Zablokowanie wycieków danych w firmie logistycznej
Wdrożyliśmy monitoring tajemnic (secrets management). Firma miała problem z kluczami API do AWS zostawianymi w skryptach przez administratorów.
W TransKielce Logistyka administratorzy używali 14 różnych skryptów do automatyzacji wysyłek, które zawierały jawne dane dostępowe do chmury. Każdy taki plik był tykającą bombą, bo dostęp do niego miało zbyt wielu pracowników. Wprowadziliśmy system, który ukrywa hasła i automatycznie je zmienia bez udziału człowieka.
Wyzwanie
Firma zatrudnia 3 administratorów IT, którzy w pośpiechu kopiowali klucze dostępowe AWS bezpośrednio do plików tekstowych i skryptów automatyzacji. Podczas audytu w listopadzie 2024 roku nasz zespół z The SpyBolt wykrył 42 krytyczne miejsca, w których hasła były widoczne dla każdego użytkownika sieci wewnętrznej.
Ryzyko było realne: jedna pomyłka przy wrzucaniu kodu do sieci mogła skończyć się przejęciem konta i stratami rzędu 18 400 PLN w jedną noc przez nieautoryzowane użycie zasobów chmurowych. Administratorzy tracili też około 4 godziny miesięcznie na ręczne aktualizowanie haseł po każdym odejściu pracownika z zespołu IT.
Podejście
Pracę rozpoczęliśmy od głębokiego skanowania 14 serwerów lokalnych oraz stacji roboczych personelu technicznego. Wykorzystaliśmy narzędzia do wykrywania wzorców kluczy kryptograficznych i certyfikatów, aby zidentyfikować wszystkie ukryte zagrożenia.
W drugim etapie, w grudniu 2024, postawiliśmy na edukację. Przeprowadziliśmy warsztaty dla 3-osobowego zespołu TransKielce Logistyka, pokazując, jak korzystać z dynamicznych uprawnień. Zamiast walczyć z ludźmi, daliśmy im narzędzie, które ułatwia im pracę, zamiast ją utrudniać. Cały proces nadzorował nasz specjalista z Kielc, dbając o to, by systemy logistyczne nie miały ani minuty przestoju.
Rozwiązanie
Wdrożyliśmy centralny magazyn tajemnic, który stał się jedynym bezpiecznym miejscem przechowywania kluczy API i haseł do baz danych. Teraz skrypty nie mają wpisanych haseł na stałe – zamiast tego pobierają jednorazowe, krótkotrwałe uprawnienia, które wygasają po 120 minutach.
Dodatkowo The SpyBolt uruchomił automatyczne blokady na komputerach programistów. Jeśli system wykryje, że ktoś próbuje zapisać hasło w pliku tekstowym, operacja jest natychmiast przerywana, a kierownik IT otrzymuje powiadomienie. Całość zintegrowaliśmy z istniejącą infrastrukturą AWS, co pozwoliło na pełną widoczność tego, kto i kiedy korzysta z najważniejszych dostępów w firmie.
Rezultaty
Dzięki nowym zabezpieczeniom TransKielce Logistyka całkowicie wyeliminowała ryzyko wycieku danych z winy błędu ludzkiego w kodzie. Proces rotacji kluczy, który wcześniej był uciążliwym obowiązkiem, teraz dzieje się w tle bez angażowania pracowników.
Harmonogram
-
Listopad 2024Skanowanie 14 serwerów i wykrycie 42 luk w bezpieczeństwie haseł.
-
Grudzień 2024Konfiguracja centralnego magazynu i migracja pierwszych 5 usług.
-
Styczeń 2025Uruchomienie automatycznej rotacji i szkolenie administratorów IT.
"Szczerze mówiąc, nie wiedzieliśmy, że mamy tyle haseł w skryptach. The SpyBolt pokazał nam konkretne dziury i załatał je w 8 tygodni bez przerywania pracy logistyki."