית לאיתור סודות בכל נכסי הפיתוח, כולל מאגרי גרסאות קוד, כלים לניהול קוד מקור (SCM), כלי בינה ולוגים, מוצרי תוכנה משניים, תיעוד פרטי וציבורי, ועוד. בנוסף, הניתוח המעמיק של Legit חושף סודות קבורים בתוך נכסים כגון היסטוריית קוד מקור או דפי Confluence שהשתנו. נכסים אלה עדיין נגישים ומבוקשים בידי הכוחות המרושעים הפעילים בשוק, אך קשה לגלות אותם באמצעים קונבנציונליים או באמצעות סורקי ה-AppSec הזמינים.
 
הנראות ויכולת יצירת ההקשרים של Legit מאפשרים למנמ"רים ולצוותים שלהם לזהות סודות בצורה יעילה יותר, לתעדף תיקונים ולהציב אמצעי מניעה מקיפים. "אנו רואים יותר מנמ"רים שיחד עם הצוותים שלהם נותנים עדיפות לסודות כיוזמת אבטחה, המונעת מאוד מהעובדה שרבים מעמיתיהם חוו פגיעה בסודות", אמר מייסד ומנכ"ל Legit, רוני פוקס.
"אנחנו חלוצים בדרך לאבטחת מידע מלאה למפתחים עם שילוב של חידושים גדולים שמספקים לצוותי אבטחה והנדסה דרך להגן על נתונים רגישים ולמנוע מסודות חדשים להיחשף בכל מקום". עם Legit מנמ"רים  והצוותים שלהם יכולים לזהות, לתקן ולמנוע אובדן של סודות לאורך מגוון של כלי מפתחים, החל מ-GitHub, GitLab, Azure DevOps ו-Bitbucket ועד לתמונות  מערכת של Docker, מוצרי משנה, דפי Confluence ועוד.
היתרונות העיקריים כוללים: נראות ותעדוף SDLC מקצה לקצה, כאשר Legit מזהה סודות מעבר לקוד המקור כדי לבחון את כל מרכיבי צינור הפיתוח. הפלטפורמה של Legit מגלה ללא הרף נכסים חדשים ומגינה עליהם אוטומטית מפני אובדן. ניהול מהיר ופשוט: עם ניהול מרכזי, Legit הופכת את היצירה של מדיניות מותאמת, קביעות של ניהול חריגים וביצוע סריקה אחר סודות לפשוטה.
 
זיהוי ותעדוף סיכונים מורכבים: הנראות הרחבה של Legit מאפשרת גילוי סודות שאחרת ייתכן והיו מפספסים אותם, כולל שילובים רעילים (למשל, אלו שנחשפו על ידי משתמש שהופך גרסה לציבורית). ההקשר שמספקת Legit מאפשר למשתמשים לתעדף את מה שהכי חשוב, כמו בדיקת התוקף של סוד או התאמה של רמות החומרה בהן משתמשים להערכה של הקריטיות והיכולת לנצל של השירות. הפחתת כמות התוצאות החיוביות השגויות: על ידי מינוף מנוע למידה אנליטית שעבור ברציפות, Legit מגדילה את הדיוק של זיהוי סודות. בנוסף, Legit מספקת חוויית טריאז' וקו בסיס פרודוקטיבית ביותר כדי לבנות חריגים ולכוונן תוצאות תוך זמן קצר.
ניתן להרחבה עבור צוותי פיתוח גדולים: בניגוד לכלים מבוססי קוד פתוח, Legit בנתה סריקה אחר סודות כדי לעמוד בדרישות הביצועים והמדרגיות של ארגונים גדולים. מניעה ותיקון של דליפת סודות: Legit מאפשרת הצבת חסמי מניעה מאבטחים על נקודות קצה של מפתחים באמצעות Legit CLI, ויכולה לעצור סודות באמצעות ווי SCM לפני שמבצעים דחיפת קוד. בנוסף, באמצעות תזרימי עבודה אוטומטיים ניתן להגיע למפתחים כחלק מ-Pull Request או ליצור הודעות Slack או כרטיסי Jira כדי לייעל את התיקון.
תגובות לכתבה(0):

נותרו 55 תווים

נותרו 1000 תווים

הוסף תגובה

תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה