Geheimnisse sind nicht nur Anmeldeinformationen und persönliche Daten; Sie halten die Komponenten der modernen Software Supply Chain vom Code bis zur Cloud sicher zusammen. Und wegen ihrer Hebelwirkung sind sie bei Hackern sehr begehrt.
Allerdings zeigen viele Sicherheitsverletzungen im Jahr 2022, wie unzureichend der Schutz von Geheimnissen ist. Untersuchungen des Spezialisten für automatisierte Erkennung GitGuardian zeigen, dass einer von zehn Codeautoren im Jahr 2022 ein Geheimnis preisgegeben hat.
Nur ein Beispiel: Im September 2022 drang ein Angreifer in Uber ein und verwendete hartcodierte Administratoranmeldeinformationen, um sich bei Thycotic, der Privileged Access Management-Plattform des Unternehmens, anzumelden. Dadurch konnten sie eine vollständige Kontoübernahme für mehrere interne Tools und Produktivitätsanwendungen erreichen.
Mehr als 80 Prozent aller Geheimnisse, die durch die Live-Überwachung auf GitHub erfasst werden, werden durch die persönlichen Repositories der Entwickler offengelegt, und ein großer Teil davon sind tatsächlich Unternehmensgeheimnisse. Es gibt eine Reihe von Gründen, warum dies geschieht. Natürlich kann böswilliges Verhalten ein Faktor sein, einschließlich der Entführung von Unternehmensressourcen und anderer zwielichtiger Motive. Aber das schiere Ausmaß des Phänomens deutet auf etwas anderes hin. Das meiste davon geschieht aufgrund menschlicher Fehler und Fehlkonfigurationen.
“Wenn ein Sicherheitskollege zu mir sagen würde, dass die Erkennung von Geheimnissen keine Priorität hat, würde ich das sagen ein Fehler”, sagt Theo Cusnir, Application Security Engineer bei PayFit. „Die meisten großen Sicherheitsprobleme entstehen entweder durch Social-Engineering-Angriffe oder Credential Stuffing. Daher ist es wirklich wichtig zu wissen, dass Ihre Ingenieure und Ihre Mitarbeiter Geheimnisse preisgeben werden. So ist das Leben. Meistens sind es Fehler. Aber wenn es passiert, müssen wir darauf reagieren. Je mehr Techniker es gibt, desto größer ist die Wahrscheinlichkeit, dass Lecks passieren.“
Wie bei vielen anderen Sicherheitsherausforderungen betrifft schlechte Geheimhaltungshygiene eine Kombination aus Menschen, Prozesse und Werkzeuge. Organisationen, die ernsthaft daran interessiert sind, die Ausbreitung von Geheimnissen zu zähmen, müssen gleichzeitig an all diesen Fronten arbeiten.
“Unsere Mission ist es, Code und SDLC zu sichern. Wir wollen dies mit einem transparenten, einfachen und pragmatischen Ansatz tun, beginnend mit einem der das wichtigste Thema in Appsec: Geheimnisse im Code”, sagt Eric Fourrier, CEO von GitGuardian.
Sie können die vollständige State-of-Secrets-Sprawl-Bericht 2023 auf der GitGuardian-Website und es wird einen Webinar, um die Ergebnisse am 22. März um 11:00 Uhr ET zu diskutieren.
Bildnachweis: Dean Drobot/Shutterstock