「機密擴散」是一個普遍存在的漏洞,幾乎每個組織都會遭遇。這指的是在源代碼、消息系統、內部文件或票務系統中以明文硬編碼的敏感憑證被意外曝光的現象。
作為機密擴散檢測的無可爭議領導者,GitGuardian 多年來一直在細心識別並報告公共 GitHub 上此類機密的普遍存在。令人警惕的是,在短短時間內,公開曝露的機密案例增加了四倍,僅在 2023 年就在 GitHub.com 上檢測到驚人的 1280 萬次事件,比前一年增加了 28%。
**GitGuardian 機密檢測**
這些公開的洩漏尤其令人擔憂,因為它們發生在像 GitHub 這樣的平台上,這些平台不斷受到惡意行為者的監控。易於識別的憑證可能在幾秒鐘內被破壞,而更微妙的洩漏則可能導致客戶數據被侵害,正如 2022 年豐田的違規事件所證實的那樣。
隨著現代軟件供應鏈日益複雜,控制機密變得越來越具有挑戰性。在這種情況下,檢測洩漏的機密僅僅是第一步;組織還必須優先考慮並有效地消除這些事件,以提高其安全姿態。
**什麼是機密,為什麼它們很重要?**
機密是授予對系統、服務或數據訪問權限的機密信息。它們支撐著關鍵的安全機制,如身份驗證、授權和加密。例如,數據庫憑證、雲服務提供商 API 金鑰、SaaS 存取令牌和加密金鑰。泄露這些機密可能會帶來毀滅性的後果。
攻擊者可以利用曝光的機密獲得初始訪問權限,在系統內進行橫向移動,並可能建立持久存在。根據 IBM 2023 年的《數據泄漏成本報告》,這是攻擊者的主要手段,造成了平均 445 萬美元的違規成本。
**機密泄漏的常見方式**
開發人員通常會通過以下方式不慎洩漏機密:
在源代碼存儲庫中硬編碼機密,
將機密提交到公共代碼存儲庫(例如 GitHub),
在開發人員通信渠道中曝光機密(例如 Slack、Jira),
在構建時在容器映像或工件中洩漏機密。
**安全漏洞:未撤銷的機密**
GitGuardian 的研究顯示了一個關鍵的安全漏洞 - 90% 以上的有效洩漏機密在作者被通知後至少仍然有效 5 天。即使是像 Cloudflare、AWS、OpenAI 和 GitHub 這樣的主要服務提供商也受到未撤銷機密的影響。
更令人擔憂的是,對 5000 個存儲洩漏提交的隨機樣本顯示,僅有 28.2% 仍然可訪問,這表明許多存儲庫很可能在洩漏後被刪除或設為私有。這表明,即使從公共視圖中刪除,許多機密仍然有效,為攻擊者在撤銷之前發現和利用這些“殭屍洩漏”創造了一個窗口。
正如 GitGuardian 的 CEO 兼創始人 Eric Fourrier 所說,“開發人員擦除洩漏的提交或存儲庫而不是撤銷,為公司創造了一個主要的安全風險,這將使得公司在憑證有效的情況下對公共 GitHub 活動進行媒體攻擊的威脅。這些殭屍洩漏是最糟糕的。”
詳情請看: