**БОСТЪН, САЩ, 11 март 2025 г./CyberNewsWire/--**GitGuardian, лидерът в сигурността зад най-инсталираното приложение на GitHub, публикува днес своя изчерпателен „Доклад за разрастването на състоянието на тайните за 2025 г.“, разкривайки широко разпространена и постоянна криза в сигурността, която заплашва организации от всякакъв размер. Докладът разкрива 25% увеличение на изтеклите тайни на годишна база, като само през 2024 г. в публичния GitHub са открити 23,8 милиона нови идентификационни данни. Най-притеснителното за лидерите по корпоративна сигурност: 70% от тайните, изтекли през 2022 г., остават активни днес, създавайки разширяваща се повърхност за атака, която става все по-опасна с всеки изминал ден.
„Експлозията от изтекли тайни представлява една от най-значимите, но подценени заплахи в киберсигурността“, каза Ерик Фурие, главен изпълнителен директор на GitGuardian. „За разлика от сложните експлойти от нулевия ден, нападателите не се нуждаят от усъвършенствани умения, за да се възползват от тези уязвимости – само една разкрита идентификационна информация може да осигури неограничен достъп до критични системи и чувствителни данни.“ Ерик Фурие посочва пробива на Министерството на финансите на САЩ от 2024 г. като предупреждение: „Един изтекъл API ключ от BeyondTrust позволи на нападателите да проникнат в правителствени системи. Това не беше сложна атака - това беше обикновен случай на разкрита идентификационна информация, която заобиколи милиони в инвестиции в сигурността."
Ключови констатации за лидерите по сигурността
Докладът идентифицира няколко критични тенденции, които изискват незабавно внимание:
Сляпото петно: Общи тайни
Въпреки че Push Protection на GitHub помага на разработчиците да открият известни секретни модели, общите тайни – включително твърдо кодирани пароли, идентификационни данни за бази данни и персонализирани токени за удостоверяване – сега представляват повече от половината от всички открити течове. На тези идентификационни данни липсват стандартизирани модели, което ги прави почти невъзможни за откриване с конвенционалните инструменти.
Частни хранилища: фалшиво чувство за сигурност
Анализът разкрива изненадваща истина: цели 35% от всички сканирани частни хранилища съдържат поне една тайна в обикновен текст, което разбива общоприетото предположение, че частните хранилища са защитени:
- AWS IAM ключовете се появяват в обикновен текст в 8,17% от частните хранилища – над 5 пъти по-често, отколкото в публичните (1,45%)
- Генеричните пароли се появяват почти 3 пъти по-често в частните хранилища (24,1%) в сравнение с публичните (8,94%)
- Идентификационните данни на MongoDB са най-често изтичащият таен тип в публичните хранилища (18,84%)
„Изтеклите тайни в частни хранилища на кодове трябва да се третират като компрометирани“, подчерта Ерик Фурие. „Екипите по сигурността трябва да признаят, че тайните трябва да се третират като чувствителни данни, независимо къде се намират.“
Отвъд кода: Тайните се разпространяват в SDLC
Твърдо кодираните тайни са навсякъде, но особено в слепите зони на сигурността като платформи за сътрудничество и среди с контейнери, където контролите за сигурност обикновено са по-слаби:
- Застой: 2,4% от каналите в анализираните работни пространства съдържат изтекли тайни
- Jira: 6,1% от билетите са разкрили идентификационни данни, което го прави най-уязвимият инструмент за сътрудничество
- DockerHub: 98% от откритите тайни са вградени изключително в слоеве на изображения, като в момента са изложени над 7000 валидни AWS ключа
Кризата на нечовешката идентичност
Нечовешките самоличности (NHI) – включително API ключове, акаунти за услуги и токени за автоматизация – сега значително превъзхождат човешките самоличности в повечето организации. Тези идентификационни данни обаче често нямат подходящо управление на жизнения цикъл и ротация, създавайки постоянни уязвимости.
Лидер по сигурността в компания от Fortune 500 призна това предизвикателство: „Ние се стремим да ротираме тайни всяка година, но прилагането е трудно в нашата среда. Някои идентификационни данни остават непроменени от години.“
Тайни мениджъри: Не е пълен отговор
Дори организации, използващи решения за управление на тайни, остават уязвими. Проучване на 2584 хранилища, използващи мениджъри на тайни, разкри процент на изтичане на тайни от 5,1% — далеч от почти нулата, която очакваме. Това надхвърля общата средна стойност за GitHub от 4,6%.
Често срещаните проблеми включват:
- Тайни, извлечени от мениджърите на тайни и твърдо кодирани другаде
- Несигурно удостоверяване на мениджъри на тайни, разкриващи идентификационни данни за достъп
- Фрагментирано управление поради разпръскване на тайни сред множество мениджъри на тайни
Пътят напред: цялостна сигурност на тайните
Тъй като кодът, генериран от AI, автоматизацията и разработката в облака се ускоряват, докладът прогнозира, че разрастването на тайните само ще се засили. Въпреки че Push Protection на GitHub намали някои течове, тя оставя значителни пропуски - особено с общи тайни, частни хранилища и инструменти за сътрудничество.
„За CISO и лидерите по сигурността целта не е просто откриване – това е отстраняването на тези уязвимости, преди да бъдат експлоатирани“, каза Ерик Фурие. „Това изисква цялостен подход, който включва автоматизирано откриване, засичане, коригиране и по-силно управление на тайните във всички корпоративни платформи.“
Докладът завършва със стратегическа рамка за организациите за справяне с разпространението на тайни чрез:
- Внедряване на мониторинг за разкрити идентификационни данни във всички среди
- Внедряване на централизирано откриване и коригиране на тайни
- Установяване на полуавтоматизирани политики за ротация за всички идентификационни данни
- Създаване на ясни насоки за разработчици за сигурно използване на трезора
За да прочетете пълния доклад за разрастването на State of Secrets за 2025 г., потребителите могат да посетят
Допълнителни ресурси
Относно GitGuardian
Този двоен подход дава възможност за откриване на компрометирани тайни във вашите среди за разработчици, като същевременно управлява нечовешки самоличности и жизнените цикли на техните тайни. Платформата е най-инсталираното приложение на GitHub в света и поддържа над 450+ вида тайни, предлага публично наблюдение за изтекли данни и разполага honeytokens за допълнителна защита. С доверието на над 600 000 разработчици, GitGuardian е изборът на водещи организации като Snowflake, ING, BASF и Bouygues Telecom за стабилна защита на тайни.
Контакт
Контакт с медиите
Холи Хагерман
Свържете маркетинга
+1(801) 373-7888
Тази история беше разпространена като издание от Cybernewswire в рамките на програмата за бизнес блогове на HackerNoon. Научете повече за програмата
