Boston, ABD, 11 Mart 2025, Cybernewswire
Github’ın en yüklü uygulamasının arkasındaki güvenlik lideri Gitguardian, bugün her büyüklükteki kuruluşları tehdit eden yaygın ve kalıcı bir güvenlik krizini ortaya koyan kapsamlı “2025 Sırlar Durumu Yayılma Raporu” nu yayınladı. Rapor, yıldan yıla sızan sırlarda% 25’lik bir artış ortaya koyuyor ve sadece 2024’te kamu Github’da 23.8 milyon yeni kimlik algılanıyor.
En çok kurumsal güvenlik liderleri için: 2022’de sızan sırların% 70’i bugün aktif kalıyorher geçen gün daha tehlikeli büyüyen genişleyen bir saldırı yüzeyi oluşturma.
“Sızan sırların patlaması, siber güvenlikteki en önemli ancak hafife alınmış tehditlerden birini temsil ediyor,” Gitguardian CEO’su Eric Fourrier dedi. “Sofistike sıfır günlük istismarlardan farklı olarak, saldırganların bu güvenlik açıklarından yararlanmak için gelişmiş becerilere ihtiyaçları yoktur-sadece açık bir kimlik bilgisi kritik sistemlere ve hassas verilere sınırsız erişim sağlayabilir.”
Eric Fourrier, 2024 ABD Hazine Departmanı ihlaline bir uyarı olarak işaret ediyor: “BeyondRust’un tek bir sızdırılmış API anahtarı saldırganların hükümet sistemlerine sızmasına izin verdi. Bu sofistike bir saldırı değildi – milyonlarca güvenlik yatırımında atlayan maruz kalan bir kimlik bilgisi durumuydu. ”
Güvenlik liderleri için temel bulgular
Rapor, hemen dikkat gerektiren birkaç kritik eğilimi tanımlamaktadır:
Kör Nokta: Genel Sırlar
Aksine Github’s İtme koruması Geliştiricilerin bilinen gizli kalıpları, genel sırları tespit etmesine yardımcı olmak – sert kodlanmış şifreler, veritabanı kimlik bilgileri ve özel kimlik doğrulama jetonları dahil –Şimdi temsil et Tespit edilen tüm sızıntıların yarısından fazlası. Bu kimlik bilgileri standart kalıplardan yoksundur, bu da onları geleneksel araçlarla tespit etmelerini neredeyse imkansız hale getirir.
Özel Depolar: Yanlış bir güvenlik duygusu
Analiz, şaşırtıcı bir gerçeği ortaya koyuyor: Taranan tüm özel depoların tam% 35’i en az bir düz metin sırrı içeriyorduözel depoların güvenli olduğu ortak varsayımının parçalanması:
- Aws iam anahtarları özel depoların% 8,17’sinde düz metin olarak ortaya çıktı –halka açık olanlardan 5 × daha sık (%1.45)
- Genel Şifreler neredeyse ortaya çıktı Özel depolarda 3 × daha sık (%24.1) halka açık olanlara kıyasla (%8.94)
- MongoDB kimlik bilgileri öyle Kamu depolarında en sık sızdırılmış gizli tip (%18.84)
Eric Fourrier, “Özel kod depolarındaki sızdırılmış sırlar tehlikeye atılmalıdır” dedi. “Güvenlik ekipleri, nerede ikamet ettiklerine bakılmaksızın sırların hassas veriler olarak ele alınması gerektiğini kabul etmelidir.”
Kodun Ötesi: SDLC’de Sırlar yayılıyor
Sabit kodlanmış sırlar her yerde, ancak özellikle güvenlik kör noktalarında İşbirliği platformları ve kaplar Ortamlar Güvenlik kontrollerinin tipik olarak daha zayıf olduğu yerlerde:
- Gevşeklik: Analiz edilen çalışma alanlarındaki kanalların% 2.4’ü sızdırılmış sırlar içeriyordu
- Var olmak: Biletlerin% 6,1’i kimlik bilgilerini ortaya çıkardı ve En savunmasız işbirliği aracı
- Dockerhub: Tespit edilen sırların% 98’i sadece görüntü katmanlarına gömüldü, Şu anda 7.000’den fazla geçerli AWS anahtarı maruz kaldı
İnsan olmayan kimlik krizi
İnsan Olmayan Kimlikler (NHIS)– API anahtarları, hizmet hesapları ve otomasyon jetonları da dahil olmak üzere – şimdi büyük ölçüde Çoğu organizasyonda insan kimliklerinden daha fazla. Ancak, bu kimlik bilgileri sık sık Uygun yaşam döngüsü yönetimi ve rotasyondan yoksunkalıcı güvenlik açıkları yaratma.
Bir Fortune 500 şirketindeki bir güvenlik lideri bu zorluğu kabul etti: “Her yıl sırları döndürmeyi hedefliyoruz, ancak çevremizde uygulama zor. Bazı kimlik bilgileri yıllarca değişmeden kaldı. ”
Sır Yöneticileri: Tam bir cevap değil
Sır yönetimi çözümlerini kullanan kuruluşlar bile savunmasız kalmaktadır. Bir çalışma Sır yöneticilerinden yararlanan 2.584 depo% 5,1 gizli sızıntı oranını ortaya çıkardı –Beklediğimiz sıfırdan çok uzak. Bu genel olarak Github ortalaması% 4,6.
Yaygın sorunlar şunları içerir:
- Sır yöneticilerinden çıkarılan ve başka yerlerde sabit kodlanmış sırlar
- Erişim kimlik bilgilerini ortaya çıkaran sır yöneticilerine güvensiz kimlik doğrulama
- Birden fazla sır yöneticisine sırlar yayılmasından dolayı parçalanmış yönetişim
İleri Yol: Kapsamlı Sırlar Güvenliği
AI tarafından oluşturulan kod, otomasyon ve bulut doğal geliştirme hızlandıkça, rapor Sır yayılımı sadece yoğunlaşacaktır. GitHub’ın itme koruması bazı sızıntıları azaltmış olsa da, özellikle genel sırlar, özel depolar ve işbirliği araçlarıyla önemli boşluklar bırakır.
Eric Fourrier, “CISO’lar ve güvenlik liderleri için hedef sadece tespit değil – bu güvenlik açıklarının sömürülmeden düzeltilmesi” dedi. “Bu, tüm kurumsal platformlarda otomatik keşif, tespit, iyileştirme ve daha güçlü sır yönetişimini içeren kapsamlı bir yaklaşım gerektirir.”
Rapor, kuruluşların sırları ele almaları için stratejik bir çerçeve ile sonuçlanmaktadır:
- Tüm ortamlarda maruz kalan kimlik bilgileri için izlemeyi dağıtma
- Merkezi sırlar algılama ve iyileştirmenin uygulanması
- Tüm kimlik bilgileri için yarı otomatik rotasyon politikalarının oluşturulması
- Güvenli Vault kullanımı için net geliştirici yönergeleri oluşturma
2025 Secret of Secrets Raporunun tamamını okumak için kullanıcılar ziyaret edebilir Gitguardian.com.
Ek Kaynaklar
Gitguardian – Web sitesi
Sırların Durumu 2025
Gitguardian hakkında
GitGuardian, yazılım odaklı kuruluşları insan olmayan kimlik (NHI) güvenliklerini artırmaları ve endüstri standartlarına uymaları için güçlendiren uçtan uca bir NHI güvenlik platformudur. Saldırganlar, hizmet hesapları ve uygulamalar gibi NHI’ları giderek daha fazla hedefleyen GitGuardian, sırları ve NHI yönetişimini entegre ediyor. Bu ikili yaklaşım, insan olmayan kimlikleri ve sırlarının yaşam döngülerini yönetirken, geliştirme ortamlarınızda uzlaşmış sırların tespit edilmesini sağlar. Platform, dünyanın en yüklü GitHub uygulamasıdır ve 450’den fazla sır türünü destekler, sızdırılmış veriler için halka açık izleme sunar ve daha fazla savunma için honeytokenleri dağıtır. 600.000’den fazla geliştiriciye güvenen Gitguardian, güçlü sırların korunması için Snowflake, ING, BASF ve Bouygues Telecom gibi önde gelen kuruluşların seçimidir.
Temas etmek
Medya teması
Holly Hagerman
Bağlantı Pazarlama
hollyh@connectmarketing.com
+1 (801) 373-7888
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!