146 olvasmányok

GitGuardian jelentés: A kiszivárgott titkok 70%-a két évig aktív marad, azonnali orvoslást sürget

által CyberNewswire4m2025/03/11
Read on Terminal Reader
tldt arrow
en-flagENtr-flagTRes-flagESja-flagJAqu-flagQUsn-flagSNuk-flagUKro-flagRObg-flagBGhe-flagHEsw-flagSWhu-flagHUsr-flagSR
HU

Túl hosszú; Olvasni

A GitGuardian State of Secrets Sprawl Report szerint 25%-kal nőtt a kiszivárgott titkok száma évről évre. A 2022-ben kiszivárgott titkok 70%-a ma is aktív marad, így egyre bővülő támadási felület alakul ki. Az összes vizsgált privát adattár 35%-a tartalmazott legalább egy egyszerű szöveges titkot.
featured image - GitGuardian jelentés: A kiszivárgott titkok 70%-a két évig aktív marad, azonnali orvoslást sürget
CyberNewswire HackerNoon profile picture
0-item

**BOSTON, USA, 2025. március 11./CyberNewsWire/--**A GitGuardian, a GitHub legtöbbet telepített alkalmazása mögött álló biztonsági vezető ma kiadta átfogó „2025 State of Secrets Sprawl Report” című jelentését, amely egy széles körben elterjedt és tartós biztonsági válságot tár fel, amely bármilyen méretű szervezetet fenyeget. A jelentés szerint 25%-kal nőtt a kiszivárgott titkok száma évről évre, és csak 2024-ben 23,8 millió új hitelesítő adatot észleltek a nyilvános GitHubon. A vállalati biztonsági vezetők számára a leginkább aggasztó: a 2022-ben kiszivárgott titkok 70%-a ma is aktív marad, ami egy bővülő támadási felületet hoz létre, amely napról napra egyre veszélyesebb.


"A kiszivárgott titkok robbanása a kiberbiztonság egyik legjelentősebb, de alábecsült fenyegetése" - mondta Eric Fourrier, a GitGuardian vezérigazgatója. "A kifinomult nulladik napi kizsákmányolásokkal ellentétben a támadóknak nincs szükségük haladó készségekre e sebezhetőségek kihasználásához – mindössze egyetlen hitelesítő adat korlátlan hozzáférést biztosít a kritikus rendszerekhez és érzékeny adatokhoz." Eric Fourrier figyelmeztetésként utal az Egyesült Államok Pénzügyminisztériumának 2024-es megsértésére. egy kifinomult támadás – ez egy olyan leleplezett hitelesítő adat egyszerű esete volt, amely megkerülte a biztonsági befektetések millióit."

Főbb megállapítások a biztonsági vezetők számára

A jelentés számos kritikus tendenciát azonosít, amelyek azonnali figyelmet igényelnek:

A vakfolt: Általános titkok

Annak ellenére, hogy a GitHub Push Protection segíti a fejlesztőket az ismert titkos minták észlelésében, az általános titkok – beleértve a merev kódolt jelszavakat, az adatbázis hitelesítő adatait és az egyéni hitelesítési tokeneket – ma már az összes észlelt szivárgás több mint felét teszik ki. Ezekből a hitelesítő adatokból hiányoznak a szabványosított minták, így a hagyományos eszközökkel szinte lehetetlen észlelni őket.

Privát adattárak: hamis biztonságérzet

Az elemzés megdöbbentő igazságot tár fel: az összes beolvasott privát adattár teljes 35%-a tartalmazott legalább egy egyszerű szöveges titkot, ami megdönti azt az általános feltételezést, hogy a privát adattárak biztonságosak:

  • Az AWS IAM kulcsok a privát adattárak 8,17%-ában jelentek meg egyszerű szövegben – több mint 5-ször gyakrabban, mint a nyilvánosakban (1,45%)
  • Az általános jelszavak közel 3-szor gyakrabban jelentek meg privát tárolókban (24,1%), mint a nyilvánosaknál (8,94%)
  • A MongoDB hitelesítő adatok voltak a leggyakrabban kiszivárgott titkos típusok a nyilvános adattárakban (18,84%)


"A privát kódtárolókban kiszivárgott titkokat veszélyeztetettként kell kezelni" - hangsúlyozta Eric Fourrier. "A biztonsági csapatoknak fel kell ismerniük, hogy a titkokat érzékeny adatként kell kezelni, függetlenül attól, hogy hol vannak."


Beyond Code: Secrets Sprawl Across the SDLC

A keményen kódolt titkok mindenhol megtalálhatók, de különösen a biztonsági vakfoltokban, például az együttműködési platformokon és a konténeres környezetekben, ahol a biztonsági ellenőrzések jellemzően gyengébbek:

  • Laza: az elemzett munkaterületeken belül a csatornák 2,4%-a tartalmazott kiszivárgott titkokat
  • Jira: a jegyek 6,1%-a tette közzé a hitelesítő adatokat, így ez a legsebezhetőbb együttműködési eszköz
  • DockerHub: Az észlelt titkok 98%-a kizárólag képrétegekbe volt ágyazva, és jelenleg több mint 7000 érvényes AWS-kulcs látható

A nem emberi identitás válsága

A nem emberi identitások (NHI-k) – ideértve az API-kulcsokat, a szolgáltatásfiókokat és az automatizálási tokeneket – a legtöbb szervezetben ma már jelentősen meghaladják az emberi identitások számát. Ezek a hitelesítő adatok azonban gyakran hiányzik a megfelelő életciklus-kezelésből és rotációból, ami tartós sebezhetőséget okoz.

Egy Fortune 500-as cég biztonsági vezetője elismerte ezt a kihívást: "Célunk, hogy évente cseréljük a titkokat, de a betartatás a környezetünkben nehéz. Egyes hitelesítő adatok évek óta változatlanok."

Titokkezelők: Nem teljes válasz

Még a titokkezelési megoldásokat használó szervezetek is sebezhetőek maradnak. Egy 2584, a titkok menedzsereit kihasználó adattárat vizsgáló tanulmány 5,1%-os titkos szivárgási arányt mutatott ki, ami messze nem az általunk várt nullához közeli érték. Ez meghaladja a GitHub általános 4,6%-os átlagát.

A gyakori problémák a következők:

  • Titkok, amelyeket a titokkezelőktől kinyertek és máshol keményen kódoltak
  • Nem biztonságos hitelesítés a titokkezelők számára, amely hozzáférési hitelesítő adatokat tesz közzé
  • A titkok miatti töredezett irányítás több titokkezelőre terjed ki

Az út előre: Átfogó titkok biztonsága

A mesterséges intelligencia által generált kód, az automatizálás és a felhőalapú fejlesztések felgyorsulásával a jelentés előrejelzése szerint a titkok terjedése csak fokozódik. Noha a GitHub Push Protection csökkentett néhány szivárgást, jelentős hiányosságokat hagy maga után – különösen az általános titkokat, a privát adattárakat és az együttműködési eszközöket illetően.

"A CISO-k és a biztonsági vezetők számára nem csak az észlelés a cél, hanem a sérülékenységek orvoslása, mielőtt kihasználnák őket" - mondta Eric Fourrier. "Ehhez átfogó megközelítésre van szükség, amely magában foglalja az automatizált felderítést, észlelést, helyreállítást és a titkok erősebb kezelését minden vállalati platformon."

A jelentés egy stratégiai kerettel zárul a szervezetek számára, amelyek célja az elterjedt titkok kezelésére:

  • A kitett hitelesítő adatok megfigyelésének telepítése minden környezetben
  • Központosított titkok felderítése és helyreállítása
  • Félautomata rotációs házirendek létrehozása az összes hitelesítő adathoz
  • Világos fejlesztői irányelvek létrehozása a biztonságos trezorhasználathoz

A teljes 2025-ös titkok állapotáról szóló jelentés elolvasásához a felhasználók ellátogathatnak a következő oldalra GitGuardian.com .

További források

GitGuardian – Weboldal

A titkok állapota, 2025

A GitGuardianról

GitGuardian egy teljes körű NHI biztonsági platform, amely lehetővé teszi a szoftvervezérelt szervezetek számára, hogy fokozzák a nem emberi identitás (NHI) biztonságát, és megfeleljenek az iparági szabványoknak. Mivel a támadók egyre gyakrabban veszik célba az NHI-ket, például a szolgáltatásfiókokat és az alkalmazásokat, a GitGuardian integrálja a Secrets Security és az NHI Governance szolgáltatást.


Ez a kettős megközelítés lehetővé teszi a kompromittált titkok észlelését a fejlesztői környezetekben, miközben kezeli a nem emberi identitásokat és titkaik életciklusát is. A platform a világ leggyakrabban telepített GitHub-alkalmazása, és több mint 450-nél is több titkot támogat, nyilvános megfigyelést kínál a kiszivárgott adatokhoz, és méhnyakokat telepít a fokozott védelem érdekében. A több mint 600 000 fejlesztő által megbízott GitGuardian olyan vezető szervezetek közül választott, mint a Snowflake, ING, BASF és Bouygues Telecom a robusztus titkok védelméért.

Érintkezés

Médiakapcsolat

Holly Hagerman

Connect Marketing

[email protected]

+1(801) 373-7888

Ezt a történetet kiadásként a Cybernewswire terjesztette a HackerNoon Business Blogging Program keretében. Tudjon meg többet a programról itt


Notion
L O A D I N G
. . . comments & more!

About Author

CyberNewswire HackerNoon profile picture
CyberNewswire@cybernewswire
The world's leading cybersecurity press release distribution platform.
Read my stories

HANG TAGOK

purcat-imgcybersecurity#cybersecurity#gitguardian#cybernewswire#press-release#gitguardian-announcement#cyber-security-awareness#cyber-threats#good-company

EZT A CIKKET BEMUTATTA...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

KAPCSOLÓDÓ TÖRTÉNETEK

Article Thumbnail
Of The First and Last Things: Part 1
by nietzsche
Jan 01, 1970
#hackernoon-books
Article Thumbnail
Of The First and Last Things: Part 4
by nietzsche
Jan 01, 1970
#behavioral-science
Article Thumbnail
From Desk to HackerNoon: Your Ultimate Guide on How to Publish a Story
by product
Jan 01, 1970
#hackernoon
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas

Categories

Trending Topics

blockchaincryptocurrencyhackernoon-top-storyprogrammingsoftware-developmenttechnologystartuphackernoon-booksBitcoinbooks