Apesar das complexidades envolvidas, as organizações devem forçar a autenticação de dois fatores o quanto antes, pois uma única senha pode ser a única coisa que protege seus dados.
Em maio, o GitHub deu um passo para melhorar a segurança do software, anunciando que os colaboradores de todos os repositórios de código devem usar autenticação de dois fatores (2FA) até o final de 2023 . Embora obviamente seja uma mudança bem-vinda, é preciso se perguntar por que eles estão esperando tanto.
Empregar 2FA aumenta a segurança da conta, certamente, mas a cadeia de fornecimento de software de hoje é muito crítica (e o GitHub é um alvo muito atraente) para esperar mais um ano antes de exigir essa proteção agora comum. Desenvolvedores, fornecedores de software e clientes devem considerar o que podem fazer agora para fortalecer seu software, tanto para seu próprio benefício quanto para o restante do ecossistema de software.
A crescente ameaça de ataques à cadeia de suprimentos
Muitos ataques à cadeia de suprimentos nos últimos anos resultaram de invasões de contas, nas quais os agentes de ameaças vão diretamente para um gerenciador de pacotes (como npm ou PyPi) ou GitHub, comprometem uma conta e a usam para inserir código malicioso em um repositório amplamente utilizado . O código resultante parece ter vindo de um colaborador válido que trabalha regularmente nesse projeto, então as organizações assumem que é legítimo. Eles então usam esse código público - mas comprometido - em seus aplicativos de missão crítica, e o impacto flui a partir daí.
Uma rápida busca por comentaristas de problemas, bifurcações e mídias sociais pode revelar rapidamente organizações ou projetos que dependem do repositório comprometido e, nesse ponto, está pescando com dinamite – um ataque à cadeia de suprimentos de livros didáticos.
O GitHub é a maior plataforma de desenvolvimento de software do mundo, com mais de 83 milhões de desenvolvedores contribuindo para mais de 200 milhões de repositórios. Há uma confiança implícita em seus desenvolvedores, muitos dos quais trabalham em projetos de código aberto, e o software nesses repositórios pode ser usado extensivamente. Como resultado, os comprometimentos de contas no GitHub ou no npm Registry, uma fonte de código JavaScript compartilhado que o GitHub adquiriu em 2020, podem ter um impacto generalizado em toda a cadeia de suprimentos.
Isso não pretende ser uma escavação no GitHub - é uma conversa maior sobre o que as organizações que utilizam software de código aberto, uma ferramenta fantástica, precisam fazer para proteger a integridade de seus produtos e, finalmente, seus negócios.
Protegendo o ecossistema de software
Para começar, você não precisa esperar para adotar alguma forma de 2FA, que normalmente usa uma combinação de senha com um token de segurança ou recurso biométrico, como impressão digital ou digitalização de rosto. A 2FA não é perfeita, mas é mais difícil de comprometer do que uma única senha e provou ser eficaz na redução de comprometimentos de credenciais e outros ataques.
Outras etapas eficazes nas quais as organizações podem se concentrar incluem:
Análise de composição de software . SCA é um processo automatizado de avaliação de segurança, conformidade de licença e qualidade de código de software de código aberto. Com o aumento do uso de aplicativos nativos da nuvem e práticas de DevOps/DevSecOps, tentar rastrear código-fonte aberto manualmente não é mais prático. A análise automatizada da SCA está se tornando rapidamente essencial.
Lista de Materiais de Software (SBOM). O SBOM é um inventário legível por máquina de componentes e dependências de software, incluindo informações sobre esses componentes e seus relacionamentos hierárquicos. Um SBOM pode reduzir o risco, além de fornecer outros benefícios, como redução de custos e riscos de conformidade.
Os SBOMs também podem ajudar a evitar práticas potencialmente prejudiciais, como a mesclagem automática de código de repositórios de código aberto, e permitem que você seja o mais criterioso possível ao alternar entre versões em repositórios de código aberto.
Tecnologia sem senha . Exigir 2FA é uma melhoria notável, mas quase sempre incluirá uma senha como um de seus fatores. Que tal acabar com as senhas completamente?
A ideia tem sido lançada há anos, mas recentemente ganhou um impulso significativo quando Apple, Google e Microsoft anunciaram planos para construir suporte para autenticação sem senha em todas as plataformas que controlam. Pode ser difícil imaginar um mundo sem senhas, mas já existe em bilhões de dispositivos que os usuários desbloqueiam com impressão digital ou verificação facial, ou o uso de um PIN de dispositivo, todos mais simples e seguros do que senhas ou tecnologias como senhas de uso único enviadas via SMS.
A autenticação sem senha pode incluir chaves de segurança físicas, aplicativos especializados, links mágicos enviados por e-mail e biometria. Em um ataque de preenchimento de credenciais, por exemplo, um invasor pode usar uma senha obtida de uma violação de dados - digamos, uma senha que você usou cinco anos atrás para um fórum sobre como consertar sua TV. Se, como a maioria dos seres humanos, você reutiliza senhas, também pode ser a senha que você usa para o GitHub. E assim começa um ataque à cadeia de suprimentos.
Você pode pensar que as senhas não são o seu problema, mas as senhas são o seu problema; especialmente quando uma única senha é a única coisa entre um invasor e seus dados. Incentivar o 2FA para os contribuidores do GitHub, sem dúvida, é um passo positivo, mas forçá-lo deve acontecer mais cedo ou mais tarde.
Esperamos que tenha curtido este artigo!
Nós da PHS Brasil, nos colocamos a sua disposição e ficaremos felizes em entender sua necessidade e responder suas dúvidas.
Você pode acompanhar todas as nossas novidades nas redes sociais, como em nossa página no LinkedIn, Youtube, Facebook ou Instagram, onde publicamos e geramos conteúdo de valor para você e sua empresa diariamente.
Envie-nos um e-mail neste endereço: comercial@phsbrasil.com.br ou fale conosco pelo telefone: 11 3945-1934 (whats).
Olá, deixe seu comentário para Autenticação de dois fatores até 2023 não é o suficiente