דוח GitGuardian: 70% מהסודות שדלפו נשארים פעילים במשך שנתיים, ודוחקים לתיקון מיידי

**בוסטון, ארה"ב, 11 במרץ 2025/CyberNewsWire/--**GitGuardian, מובילת האבטחה מאחורי האפליקציה המותקנת ביותר של GitHub, פרסמה היום את "דוח התפשטות הסודות של 2025" המקיף שלה, וחושף משבר אבטחה נרחב ומתמשך שמאיים על ארגונים בכל הגדלים. הדו"ח חושף עלייה של 25% בסודות שדלפו משנה לשנה, עם 23.8 מיליון אישורים חדשים שזוהו ב-GitHub הציבורי בשנת 2024 בלבד. הדבר המדאיג ביותר עבור מובילי אבטחה ארגוניים: 70% מהסודות שהודלפו בשנת 2022 נותרו פעילים היום, ויוצרים משטח התקפה מתרחב שהולך ומסוכן עם כל יום שעובר.

"התפוצצות הסודות שדלפו מייצגת את אחד האיומים המשמעותיים ביותר, אך עם זאת חסרי הערכה באבטחת סייבר", אמר אריק פורייה, מנכ"ל GitGuardian. "בניגוד לניצולים מתוחכמים של יום אפס, התוקפים אינם זקוקים לכישורים מתקדמים כדי לנצל את הפגיעויות הללו - רק אישור חשוף אחד יכול לספק גישה בלתי מוגבלת למערכות קריטיות ונתונים רגישים." אריק פורייה מצביע על הפרת משרד האוצר האמריקאי ב-2024 כאזהרה: "מפתח API שדלף אחד ממערכות ממשלה שהסתננו על כך התאפשר למערכות ממשלתיות שהסתננו על כך. התקפה - זה היה מקרה פשוט של אישור חשוף שעקף מיליונים בהשקעות אבטחה".

ממצאים מרכזיים למנהיגי אבטחה

הדו"ח מזהה מספר מגמות קריטיות הדורשות תשומת לב מיידית:

הנקודה העיוורת: סודות גנריים

למרות ה-Push Protection של GitHub שעוזרת למפתחים לזהות דפוסים סודיים ידועים, סודות גנריים - כולל סיסמאות מקודדות קשיחות, אישורי מסד נתונים ואסימוני אימות מותאמים אישית - מייצגים כעת יותר ממחצית מכל ההדלפות שזוהו. אישורים אלה חסרים דפוסים סטנדרטיים, מה שהופך אותם כמעט בלתי אפשריים לזיהוי בכלים קונבנציונליים.

מאגרים פרטיים: תחושת ביטחון כוזבת

הניתוח חושף אמת מפתיעה: 35% מלאים מכל המאגרים הפרטיים שנסרקו הכילו לפחות סוד טקסט רגיל אחד, וניפץ את ההנחה המקובלת שמאגרים פרטיים מאובטחים:

• מפתחות IAM של AWS הופיעו בטקסט רגיל ב-8.17% מהמאגרים הפרטיים - יותר מ-5× בתדירות גבוהה יותר מאשר בציבוריים (1.45%)
• סיסמאות גנריות הופיעו כמעט פי 3 יותר במאגרים פרטיים (24.1%) בהשוואה לציבוריים (8.94%)
• אישורי MongoDB היו הסוג הסודי שדלף בתדירות הגבוהה ביותר במאגרים ציבוריים (18.84%)

"יש להתייחס לסודות שהודלפו במאגרי קוד פרטיים כאל פגיעה", הדגיש אריק פורייה. "צוותי אבטחה חייבים להכיר בכך שיש להתייחס לסודות כאל נתונים רגישים ללא קשר למקום מגוריהם".

מעבר לקוד: הסודות משתרעים על פני ה-SDLC

סודות מקודדים קשיחים נמצאים בכל מקום, אבל במיוחד בנקודות עיוורות אבטחה כמו פלטפורמות שיתוף פעולה וסביבות מכולות שבהן בקרות האבטחה בדרך כלל חלשות יותר:

• רפיון: 2.4% מהערוצים בתוך סביבות עבודה מנותחות הכילו סודות שדלפו
• Jira: 6.1% מהכרטיסים חשפו אישורים, מה שהופך אותו לכלי שיתוף הפעולה הפגיע ביותר
• DockerHub: 98% מהסודות שזוהו הוטמעו אך ורק בשכבות תמונה, כאשר למעלה מ-7,000 מפתחות AWS תקפים נחשפים כעת

משבר הזהות הלא אנושית

זהויות לא אנושיות (NHI) - כולל מפתחות API, חשבונות שירות ואסימוני אוטומציה - עולים כעת בהרבה על הזהויות האנושיות ברוב הארגונים. עם זאת, אישורים אלה חסרים לעתים קרובות ניהול וסיבוב נאותים של מחזור החיים, מה שיוצר פגיעויות מתמשכות.

מנהיג אבטחה בחברת Fortune 500 הודה באתגר הזה: "אנחנו שואפים לסובב סודות מדי שנה, אבל האכיפה היא קשה בכל הסביבה שלנו. כמה אישורים נשארו ללא שינוי במשך שנים".

מנהלי סודות: לא תשובה מלאה

אפילו ארגונים המשתמשים בפתרונות ניהול סודות נשארים פגיעים. מחקר שנערך על 2,584 מאגרים הממנפים מנהלי סודות חשף שיעור זליגת סוד של 5.1% - רחוק מהאפס הקרוב שאנו צופים. זה עולה על הממוצע הכולל של GitHub של 4.6%.

בעיות נפוצות כוללות:

• סודות שנשלפו ממנהלי סודות ומקודדים במקומות אחרים
• אימות לא מאובטח למנהלי סודות תוך חשיפת אישורי גישה
• ממשל מקוטע עקב סודות המתפרסים על פני מספר רב של מנהלי סודות

הדרך קדימה: אבטחת סודות מקיפה

ככל שקוד שנוצר בינה מלאכותית, אוטומציה ופיתוח מקורי בענן מואצים, הדו"ח צופה כי התפשטות הסודות רק תתעצם. בעוד ש-Push Protection של GitHub צמצמה כמה דליפות, היא מותירה פערים משמעותיים - במיוחד עם סודות גנריים, מאגרים פרטיים וכלי שיתוף פעולה.

"עבור CISOs ומנהיגי אבטחה, המטרה היא לא רק זיהוי - זו תיקון של נקודות תורפה אלה לפני ניצולן", אמר אריק פורייה. "זה דורש גישה מקיפה הכוללת גילוי אוטומטי, זיהוי, תיקון וממשל סודות חזק יותר בכל הפלטפורמות הארגוניות".

הדו"ח מסתיים עם מסגרת אסטרטגית לארגונים לטפל בסודות המתפשטים דרך:

• פריסת ניטור עבור אישורים חשופים בכל הסביבות
• הטמעת איתור ותיקון סודות מרכזיים
• הקמת מדיניות רוטציה אוטומטית למחצה עבור כל האישורים
• יצירת הנחיות ברורות למפתחים לשימוש מאובטח בכספת

כדי לקרוא את דוח התפשטות הסודות המלא לשנת 2025, משתמשים יכולים לבקר GitGuardian.com .

משאבים נוספים

GitGuardian - אתר אינטרנט

התפשטות מצב הסודות 2025

על GitGuardian

GitGuardian היא פלטפורמת אבטחה מקצה לקצה של NHI המאפשרת לארגונים מונעי תוכנה לשפר את האבטחה הלא אנושית שלהם (NHI) ולעמוד בתקנים בתעשייה. כאשר תוקפים מתמקדים יותר ויותר ב-NHI, כגון חשבונות שירות ויישומים, GitGuardian משלבת את Secrets Security ו-NHI Governance.

גישה כפולה זו מאפשרת זיהוי של סודות שנפגעו בסביבות המפתחים שלך, תוך ניהול זהויות לא אנושיות ומחזור החיים של הסודות שלהן. הפלטפורמה היא אפליקציית GitHub המותקנת ביותר בעולם ותומכת בלמעלה מ-450 סוגי סודות, מציעה ניטור ציבורי אחר נתונים שדלפו ופורסת אסימוני דבש להגנה נוספת. אמין על ידי למעלה מ-600,000 מפתחים, GitGuardian היא הבחירה של ארגונים מובילים כמו Snowflake, ING, BASF ו- Bouygues Telecom להגנה חזקה על סודות.

מַגָע

קשר מדיה

הולי הגרמן

Connect Marketing

[email protected]

+1(801) 373-7888