The SpyBolt
Transport i Logistyka

Zablokowanie wycieków danych w firmie logistycznej

Wdrożyliśmy monitoring tajemnic (secrets management). Firma miała problem z kluczami API do AWS zostawianymi w skryptach przez administratorów.

0 wycieków kluczy w 6 miesięcy
KlientTransKielce Logistyka
BranżaTransport i Logistyka
HarmonogramListopad 2024 – Styczeń 2025

W TransKielce Logistyka administratorzy używali 14 różnych skryptów do automatyzacji wysyłek, które zawierały jawne dane dostępowe do chmury. Każdy taki plik był tykającą bombą, bo dostęp do niego miało zbyt wielu pracowników. Wprowadziliśmy system, który ukrywa hasła i automatycznie je zmienia bez udziału człowieka.

Secrets ManagementAWS SecurityAutomatyzacja ITAudyt koduMonitoring dostępów

Wyzwanie

Firma zatrudnia 3 administratorów IT, którzy w pośpiechu kopiowali klucze dostępowe AWS bezpośrednio do plików tekstowych i skryptów automatyzacji. Podczas audytu w listopadzie 2024 roku nasz zespół z The SpyBolt wykrył 42 krytyczne miejsca, w których hasła były widoczne dla każdego użytkownika sieci wewnętrznej.

Ryzyko było realne: jedna pomyłka przy wrzucaniu kodu do sieci mogła skończyć się przejęciem konta i stratami rzędu 18 400 PLN w jedną noc przez nieautoryzowane użycie zasobów chmurowych. Administratorzy tracili też około 4 godziny miesięcznie na ręczne aktualizowanie haseł po każdym odejściu pracownika z zespołu IT.

Podejście

Pracę rozpoczęliśmy od głębokiego skanowania 14 serwerów lokalnych oraz stacji roboczych personelu technicznego. Wykorzystaliśmy narzędzia do wykrywania wzorców kluczy kryptograficznych i certyfikatów, aby zidentyfikować wszystkie ukryte zagrożenia.

W drugim etapie, w grudniu 2024, postawiliśmy na edukację. Przeprowadziliśmy warsztaty dla 3-osobowego zespołu TransKielce Logistyka, pokazując, jak korzystać z dynamicznych uprawnień. Zamiast walczyć z ludźmi, daliśmy im narzędzie, które ułatwia im pracę, zamiast ją utrudniać. Cały proces nadzorował nasz specjalista z Kielc, dbając o to, by systemy logistyczne nie miały ani minuty przestoju.

Rozwiązanie

Wdrożyliśmy centralny magazyn tajemnic, który stał się jedynym bezpiecznym miejscem przechowywania kluczy API i haseł do baz danych. Teraz skrypty nie mają wpisanych haseł na stałe – zamiast tego pobierają jednorazowe, krótkotrwałe uprawnienia, które wygasają po 120 minutach.

Dodatkowo The SpyBolt uruchomił automatyczne blokady na komputerach programistów. Jeśli system wykryje, że ktoś próbuje zapisać hasło w pliku tekstowym, operacja jest natychmiast przerywana, a kierownik IT otrzymuje powiadomienie. Całość zintegrowaliśmy z istniejącą infrastrukturą AWS, co pozwoliło na pełną widoczność tego, kto i kiedy korzysta z najważniejszych dostępów w firmie.

Rezultaty

Dzięki nowym zabezpieczeniom TransKielce Logistyka całkowicie wyeliminowała ryzyko wycieku danych z winy błędu ludzkiego w kodzie. Proces rotacji kluczy, który wcześniej był uciążliwym obowiązkiem, teraz dzieje się w tle bez angażowania pracowników.

42
Usunięte hasła ze skryptów
12 min
Czas pełnej rotacji dostępów
0
Incydentów wycieku od stycznia
99.2%
Widoczności użycia kluczy API

Harmonogram

  1. Listopad 2024
    Skanowanie 14 serwerów i wykrycie 42 luk w bezpieczeństwie haseł.
  2. Grudzień 2024
    Konfiguracja centralnego magazynu i migracja pierwszych 5 usług.
  3. Styczeń 2025
    Uruchomienie automatycznej rotacji i szkolenie administratorów IT.

"Szczerze mówiąc, nie wiedzieliśmy, że mamy tyle haseł w skryptach. The SpyBolt pokazał nam konkretne dziury i załatał je w 8 tygodni bez przerywania pracy logistyki."

Dariusz Nowakowski Kierownik IT, TransKielce Logistyka Luty 2025