这可能会让人感到意外,但秘密管理已经成为AppSec房间里的大象。虽然像常见漏洞和暴露(cve)这样的安全漏洞经常成为网络安全领域的头条新闻,但秘密管理仍然是一个被忽视的问题,可能会对企业安全产生直接而有影响的后果。

《卫报》最近的一项研究发现,美国和英国75%的IT决策者报告说,至少有一个秘密从应用程序中泄露,其中60%的人给公司或员工带来了问题。令人震惊的是,不到一半的受访者(48%)对他们“在很大程度上”保护应用程序秘密的能力有信心。

这份名为《从业人员之声:AppSec的机密状况》的研究报告,为管理机密提供了一个全新的视角,这通常被简化为陈词滥调,不能反映工程部门的操作现实。

尽管秘密在现代云和开发操作中无处不在,但即使对于最成熟的组织来说,秘密仍然是一个棘手的问题。在开发周期内同时使用的秘密数量的倍增使得很容易失去对可靠安全措施的控制和“泄漏”。

保护应用程序秘密

当一个秘密泄露后,它就不再是一个秘密,未经授权的系统或人员可以在一段时间内访问它。泄漏主要发生在内部,因为机密被复制并粘贴到配置文件、源代码文件、电子邮件、消息应用程序等中。关键的是,如果开发人员将秘密硬编码到他们的代码或配置文件中,并将代码推送到GitHub存储库,那么这些秘密也会被推送。另一种最糟糕的情况是,恶意行为者在首次访问后设法获得内部泄露的凭证,类似于去年发生在优步(Uber)身上的事情。

“从业者之声”研究的证据表明,绝大多数受访者都承认机密泄露的危险。75%的受访者表示,他们的组织过去曾发生过机密泄露事件,60%的受访者承认,这给公司、员工或两者都带来了严重的问题。

当被问及软件供应链中的关键风险点时,58%的人认为“源代码和存储库”是核心风险领域,53%的人认为是“开源依赖”,47%的人认为是“硬编码机密”。

然而,这些反应表明在成熟度方面存在显著差距。具体而言,不到一半的受访者(48%)对自己在很大程度上保护应用程序秘密的能力充满信心:

研究显示,超过一半的安全领导者对保护应用程序机密缺乏信心_硬编码


此外,超过四分之一(27%)的受访者承认依靠手动代码审查来防止机密泄露,这在检测硬编码机密方面明显无效。

最后,该研究还发现,53%的高级管理人员(如首席信息官、首席信息安全官和网络安全副总裁)认为,秘密是通过消息应用程序以明文形式共享的。

尽管面临挑战,但仍有改善的希望。研究显示,94%的受访者计划在未来12-18个月内加强保密措施,这是朝着更好的保密管理和企业安全迈出的积极一步。然而,值得注意的是,与运行时保护工具等其他工具相比,秘密检测和修复以及秘密管理在投资方面应该优先考虑。虽然38%的受访者计划投资运行时应用程序保护工具,但分别只有26%和25%的受访者计划为秘密检测和修复以及秘密管理分配资金。

一个全面的秘密管理项目

每年有越来越多的秘密被泄露。GitHub是全球最大的代码共享平台,它每年都会监测到代码泄露的数量,并在其年度《国家机密蔓延报告》中公布结果。这些数字再次引起了人们的警惕:从2021年发现的300万个秘密,到2022年,这一数字增长了67%,达到1000万个。而这只是冰山一角。大多数泄露都发生在公司内部,这使得估计全球数字变得非常困难。

为了应对这一日益增长的风险,公司需要优先加强其机密管理,以加强其防御。

在最近接受《卫报》采访时,育碧前首席信息安全官杰森·哈迪克斯(Jason Haddix)描述了该公司在2022年3月被Laspsus$黑客团伙攻击后,机密管理的重要性是如何变得显而易见的。在与其他40名受影响的首席信息安全官交谈后,他提出了一个四轴计划,以开发一个全面的机密管理计划:

  • 检测: 能够找到所有过去的泄漏需要一个自动化的工具,这是了解公司实际安全状况的关键一步。
  • 预防: 通过使用预提交挂钩等安全护栏,尽可能多地防止泄漏,为将来节省时间。
  • 回应: 秘密被泄露是因为它们需要被分享。拥有存储、共享和轮换这些秘密的工具以及细粒度的访问控制也是至关重要的。
  • 教育: 持续学习有关机密的课程,不仅针对开发人员,而且针对所有员工,确保了解与硬编码机密和密码相关的风险,以及最佳实践。

结论

《从业者之声》研究强调了AppSec整体保密策略的重要性,并为降低与保密蔓延相关的风险提供了有价值的最佳实践见解。秘密管理看起来就像一笔随着时间的推移而加剧的债务。如果等待太久,房间里的大象最终会变得太大而无法忽视,使您的组织面临严重后果的风险。

如果你想改进你的机密管理程序,你现在可以采取的一个简单步骤就是要求GitHub上GitHub上的GitHub免费审计你公司的机密泄露。您将收到的自动报告将向您显示GitHub上活跃开发人员的数量,发现GitHub存储库上暴露的秘密数量(分类),以及其中有效秘密的百分比。

这将帮助您准确地确定您在GitHub上的开发人员范围,评估您公司面临的风险的数量级,并向全面的秘密管理计划迈出第一步。

声明:本文相关资讯来自Thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站删除。