Sızan kimlik bilgilerini tespit etmek savaşın sadece yarısıdır. Asıl zorluk – ve genellikle denklemin ihmal edilen yarısı – tespitten sonra olan şeydir. Gitguardian’ın Sırlar Durumu Yasal 2025 raporundan yeni araştırmalar, rahatsız edici bir eğilim ortaya koyuyor: Maruz kalanların büyük çoğunluğu şirket Kamu depolarında keşfedilen sırlar, tespit edildikten sonra yıllarca geçerli kalır ve birçok kuruluşun ele alamadığı genişleyen bir saldırı yüzeyi oluşturur.
GitGuardian’ın kamu Github depoları arasında maruz kalan sırlar analizine göre, 2022’ye kadar tespit edilen kimlik bilgilerinin endişe verici bir yüzdesi bugün geçerli olmaya devam ediyor:
Gitguardian’ın araştırma ekibi, “Sızan bir sır tespit etmek sadece ilk adımdır” diyor. “Gerçek zorluk hızlı iyileştirmede yatmaktadır.”
Maruz kalan sırlar neden geçerli kalır?
Bu kalıcı geçerlilik iki rahatsız edici olasılık olduğunu göstermektedir: ya Kuruluşlar kimlik bilgilerinin ortaya çıktığını bilmiyor (bir güvenlik görünürlüğü sorunu) veya doğru bir şekilde kaynaklardan, süreçlerden veya aciliyetten yoksundurlar Onları düzeltin (bir güvenlik işlemleri sorunu). Her iki durumda da, ilgili bir gözlem, bu sırların rutin olarak bile iptal edilmemesi, ne varsayılan son kullanma işleminden ne de normal rotasyon prosedürlerinin bir parçası olarak manuel olarak iptal edilmemesidir.
Kuruluşlar ya maruz kalan kimlik bilgilerinden habersiz kalırlar veya bunları etkili bir şekilde ele alacak kaynaklardan yoksundur. Sabit kodlanmış sırlar kod tabanları arasında çoğalır ve kapsamlı iyileştirmeyi zorlaştırır. Gizli rotasyon, genellikle üretim etkisi olan hizmetler ve sistemler arasında koordineli güncellemeler gerektirir.
Kaynak kısıtlamaları, yalnızca en yüksek riskli maruziyetlerin önceliklendirilmesini zorlarken, eski sistemler geçici kimlik bilgileri gibi modern yaklaşımları desteklemeyerek teknik engeller oluşturur.
Sınırlı görünürlük, operasyonel karmaşıklık ve teknik sınırlamaların bu kombinasyonu, sert kodlanmış sırların neden maruz kaldıktan sonra genellikle geçerli kaldığını açıklar. Merkezi, otomatik sistemler ve kısa ömürlü kimlik bilgileriyle modern Sırlar Güvenlik Çözümlerine geçmek artık sadece bir güvenlik en iyi uygulaması değil, operasyonel bir zorunluluktur.
En çok hangi hizmetler risk altında? Trendler
Ham istatistiklerin arkasında endişe verici bir gerçeklik yatıyor: Kamu depolarında yıllarca devam eden açık kimlik bilgileri nedeniyle eleştirel üretim sistemleri savunmasız kalıyor.
2022-2024 tarihleri arasında maruz kalan sırların analizi, temel hizmetler için veritabanı kimlik bilgilerinin, bulut anahtarlarının ve API jetonlarının ilk maruz kaldıktan çok sonra geçerli kalmaya devam ettiğini ortaya koymaktadır. Bunlar Test veya geliştirme kimlik bilgileri değil, üretim ortamlarının otantik anahtarlarısaldırganların hassas müşteri verilerine, altyapıya ve iş açısından kritik sistemlere erişmeleri için doğrudan yolları temsil eder.
Hassas hizmetler hala maruz kaldı (2022-2024):
- MongoDB: Saldırganlar bunları verileri pessat etmek veya yozlaştırmak için kullanabilirler. Bunlar son derece hassastır, potansiyel saldırganlara erişim sağlar Şahsen tanımlanabilir bilgiler veya ayrıcalık artış veya yanal hareket için kullanılabilecek teknik içgörü.
- Google Cloud, AWS, Tencent Cloud: Bu bulut anahtarları potansiyel saldırganlara altyapı, kod ve müşteri verilerine erişim sağlar.
- MySQL/PostgreSQL: Bu veritabanı kimlik bilgileri her yıl kamu kodunda da devam eder.
Bunlar test kimlik bilgileri değil, canlı hizmetlerin anahtarlarıdır.
Son üç yılda, kamu depolarındaki maruz kalan sırların manzarası, özellikle bulut ve veritabanı kimlik bilgileri için hem ilerlemeyi hem de yeni riskleri ortaya çıkaracak şekilde kaymıştır. Bir kez daha, bu eğilimler sadece bulunmuş olan ve hala geçerli olanları yansıtır – Herkese açık bir şekilde maruz kalmasına rağmen iyileştirilmemiştir veya iptal edilmemiştir.
Bulut kimlik bilgileri için veriler belirgin bir yukarı yönlü eğilim gösterir. 2023 yılında, geçerli bulut kimlik bilgileri hala aktif olan tüm maruz kalan sırların% 10’unu oluşturdu. 2024 yılına kadar bu pay neredeyse%16’ya yükselmişti. Bu artış muhtemelen kurumsal ortamlarda bulut altyapısı ve SaaS’ın artan benimsenmesini yansıtmaktadır, ancak aynı zamanda birçok kuruluşun bulut erişimini güvenli bir şekilde yönetmede karşılaştığı mücadelenin altını çizmektedir – özellikle geliştirici hızı ve karmaşıklık artışı.
Buna karşılık, veritabanı kimlik bilgisi maruziyetleri ters yönde hareket etti. 2023’te, Geçerli veritabanı kimlik bilgileri, algılanmamış sırların% 13’ünden fazlasını oluşturdu, ancak 2024 yılına kadar bu rakam% 7’nin altına düştü. Bu düşüş, veritabanı kimlik bilgileri etrafında farkındalık ve iyileştirme çabalarının-özellikle yüksek profilli ihlalleri ve yönetilen veritabanı hizmetlerinin kullanımının arttığını-ödemeye başladığını gösterebilir.
Genel paket nüanslıdır: kuruluşlar geleneksel veritabanı sırlarını korumada daha iyi hale gelse de, geçerli, araştırılmamış bulut kimlik bilgisi açısından hızlı artış, yeni sır türlerinin en yaygın ve riskli olarak yer aldığını göstermektedir. Bulut anadili mimariler norm haline geldikçe, otomatik sır yönetimi, kısa ömürlü kimlik bilgileri ve hızlı iyileştirme her zamankinden daha acil.
Yüksek riskli kimlik bilgileri için pratik iyileştirme stratejileri
Maruz kalan riski azaltmak için MongoDB kimlik bilgilerikuruluşlar sızdırılmış olabilecek herhangi bir şeyi döndürmek için hızlı hareket etmeli ve veritabanına kimin erişebileceğini kesinlikle sınırlamak için IP alıcı listesini ayarlamalıdır. Denetim günlüğünün etkinleştirilmesi, şüpheli aktiviteyi gerçek zamanlı olarak tespit etmek ve bir ihlalden sonra soruşturmalara yardımcı olmak için de anahtardır. Daha uzun vadeli güvenlik için, dinamik sırlardan yararlanarak sert kodlanmış şifrelerden uzaklaşın. MongoDB Atlas kullanıyorsanız, API üzerinden şifre rotasyonuna programlı erişim mümkündür, böylece bir pozlama algılamamış olsanız bile CI/CD boru hatlarınızı rutin olarak sırları döndürebilirsiniz.
Google Bulut Anahtarları
Eğer Google Bulut Anahtarı hiç maruz kaldı, en güvenli hareket hemen iptal. Gelecekteki riski önlemek için, statik hizmet hesabı anahtarlarından modern, kısa ömürlü kimlik doğrulama yöntemlerine geçiş: Harici iş yükleri için İş Yükü Kimlik Federasyonu’nu kullanın, hizmet hesaplarını doğrudan Google Cloud kaynaklarına ekleyin veya kullanıcı erişimi gerektiğinde hizmet hesabı takviyesi uygulayın. Herhangi bir pozlamanın potansiyel etkisini en aza indirmek için düzenli anahtar rotasyonunu uygular ve tüm hizmet hesaplarına en az ayrıcalık ilkeleri uygular.
Aws iam kimlik bilgileri
İçin Aws iam kimlik bilgilerimaruziyetten şüphelenilirse derhal rotasyon esastır. En iyi uzun vadeli savunma, uzun ömürlü kullanıcı erişim anahtarlarını tamamen ortadan kaldırmak, IAM rollerini ve AWS STS’yi iş yükleri için geçici kimlik bilgileri sağlamak için seçmektir. AWS dışındaki sistemler için, IAM rollerini her yerde kullanın. AWS IAM Access Analyzer ile erişim politikalarınızı rutin olarak denetleyin ve kapsamlı günlüğe kaydetme için AWS CloudTrail’i etkinleştirin, böylece şüpheli kimlik bilgisi kullanımlarını hızlı bir şekilde tespit edebilir ve yanıtlayabilirsiniz.
Bu modern sırlar yönetimi uygulamalarını (kısa ömürlü, dinamik kimlik bilgileri ve otomasyona odaklanarak), örgütlenmeler, maruz kalan sırların ortaya koyduğu riskleri önemli ölçüde azaltabilir ve iyileştirmeyi bir yangın matkabı yerine rutin, yönetilebilir bir süreç haline getirebilir.
Gizli yöneticiler entegrasyonları da bu görevi otomatik olarak çözmeye yardımcı olabilir.
Çözüm
Maruz kalan sırların kalıcı geçerliliği önemli ve sıklıkla göz ardı edilen bir güvenlik riskini temsil eder. Tespit esas olmakla birlikte, kuruluşlar hızlı iyileştirmeye öncelik vermeli ve kimlik bilgisine maruz kalmanın etkisini en aza indiren mimarilere geçiş yapmalıdır.
Verilerimizin gösterdiği gibi, sorun daha da kötüleşiyor, daha iyi değil – daha fazla sır, maruz kaldıktan sonra daha uzun süre geçerli kalıyor. Uygun gizli yönetim uygulamalarını uygulayarak ve uzun ömürlü kimlik bilgilerinden uzaklaşarak, kuruluşlar saldırı yüzeylerini önemli ölçüde azaltabilir ve kaçınılmaz maruziyetlerin etkisini azaltabilir.
Gitguardian’ın Sırlar Durumu 2025 raporu, sırlara maruz kalma eğilimlerinin ve iyileştirme stratejilerinin kapsamlı bir analizini sunar. Raporun tamamı www.gitguardian.com/files/the-state-of–secrets-sprawl-report-2025 adresinde bulunabilir.