LastPass安全漏洞的启示

关键要点

在去年年底，LastPass披露了一起安全漏洞，称“未经授权的第三方”找到方法访问存储在与其母公司共享的第三方云服务中的客户数据，这一事件在媒体上引起了广泛关注。

这一切并不意外。毕竟，如果一个声称能够保护客户密码的安全产品的公司连自己都保护不好，那就预示着一个坏消息。

然而，这类事件的发生并非偶然。此次安全漏洞揭示了软件开发界一个鲜为人知的问题，这被视为其“软肋”。

关于LastPass安全漏洞的讨论大多集中在公司的安全态势及被泄露的密码等信息。然而，我们忽略了一个更为重要的问题：攻击者是如何能够突破防线的？它们能够成功进入目标个体的环境，部分原因在于通过社交工程手段进行渗透，从而顺利进入开发环境，获取宝贵的技术信息和密钥。

协作的“软侧面”

每个开发组织都希望建立一个协作环境，但这也引发了一些问题，许多组织并未充分认识到这些问题。

这一挑战并不仅限于LastPass。任何开发自己应用程序的组织通常都会涉及其他实体。但是在建立大型协作环境时，潜在风险也随之而来，因为大多数组织对谁能够访问这些环境知之甚少。

软件开发的协作特性也需要适度的开放源代码。年轻开发者乐于利用公开可用的代码来完成任务。然而，他们是否真正理解自己在使用的代码？尽管这些代码可能正常执行，并提供所需功能，但也有可能隐藏着隐秘的网络炸弹。

此外，许多进入职场的开发者在虚拟环境中成长，与许多朋友建立了在线联系，很多人甚至从未见过面。他们的共同点通常是相似的兴趣或者在之前的项目中合作过。

在大多数情况下，这些关系是无害的。但是当涉及到重要工作时，他们与其他工程师的自由交谈可能会使他们成为社交工程攻击的目标，以获取与工作相关的信息。

更何况，数据的共享往往比一个具有安全意识的CISO所希望的更为随意。我并不是只谈设计。我也在谈论源代码或密钥，它们往往在开发环境中闲置。虽然运营环境获得了最多的关注，但开发环境的安全性并没有受到同样的重视，而这些环境中可能存放着重要信息，等待被共享和使用。

最后，许多开发组织会将其测试数据来源于实时数据，并在没有足够匿名化的情况下将其放入测试模型中。他们认为，查看实际数据直播是检验应用程序的最佳方式。但这并不意味着我们应使用客户的实际数据进行测试。

那么，CISO们可以做些什么来缓解这个问题呢？

首先，可以引入红队进入组织的开发环境，以攻击者的思维方式对访问点进行侦查。看看他们能够找到哪些信息，以及它们可以进行怎样的攻击。

这是一个更具战略性而非战术性的挑战。不论哪个团队在共同开发项目中提供出色的创新，组织必须在审核安全权限方面保持同样的严格性。采用最低权限访问安全原则，对于数据和信息进行严格控制。仅提供用户名和密码已无法满足安全需求。

避免与那些不重视安全的组织进行共同开发工作。既然他们实际上是组织的延伸，安全团队有权要求商业合作伙伴提供适当的招聘政策，包括背景调查和员工的入职、离职流程。同时，要确认这些合作伙伴在授予权限时不应松懈，以免其员工获得不必要的安全权限，可能危及业务运作。

请仔细考虑确保