Gitguardian’a göre, uzun ömürlü düz metin kimlik bilgileri son birkaç yıldır çoğu ihlalde yer alıyor.
API anahtarları, şifreler ve kimlik doğrulama jetonları gibi geçerli kimlik bilgileri, sızıntı, herhangi bir beceri seviyesindeki saldırganlar ilk erişim elde edebilir veya sistemler aracılığıyla hızlı yanal hareket gerçekleştirebilir.
2025 Sırlar Durumu Yayılma Raporu, her büyüklükteki organizasyonları tehdit eden yaygın ve kalıcı bir güvenlik krizini ortaya koymaktadır. Rapor, yıldan yıla sızan sırlarda% 25’lik bir artış ortaya koyuyor ve sadece 2024’te kamu Github’da 23.8 milyon yeni kimlik algılanıyor.
Sızan sırların artan tehdidi
En çok kurumsal güvenlik liderleri için: 2022’de sızan sırların% 70’i bugün aktif kalıyor ve her geçen gün daha tehlikeli büyüyen genişleyen bir saldırı yüzeyi yaratıyor.
Gitguardian CEO’su Eric Fourrier, “Sızan sırların patlaması, siber güvenlikteki en önemli ancak hafife alınmış tehditlerden birini temsil ediyor” dedi. “Sofistike sıfır günlük istismarlardan farklı olarak, saldırganların bu güvenlik açıklarından yararlanmak için gelişmiş becerilere ihtiyaçları yoktur-sadece açık bir kimlik bilgisi kritik sistemlere ve hassas verilere sınırsız erişim sağlayabilir.”
Eric Fourrier, 2024 ABD Hazine Bakanlığı’nın bir uyarı olarak ihlaline işaret ediyor: “BeyondTrust’tan tek bir sızdırılmış API anahtarı, saldırganların hükümet sistemlerine sızmasına izin verdi. Bu sofistike bir saldırı değildi – bu, güvenlik yatırımlarında milyonlarca atlayan açık bir kimlik bilgisi durumuydu.”
GitHub’ın itme korumasına rağmen, geliştiricilerin bilinen gizli kalıpları, sert kodlanmış şifreler, veritabanı kimlik bilgileri ve özel kimlik doğrulama belirteçleri de dahil olmak üzere jenerik sırlar tespit etmesine rağmen, şimdi algılanan tüm sızıntıların yarısından fazlasını temsil eder. Bu kimlik bilgileri standart kalıplardan yoksundur, bu da onları geleneksel araçlarla tespit etmelerini neredeyse imkansız hale getirir.
Taranan tüm özel depoların tam% 35’i en az bir düz metin sırrı içeriyordu ve özel depoların güvenli olduğu varsayımını parçaladı.
AWS IAM Keys, özel depoların% 8.17’sinde düz metin olarak ortaya çıktı – halka açık olanlardan (% 1.45) daha sık 5 × daha fazla. Jenerik şifreler, özel depolarda (%24.1) genel olanlara (%8,94) kıyasla yaklaşık 3 × daha sık göründü. MongoDB kimlik bilgileri, kamu depolarında (%18.84) en sık sızdırılmış gizli tipti.
Eric Fourrier, “Özel kod depolarındaki sızdırılmış sırlar tehlikeye atılmalıdır” dedi. “Güvenlik ekipleri, nerede ikamet ettiklerine bakılmaksızın sırların hassas veriler olarak ele alınması gerektiğini kabul etmelidir.”
Sabit kodlanmış sırlar her yerde
Sabit kodlanmış sırlar her yerdedir, ancak özellikle güvenlik kontrollerinin tipik olarak daha zayıf olduğu işbirliği platformları ve konteyner ortamları gibi güvenlik kör noktalarında:
- Gevşeklik: Analiz edilen çalışma alanlarındaki kanalların% 2.4’ü sızdırılmış sırlar içeriyordu
- Var olmak: Biletlerin% 6,1’i kimlik bilgilerini ortaya çıkardı, bu da onu en savunmasız işbirliği aracı haline getiriyor
- Dockerhub: Tespit edilen sırların% 98’i sadece görüntü katmanlarına gömüldü, şu anda 7.000’den fazla geçerli AWS anahtarı maruz kaldı
API anahtarları, hizmet hesapları ve otomasyon jetonları da dahil olmak üzere insan olmayan kimlikler (NHIS), çoğu kuruluşta insan kimliklerinden çok daha fazladır. Bununla birlikte, bu kimlik bilgileri genellikle uygun yaşam döngüsü yönetimi ve rotasyondan yoksundur ve kalıcı güvenlik açıkları yaratır.
Bir Fortune 500 şirketindeki bir güvenlik lideri bu zorluğu kabul etti: “Her yıl sırları döndürmeyi hedefliyoruz, ancak ortamımızda uygulama zor. Bazı kimlik bilgileri yıllarca değişmeden kaldı.”
Sırlar yönetimi çözümleri yetersiz kalır
Sır yönetimi çözümlerini kullanan kuruluşlar bile savunmasız kalmaktadır. Sır yöneticilerinden yararlanan 2.584 depo çalışması,% 5,1’lik bir gizli sızıntı oranı ortaya koydu-öngördüğümüz sıfıra yakın bir FAR. Bu, genel Github ortalamasını%4,6’yı aşar.
Yaygın sorunlar şunları içerir:
- Sır yöneticilerinden çıkarılan ve başka yerlerde sabit kodlanmış sırlar
- Erişim kimlik bilgilerini ortaya çıkaran sır yöneticilerine güvensiz kimlik doğrulama
- Birden fazla sır yöneticisine sırlar yayılmasından dolayı parçalanmış yönetişim
AI tarafından oluşturulan kod, otomasyon ve bulut doğal geliştirme hızlandıkça, rapor sırların yayılmasının yalnızca yoğunlaşacağını tahmin ediyor. GitHub’ın itme koruması bazı sızıntıları azaltmış olsa da, özellikle genel sırlar, özel depolar ve işbirliği araçlarıyla önemli boşluklar bırakır.
Eric Fourrier, “CISO’lar ve güvenlik liderleri için hedef sadece tespit değil – bu güvenlik açıklarının sömürülmeden düzeltilmesi” dedi. “Bu, tüm kurumsal platformlarda otomatik keşif, tespit, iyileştirme ve daha güçlü sır yönetişimini içeren kapsamlı bir yaklaşım gerektirir.”
Gizli sızıntılar nadiren izole olaylar olarak kalır. Bunun yerine, tipik olarak tüm kuruluşları ve tedarik zincirlerini tehlikeye atabilecek sofistike saldırı zincirleri için giriş noktaları olarak hizmet ederler. Bu gerçeklik, basit gizli tespitten kapsamlı gizli yaşam döngüsü yönetimine ve hızlı olay müdahale yeteneklerine geçiş gerektirir.