Büyük şirketler küçülüyor ve CEO’ları herkesin bunu bilmesini istiyor. Wells Fargo, işgücünü beş yıl boyunca% 23 oranında azalttı, Bank of America 2010’dan beri 88.000 çalışanı attı ve Verizon’un CEO’su son zamanlarda Headcount’un “her zaman düştüğünü” övdü. Bir zamanlar kurumsal sıkıntı belirtisi olan şey, yöneticiler yalın operasyonları ve AI güdümlü verimliliği kutlayan bir onur rozeti haline geldi.
Ancak C-suite liderleri “daha azıyla daha fazlasını yapıyor” olsa da, CISOS daha az kaynakla bırakılırken, her önlenebilir güvenlik olayı katlanarak daha pahalıya mal oluyor. Güvenlik ekipleri zaten ince ve geliştirici-güvenlik oranları sürdürülemez seviyelere ulaştığında, bu işgücü azaltımları zaten sıkıntılı ekipleri kırılma noktalarını geçiyor. İşgücü optimizasyonunun bu fonuna karşı, sert kodlanmış sırlar, artık manuel işlemler ve reaktif itfaiyecilik yoluyla yönetilemeyen özellikle tehlikeli bir kör noktayı temsil ediyor.
Sayılar yalan söylemez
Kimlik bilgisi krizi zaten burada. IBM’in son araştırmasına göre, ihlallerin% 86’sı çalıntı veya tehlikeye atılmış kimlik bilgilerini içeriyor ve bu olayları 292 güne kadar uzatma ve içermek için ortalama bir süre.
Finansal riskler hiç bu kadar yüksek olmamıştı. Amerika Birleşik Devletleri’nde, ihlal maliyetleri bir Tüm zamanların en yüksek seviyesi 10,22 milyon dolardaha yüksek düzenleyici para cezaları ve tespit maliyetleri tarafından yönlendirilir. Özellikle kimlik temelli olaylar için, Hashicorp’un araştırması, bu ihlallerin 750.000 dolarlık bir prim taşıdığını gösteriyor, yani ABD kuruluşları, sert kodlanmış sırlar söz konusu olduğunda 11 milyon doları aşan potansiyel maliyetlerle karşı karşıya.
Ancak gizli maliyetler daha da yıkıcı olabilir. Kuruluşlar, sırları manuel olarak yönetmek için yılda yaklaşık 1,4 milyon dolar harcıyor. Bu, kimlik bilgisi rotasyon ve pozlama soruşturması (936.000 $) için harcanan geliştirici süresini ve yanlış pozitifleri triagat eden güvenlik analistleri ve sızdırılmış kimlik bilgilerini kovalamayı (> 500.000 $) içerir.
Gerçek dünya etkisi zaten görülebilir. Canva, ürün geliştirmeye odaklanması gereken mühendislik kaynaklarını tüketen tek bir sızdırılmış sır olarak birden fazla ekipte kesinti günleri yaşadı.
Yalın ekipler neden riski artırıyor?
İşgücü azaltımı, daha uzun ortalama olarak azaltma süresi olayları anlamına gelir ve 292 günlük ortalama muhafaza penceresi daha da tehlikeli hale gelir. Her güvenlik olayı, zaten gerilmiş takımları temel iş işlevlerinden uzaklaştırarak yalın kuruluşların karşılayamayacağı maliyetli bağlam anahtarlama yükü yaratıyor.
Sorunun kapsamı, takımlar küçülse bile genişlemeye devam ediyor. Büyük kuruluşlar, kod depoları, CI/CD boru hatları, gevşek kanallar, JIRA biletleri ve işbirliği platformlarına dağılmış binlerce yönetilmeyen sırları barındırıyor.
Hashicorp’un araştırması, bu sırların% 40’ının yüksek riskli kategorilere girdiğini ve genellikle doğrudan üretim erişimi sağladığını göstermektedir.
Bu bir çarpma etkisi yaratır: bir sert kodlanmış API anahtarı yanal hareket, tedarik zinciri uzlaşması ve büyük ölçekli fidye yazılımı dağıtımını mümkün kılabilir. Son zamanlarda yapılan S1Ngugues Saldırısı bunu mükemmel bir şekilde göstermektedir: Github Eylem Jeton çalma çekme isteği olarak başlayan şey, NX paketlerini tehlikeye attı, 2.349 kimlik bilgilerini çaldı ve 10.000’den fazla özel depo kamuoyunu halka açarak 82.901 ek sır ortaya çıkaran saldırganlara girdi.
Stratejik yanıt: hacim üzerinde hassasiyet
Gitguardian’ın sırlar güvenliğine yaklaşımı temel bir gerçeği tanır: tek başına tespit yeterli değildir. Etkili iyileştirme olmadan, uyarılar zaten gerilmiş takımları ezen pahalı gürültü haline gelir. CISOS için öğrenci güvenlik operasyonlarını yönetme için bu ayrım çok önemlidir.
Sırlar, geleneksel güvenlik açıklarından temel olarak farklı bir zorluk sunar. Bir geliştirici genellikle bir kod güvenlik açığını bağımsız olarak yamalayabilirken, açıkta kalan sırları yeniden tasarlamak, daha geniş altyapı bağlamının anlaşılmasını gerektirir – sırrı, sistemlere bağlı olan ve onu döndürme yetkisine sahip olan birden fazla hizmette kullanılır. Bu genellikle geliştirme, platform ve DevOps ekipleri arasında, her biri kendi önceliklerine ve iş akışlarına sahip koordinasyon gerektirir. Güvenlik ekipleri zaten kapasitede çalışırken bu bağlamı manuel olarak toplamak oldukça pahalı hale gelir ve hızlı düzeltmeleri haftalarca gerilebilecek karmaşık, çok takım araştırmalarına dönüştürür.
Gelişmiş platformlar artık odağı “Nelerdir?” “maruz kalmanın büyüklüğü nedir?” Roller, izinler, mülkiyet ve tehdit kapsamı dahil bağlamsal bilgi sağlayarak. Bu bütünsel yaklaşım, boşa harcanan analist zamanında organizasyonlara yıllık 500.000 doların üzerinde olan yanlış pozitif yükü doğrudan ele almaktadır.
Haftalardan saatlere kadar iyileştirme süresini kesmek
Etkili iyileştirme çerçeveleri yalın ekip kısıtlamalarıyla mükemmel bir şekilde hizalanır:
Proaktif Algılama: Hem taahhütler sırasında önleyici taramayı uygulayan platformlar hem de mevcut sızıntılar için reaktif tarama, 292 günlük ortalama muhafaza penceresine ulaşmadan önce sorunları yakalar.
Açık Sahiplik: Modern araçlar, belirsiz uyarılar yayınlamak yerine, her sır için sahiplik atar ve sorumlu geliştiricilerin tam bağlamla bildirim almasını sağlar. Bu, gizli sahipleri avlayan zaman atıklarını ortadan kaldırır.
Bilgilendirilmiş karar verme: Takımlar kesin konum verileri alır, her bir sırrın kilidini açtığını anlar ve hala aktif olup olmadığını bilirler. Yukarıda belirtilen Hashicorp araştırmasına göre, bu hedeflenen yaklaşım, manuel soruşturma görevlerinden yıllık 936.000 dolarlık verimlilik tahliyesini önlemektedir.
İş Akışı Entegrasyonu: Geliştiriciler, daha küçük takımları rahatsız eden bağlam değiştirme maliyetlerini azaltarak doğrudan mevcut araçları içinde net iyileştirme rehberliği elde ederler. Gelişmiş platformlar artık otomatik gizli iptal özellikleri sunar ve doğrudan sürüm kontrol sistemlerinde kod sabitleme çekme istekleri oluşturabilir, geliştiricileri tam olarak ayrı güvenlik araçlarına zorlamak yerine tam olarak nerede çalıştıklarını karşılayabilir.
Akıllı iyileştirmenin yatırım getirisi
GitGuardian’ın yaklaşımı, sırların sert kodlandığı belirli dosyaları ve kod satırlarını tespit ederek olay tepkisi ekonomisini dönüştürür. Kod tabanları arama saatleri harcamak yerine, çabalarını tam olarak ihtiyaç duyulan yerlerde odaklarlar. Gerçek zamanlı iyileştirme izleme, güvenlik ekiplerine manuel gözetim olmadan görünürlük sağlar.
Bu hassas yaklaşım, küçültülmüş güvenlik ekiplerinin karşılaştığı temel zorluğu doğrudan ele alıyor: güvenlik duruşunu korurken daha azıyla daha fazlasını yapmak.