Segredos não são apenas credenciais de login e dados pessoais; eles mantêm juntos com segurança os componentes da cadeia de suprimentos de software moderna, do código à nuvem. E por causa da alavancagem que fornecem, são muito procurados por hackers.
No entanto, muitas violações que ocorreram em 2022 mostram como a proteção de segredos é inadequada. Pesquisa do especialista em detecção automatizada GitGuardian descobriu que um em cada 10 autores de código expôs um segredo em 2022.
Em apenas um exemplo, em setembro de 2022, um invasor invadiu o Uber e usou credenciais de administrador codificadas para fazer login no Thycotic, a plataforma de gerenciamento de acesso privilegiado da empresa. Isso permitiu que eles alcançassem o controle total da conta em várias ferramentas internas e aplicativos de produtividade.
Mais de 80 por cento de todos os segredos capturados pelo monitoramento ao vivo no GitHub são expostos por meio de repositórios pessoais dos desenvolvedores, e uma grande parte deles são, de fato, segredos corporativos. Há uma série de razões para explicar por que isso acontece. Claro, o comportamento malicioso pode ser um fator, incluindo o sequestro de recursos corporativos e outros motivos obscuros. Mas a escala absoluta do fenômeno sugere outra coisa, a maior parte disso acontece por causa de erro humano e configuração incorreta.
“Se um colega de segurança me dissesse que a detecção de segredos não é uma prioridade, eu diria que é um erro”, diz Theo Cusnir, engenheiro de segurança de aplicativos no PayFit.”A maioria dos grandes problemas de segurança vem de ataques de engenharia social ou preenchimento de credenciais. Portanto, é realmente importante saber que seus engenheiros e funcionários vão vazar segredos. Isso é a vida. Na maioria das vezes, é devido a erros. Mas se isso acontecer, precisamos agir. Quanto mais engenheiros houver, maior será a possibilidade de vazamentos.”
Como muitos outros desafios de segurança, a falta de higiene de segredos envolve uma combinação de pessoas, processos e ferramentas. As organizações que levam a sério o controle da disseminação de segredos devem trabalhar simultaneamente em todas essas frentes.
“Nossa missão é proteger o código e o SDLC. Queremos fazer isso com uma abordagem transparente, simples e pragmática, começando primeiro com um dos a questão mais importante no appsec: segredos no código”, diz Eric Fourrier, CEO do GitGuardian.
Você pode obter o Relatório State of Secrets Sprawl 2023 no site GitGuardian e haverá um webinar para discutir as descobertas em 22 de março às 11h ET.
Crédito da imagem: Dean Drobot/Shutterstock