I segreti non sono solo credenziali di accesso e dati personali; tengono insieme in modo sicuro i componenti della moderna catena di fornitura del software, dal codice al cloud. E a causa della leva che forniscono, sono molto ricercati dagli hacker.
Tuttavia, molte violazioni verificatesi nel 2022 mostrano quanto sia inadeguata la protezione dei segreti. La ricerca dello specialista del rilevamento automatico GitGuardian rileva che un autore di codice su 10 ha svelato un segreto nel 2022.
In un solo esempio, nel settembre 2022 un utente malintenzionato ha violato Uber e ha utilizzato credenziali di amministratore codificate per accedere a Thycotic, la piattaforma di gestione degli accessi privilegiati dell’azienda. Ciò ha consentito loro di ottenere un’acquisizione completa dell’account su diversi strumenti interni e applicazioni di produttività.
Oltre l’80% di tutti i segreti catturati dal monitoraggio in tempo reale su GitHub vengono esposti attraverso i repository personali degli sviluppatori e gran parte di essi sono, di fatto, segreti aziendali. Ci sono una serie di ragioni per spiegare perché questo accade. Naturalmente, il comportamento dannoso può essere un fattore, incluso il dirottamento delle risorse aziendali e altri motivi loschi. Ma la vastità del fenomeno suggerisce qualcos’altro, la maggior parte di ciò accade a causa di un errore umano e di una configurazione errata.
“Se un collega della sicurezza mi dicesse che il rilevamento dei segreti non è una priorità, direi che è un errore”, afferma Theo Cusnir, ingegnere della sicurezza delle applicazioni su PayFit.”La maggior parte dei grandi problemi di sicurezza derivano da attacchi di ingegneria sociale o credential stuffing. Quindi, è davvero importante sapere che i tuoi ingegneri e i tuoi dipendenti trapeleranno segreti. Questa è la vita. Il più delle volte, è dovuto a errori. Ma se succede, dobbiamo agire di conseguenza. Più ingegneri ci sono, più c’è il rischio che si verifichino fughe di notizie.”
Come molte altre sfide alla sicurezza, la scarsa igiene dei segreti coinvolge una combinazione di persone, processi e strumenti. Le organizzazioni che si impegnano seriamente a domare lo sprawl dei segreti devono lavorare contemporaneamente su tutti questi fronti.
“La nostra missione è proteggere il codice e l’SDLC. Vogliamo farlo con un approccio trasparente, semplice e pragmatico, iniziando prima con uno dei il problema più importante in appsec: i segreti nel codice”, afferma Eric Fourrier, CEO di GitGuardian.
Puoi ottenere l’intero rapporto State of Secrets Sprawl 2023 sul sito GitGuardian e ci sarà un webinar per discutere i risultati il 22 marzo alle 11:00 ET.
Credito immagine: Dean Drobot/Shutterstock