**БОСТОН, США, 11 березня 2025 р./CyberNewsWire/--**GitGuardian, лідер у сфері безпеки, що стоїть за програмою GitHub, яка найчастіше встановлюється, опублікувала свій всеосяжний звіт «2025 State of Secrets Sprawl Report», який розкриває широкомасштабну та тривалу кризу безпеки, яка загрожує організаціям будь-якого розміру. У звіті йдеться про збільшення кількості витоку секретів на 25% порівняно з минулим роком: лише у 2024 році на публічному GitHub було виявлено 23,8 мільйона нових облікових даних. Найбільше занепокоєння для керівників корпоративної безпеки: 70% секретів, витоку в 2022 році, залишаються активними й сьогодні, створюючи розширювальну поверхню атак, яка з кожним днем стає все небезпечнішою.
«Вибух витоку секретів представляє одну з найбільш значних, але недооцінених загроз у кібербезпеці», — сказав Ерік Фур’є, генеральний директор GitGuardian. «На відміну від складних експлойтів нульового дня, зловмисникам не потрібні додаткові навички, щоб використати ці вразливості — лише один розкритий обліковий запис може надати необмежений доступ до критично важливих систем і конфіденційних даних». Ерік Фур’є вказує на порушення Міністерства фінансів США 2024 року як попередження: «Один витік ключа API від BeyondTrust дозволив зловмисникам проникнути в урядові системи. Це не було складна атака — це був простий випадок розголошення облікових даних, який обійшов мільйонні інвестиції в безпеку».
Ключові висновки для лідерів безпеки
У звіті визначено кілька критичних тенденцій, які потребують негайної уваги:
Сліпа пляма: загальні секрети
Незважаючи на те, що Push Protection GitHub допомагає розробникам виявляти відомі секретні шаблони, загальні секрети, включаючи жорстко закодовані паролі, облікові дані бази даних і спеціальні маркери автентифікації, тепер складають більше половини всіх виявлених витоків. У цих облікових даних відсутні стандартизовані шаблони, що робить їх майже неможливими для виявлення звичайними інструментами.
Приватні сховища: помилкове відчуття безпеки
Аналіз відкриває приголомшливу правду: повні 35% усіх перевірених приватних сховищ містили принаймні один відкритий секрет, що руйнує загальне припущення про те, що приватні сховища безпечні:
- Ключі AWS IAM з’являлися у вигляді відкритого тексту в 8,17% приватних сховищ — у 5 разів частіше, ніж у публічних (1,45%)
- Загальні паролі з’являлися майже втричі частіше в приватних сховищах (24,1%) порівняно з публічними (8,94%)
- Облікові дані MongoDB були найбільш часто витоку секретного типу в публічних сховищах (18,84%)
«Витік секретів у приватних сховищах коду слід розглядати як зламаний», — підкреслив Ерік Фур’є. «Команди безпеки повинні визнати, що секрети слід розглядати як конфіденційні дані незалежно від того, де вони знаходяться».
За межами коду: секрети розповсюджуються по SDLC
Жорстко закодовані секрети є всюди, але особливо в сліпих зонах безпеки, таких як платформи для співпраці та контейнерні середовища, де засоби контролю безпеки зазвичай слабші:
- Slack: 2,4% каналів у проаналізованих робочих областях містили витік секретів
- Jira: 6,1% квитків розкрили облікові дані, що робить його найбільш вразливим інструментом для співпраці
- DockerHub: 98% виявлених секретів було вбудовано виключно в шари зображень, наразі відкрито понад 7000 дійсних ключів AWS
Криза нелюдської ідентичності
Ідентифікаційні дані, які не належать до людей (NHI), включно з ключами API, обліковими записами служб і маркерами автоматизації, зараз значно перевищують кількість ідентифікаційних даних людей у більшості організацій. Однак цим обліковим даним часто бракує належного керування життєвим циклом і ротації, створюючи постійні вразливості.
Керівник служби безпеки в компанії зі списку Fortune 500 визнав цю проблему: «Ми прагнемо щорічно обмінюватися секретами, але це важко в нашому середовищі. Деякі облікові дані залишаються незмінними роками».
Секрети менеджерів: неповна відповідь
Навіть організації, які використовують рішення для управління секретами, залишаються вразливими. Дослідження 2584 сховищ, які використовують менеджерів секретів, виявило рівень витоку секретів у 5,1% — це далеко не майже нульовий показник, який ми очікуємо. Це перевищує загальний середній показник GitHub на 4,6%.
Серед поширених проблем:
- Секрети, отримані з менеджерів секретів і жорстко закодовані в інших місцях
- Незахищена автентифікація для менеджерів секретів, які розкривають облікові дані доступу
- Фрагментоване управління через розповсюдження секретів серед кількох менеджерів секретів
Шлях вперед: комплексна безпека секретів
У міру прискорення коду, створеного штучним інтелектом, автоматизації та хмарної розробки, у звіті прогнозується, що розповсюдження секретів лише посилюватиметься. Хоча Push Protection від GitHub зменшив деякі витоки, він залишає значні прогалини, зокрема щодо загальних секретів, приватних сховищ та інструментів для співпраці.
«Для CISO та лідерів із безпеки метою є не просто виявлення — це усунення цих вразливостей до того, як їх використають», — сказав Ерік Фур’є. «Для цього потрібен комплексний підхід, який включає автоматичне виявлення, виявлення, виправлення та надійніше управління секретами на всіх корпоративних платформах».
Звіт завершується стратегічною основою для організацій, які мають боротися з розповсюдженням секретів за допомогою:
- Розгортання моніторингу відкритих облікових даних у всіх середовищах
- Впровадження централізованого виявлення та відновлення секретів
- Встановлення напівавтоматичної політики ротації для всіх облікових даних
- Створення чітких інструкцій для розробників щодо безпечного використання сховища
Щоб прочитати повний звіт про поширення таємниць за 2025 рік, користувачі можуть відвідати
Додаткові ресурси
Про GitGuardian
Цей подвійний підхід дозволяє виявляти скомпрометовані секрети в середовищі ваших розробників, а також керувати нелюдськими особами та життєвими циклами їхніх секретів. Платформа є додатком GitHub, який найчастіше встановлюють у світі, і підтримує понад 450 типів секретів, пропонує публічний моніторинг витоку даних і розгортає honeytokens для додаткового захисту. GitGuardian, якому довіряють понад 600 000 розробників, є вибором провідних організацій, таких як Snowflake, ING, BASF і Bouygues Telecom, для надійного захисту секретів.
контакт
ЗМІ контакт
Холлі Хагерман
Connect Marketing
+1(801) 373-7888
Ця історія була розповсюджена як реліз Cybernewswire у рамках програми HackerNoon Business Blogging. Дізнайтеся більше про програму
