秘密不僅僅是登錄憑據和個人數據;它們安全地將現代軟件供應鏈的組件(從代碼到雲)結合在一起。並且由於它們提供的影響力,它們受到黑客的追捧。
但是,2022 年發生的許多違規事件表明對機密的保護是多麼不充分。自動化檢測專家 GitGuardian 的研究發現,2022 年,十分之一的代碼作者暴露了一個秘密。
僅舉一個例子,2022 年 9 月,一名攻擊者攻破了 Uber,並使用硬編碼的管理員憑據登錄該公司的特權訪問管理平台 Thycotic。這使他們能夠完全接管多個內部工具和生產力應用程序的帳戶。
GitHub 上實時監控捕獲的所有秘密中,80% 以上是通過開發人員的個人存儲庫暴露的,其中很大一部分實際上是企業機密。有很多原因可以解釋為什麼會發生這種情況。當然,惡意行為可能是一個因素,包括劫持公司資源和其他不正當動機。但這種現象的規模暗示了其他原因,其中大部分是由於人為錯誤和配置錯誤而發生的。
“如果安全部門的一位同事對我說,秘密檢測不是優先事項,我會說那是一個錯誤,”應用程序安全工程師 Theo Cusnir 說在 PayFit。 “大多數重大安全問題都來自社會工程攻擊或憑據填充。因此,了解您的工程師和員工將要洩露機密非常重要。這就是生活。大多數時候,這是由於錯誤造成的。但是如果發生這種情況,我們需要採取行動。工程師越多,發生洩密的可能性就越大。”
像許多其他安全挑戰一樣,不良的機密衛生涉及人與人的結合,流程和工具。認真對待馴服秘密蔓延的組織必須在所有這些方面同時開展工作。
“我們的使命是保護代碼和 SDLC。我們希望以一種透明、簡單和務實的方法來做到這一點,首先從以下之一開始appsec 中最重要的問題:代碼中的秘密,”GitGuardian 的首席執行官 Eric Fourrier 說。
您可以獲取完整的 GitGuardian 網站上的 State of Secrets Sprawl 2023 報告 並且會有一個 網絡研討會,討論美國東部時間 3 月 22 日上午 11 點的調查結果。
圖片來源: Dean Drobot/Shutterstock