您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
[調(diào)研]敏感數(shù)據(jù)泄露事件持續(xù)上升
3月3日,GitGuardian發(fā)布報告稱,2021年企業(yè)泄露了超過600萬個密碼、API密鑰和其他敏感數(shù)據(jù)(統(tǒng)稱開發(fā)“秘密”),泄密量是上一年的兩倍。報告表明,推送到存儲庫的代碼有所增加,并且可用的檢測功能也更強大了。
GitGuardian發(fā)現(xiàn),平均而言,2021年每1000個GitHub提交就有3個泄露秘密,這一頻率比2020年高出50%。超過一半的秘密包含訪問數(shù)據(jù)存儲服務(wù)、云提供商、私有加密密鑰或開發(fā)工具所需的憑證,另外10%則含有用于消息傳遞系統(tǒng)和版本控制平臺的憑據(jù)。
GitGuardian開發(fā)人員倡導者Mackenzie Jackson表示,敏感訪問信息泄露給潛在的攻擊者會破壞公司網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全性。GitGuardian稱,此處的“秘密”一詞指的是“授予服務(wù)、系統(tǒng)和數(shù)據(jù)訪問權(quán)限”的任何數(shù)字身份驗證憑證,包括API密鑰、應(yīng)用或服務(wù)憑證,以及安全證書。
Jackson表示:“幾乎所有攻擊都會以某種方式用到秘密,或許沒用作初始訪問,但肯定會用來提升攻擊者的權(quán)限和登入其他系統(tǒng)。老實說,看到秘密泄露急劇增長,我們倍感驚訝。但歸根結(jié)底,這一情況顯然是開發(fā)人員處理的技術(shù)越來越多和遠程辦公等其他因素共同作用的結(jié)果。”
2021年里,多起重大數(shù)據(jù)泄露事件都涉及到秘密泄露問題。代碼檢查公司CodeCov創(chuàng)建Docker映像的方式存在漏洞,攻擊者利用了這個漏洞,將上傳工具修改為也給攻擊者發(fā)送訪問憑證,令數(shù)百家公司的開發(fā)流程面臨遭到破壞的風險。而在另一起數(shù)據(jù)泄露事件中,攻擊者泄露了游戲流媒體網(wǎng)站Twitch的源代碼,暴露了6000多個Git存儲庫和300萬份文檔,并泄露了6600多個可能造成更多數(shù)據(jù)泄露的開發(fā)秘密。
秘密泄露問題嚴重
根據(jù)GitGuardian的報告,總體而言,擁有400名開發(fā)人員的公司掃描其存儲庫時可能會發(fā)現(xiàn)代碼中遺留有1050個秘密。GitGuardian強調(diào),應(yīng)用安全(AppSec)人員負責確保開發(fā)項目的安全,找出并修復泄露秘密的任務(wù)超出了他們的能力范圍。平均而言,公司里每位應(yīng)用工程師都得處理3400多個泄露的秘密。
“這確實是一項不可能完成的任務(wù),他們被這個問題完全淹沒了。要解決這個問題,開發(fā)人員也必須挑起一部分擔子,我們得給開發(fā)人員提供工具,還要開展安全教育?!?/span>
GitGuardian今年將公共Docker映像和企業(yè)私有存儲庫也納入了分析范圍。此外,該公司用于檢測秘密的模式也從2020年的250種增加到了350種。很多開發(fā)人員不太注意私有存儲庫的秘密管理,覺得即使暴露了也不會造成秘密被公開。然而,代碼總會蔓延到公司各個角落的。
“現(xiàn)實是,代碼會進入你的私有存儲庫,然后被克隆到所有開發(fā)人員的機器上,可能是他們的個人電腦,也可能是他們的工作電腦,然后通過各種消息傳遞系統(tǒng)共享。于是,我們很容易就無法掌握這些代碼都跑到哪里了?!?/span>
GitGuardian的報告揭示,絕大多數(shù)網(wǎng)絡(luò)安全事件都涉及私有存儲庫泄露,例如,泄露的Azure云訪問憑證中有85%都是從私有存儲庫泄出的。
個人項目影響企業(yè)
這份報告的另一個有趣發(fā)現(xiàn)是,開發(fā)人員在周末和公共假日泄露的秘密最多,這表明他們不太重視自己個人項目的安全,或者對個人項目執(zhí)行的安全檢查比較少。
然而,個人項目泄露仍會置公司安全于風險之下。
“從某種意義上說,GitHub十分特別,如果你在GitHub.com上擁有個人賬戶,且你所在公司也在用GitHub,那你就可以公私共用同一個賬戶,從此辦公開發(fā)和個人開發(fā)就分不清了。所以,我們經(jīng)常看到企業(yè)密鑰從個人git存儲庫中流出。”
GitGuardian在報告中建議,公司應(yīng)將開發(fā)人員更密切地納入到應(yīng)用安全維護工作當中來,并設(shè)立責任共擔模型。相比應(yīng)用安全人員獨力承擔安全維護工作,納入開發(fā)人員可以多解決72%的事件,且修復速度能夠翻倍。
報告指出:“通過將漏洞掃描集成到開發(fā)工作流程,安全便不再成為瓶頸:你可以幫助開發(fā)人員盡早捕獲漏洞,大幅降低修復成本。對蔓延非常敏感的秘密檢測則更是如此。”
來源:數(shù)世咨詢