อยากรู้ความลับไหม? ถามนักพัฒนา

ความลับไม่ใช่แค่ข้อมูลรับรองการเข้าสู่ระบบและข้อมูลส่วนตัวเท่านั้น โดยยึดส่วนประกอบต่างๆ ของห่วงโซ่อุปทานซอฟต์แวร์สมัยใหม่ไว้ด้วยกันอย่างปลอดภัย ตั้งแต่โค้ดไปจนถึงระบบคลาวด์ และด้วยเลเวอเรจที่มีให้ แฮ็กเกอร์จึงต้องการตัวมาก

อย่างไรก็ตาม การละเมิดจำนวนมากที่เกิดขึ้นในปี 2565 แสดงให้เห็นว่าการป้องกันความลับไม่เพียงพอเพียงใด งานวิจัยจากผู้เชี่ยวชาญด้านการตรวจจับอัตโนมัติ GitGuardian พบว่าผู้เขียนโค้ด 1 ใน 10 คนเปิดเผยความลับในปี 2022

ในตัวอย่างเดียว ในเดือนกันยายน 2022 ผู้โจมตีเจาะระบบ Uber และใช้ข้อมูลรับรองของผู้ดูแลระบบแบบฮาร์ดโค้ดเพื่อเข้าสู่ระบบ Thycotic ซึ่งเป็นแพลตฟอร์มการจัดการสิทธิ์การเข้าถึงของบริษัท ซึ่งทำให้พวกเขาบรรลุผลสำเร็จในการครอบครองบัญชีทั้งหมดบนเครื่องมือภายในและแอปพลิเคชันเพิ่มประสิทธิภาพต่างๆ

มากกว่า 80 เปอร์เซ็นต์ของความลับทั้งหมดที่ตรวจพบโดยการตรวจสอบแบบสดบน GitHub ถูกเปิดเผยผ่านที่เก็บส่วนตัวของนักพัฒนา และความลับส่วนใหญ่เป็นความลับขององค์กร มีเหตุผลหลายประการที่จะอธิบายว่าทำไมสิ่งนี้ถึงเกิดขึ้น แน่นอนว่า พฤติกรรมที่เป็นอันตรายอาจเป็นปัจจัยหนึ่ง รวมถึงการแย่งชิงทรัพยากรขององค์กรและแรงจูงใจที่คลุมเครืออื่นๆ แต่ขนาดที่แท้จริงของปรากฏการณ์บ่งชี้ว่าสิ่งอื่นส่วนใหญ่เกิดขึ้นเนื่องจากข้อผิดพลาดของมนุษย์และการกำหนดค่าที่ไม่ถูกต้อง

“หากเพื่อนร่วมงานในด้านความปลอดภัยบอกกับฉันว่าการตรวจจับความลับไม่ใช่สิ่งสำคัญ ฉันจะบอกว่านั่นคือ ความผิดพลาด”Theo Cusnir วิศวกรความปลอดภัยของแอปพลิเคชันกล่าว ที่ PayFit“ปัญหาด้านความปลอดภัยขนาดใหญ่ส่วนใหญ่มาจากการโจมตีทางวิศวกรรมสังคมหรือการยัดข้อมูลรับรอง ดังนั้น จึงสำคัญมากที่จะต้องรู้ว่าวิศวกรและพนักงานของคุณกำลังจะเปิดเผยความลับ นั่นคือชีวิต ส่วนใหญ่เกิดจากความผิดพลาด แต่ ถ้ามันเกิดขึ้น เราต้องดำเนินการ ยิ่งมีวิศวกรมาก โอกาสรั่วไหลก็ยิ่งมีมากขึ้น”

เช่นเดียวกับความท้าทายด้านความปลอดภัยอื่นๆ สุขอนามัยของความลับที่ไม่ดีเกี่ยวข้องกับคนจำนวนมาก กระบวนการและเครื่องมือ องค์กรที่จริงจังกับการรักษาความลับที่แพร่ขยายออกไปต้องทำงานพร้อมกันในทุกด้าน

“ภารกิจของเราคือการรักษาความปลอดภัยของโค้ดและ SDLC เราต้องการดำเนินการด้วยวิธีที่โปร่งใส เรียบง่าย และใช้งานได้จริง โดยเริ่มจากหนึ่งใน ปัญหาที่สำคัญที่สุดใน appsec: ความลับในโค้ด”Eric Fourrier ซีอีโอของ GitGuardian กล่าว

คุณสามารถรับ รายงาน State of Secrets Sprawl 2023 บนเว็บไซต์ GitGuardian และจะมี การสัมมนาผ่านเว็บ เพื่อหารือเกี่ยวกับข้อค้นพบในวันที่ 22 มีนาคม เวลา 11.00 น. ET

เครดิตรูปภาพ: Dean Drobot/ชัตเตอร์สต็อก