V2.10.4 Service Authentication

Requirement:

Verify passwords, integrations with databases and third-party systems, seeds and internal secrets, and API keys are managed securely and not included in the source code or stored within source code repositories. Such storage SHOULD resist offline attacks. The use of a secure software key store (L1), hardware TPM, or an HSM (L3) is recommended for password storage.

Explanation:

Проверка того, что пароли, интеграции с базами данных и сторонними системами, семенами, внутренними секретами и ключами API управляются безопасно, является важным шагом в обеспечении безопасности конфиденциальной информации. Это помогает предотвратить несанкционированный доступ к конфиденциальным данным и системам, а также помогает снизить риск кибератак и утечек данных. Чтобы обеспечить надлежащее управление этими элементами, рекомендуется не включать их в исходный код и не хранить в репозиториях исходного кода. Хранение такой информации в исходном коде увеличивает риск ее компрометации либо из-за уязвимости системы безопасности в коде, либо из-за несанкционированного доступа к репозиторию кода. Вместо этого рекомендуется использовать безопасные механизмы хранения для защиты этих элементов. Защищенное хранилище программных ключей (L1), аппаратный TPM (доверенный платформенный модуль) или HSM (аппаратный модуль безопасности — L3) можно использовать для хранения информации в зашифрованном формате, что делает ее более устойчивой к автономным атакам. Эти механизмы хранения также могут предоставлять дополнительные функции безопасности, такие как контроль доступа и аудит, для дополнительной защиты конфиденциальной информации.

Remediation:

Процесс восстановления включает в себя несколько этапов:

• Выявление уязвимостей. Первым шагом является выявление потенциальных уязвимостей безопасности или слабых мест в системе или сети. Это можно сделать с помощью оценок безопасности, тестирования на проникновение или других методов.
• Приоритизация: после выявления уязвимостей необходимо определить их приоритетность в зависимости от уровня риска и потенциального воздействия. Уязвимости с высоким риском следует устранять в первую очередь, чтобы свести к минимуму риск инцидента безопасности или утечки данных.
• Смягчение: это процесс устранения уязвимостей и реализации мер по предотвращению эксплуатации. Стратегии смягчения последствий могут включать внедрение элементов управления безопасностью, исправлений или изменений конфигурации.
• Проверка: процесс исправления должен быть проверен, чтобы убедиться, что уязвимости были успешно устранены и что реализованные меры эффективны. Это можно сделать с помощью оценок безопасности, тестирования на проникновение или других методов.
• Документация: важно документировать процесс исправления, включая выявленные уязвимости, меры, принятые для их устранения, и процесс проверки. Эту документацию можно использовать в качестве справочной информации в будущем и для улучшения безопасности системы или сети.

В заключение, исправление является важным процессом в поддержании безопасности системы или сети. Он включает в себя выявление и устранение уязвимостей безопасности, расстановку приоритетов на основе риска, реализацию мер по смягчению последствий, проверку эффективности мер и документирование процесса.

Additional: