您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
[調(diào)研]敏感數(shù)據(jù)泄露事件持續(xù)上升
3月3日,GitGuardian發(fā)布報(bào)告稱,2021年企業(yè)泄露了超過(guò)600萬(wàn)個(gè)密碼、API密鑰和其他敏感數(shù)據(jù)(統(tǒng)稱開發(fā)“秘密”),泄密量是上一年的兩倍。報(bào)告表明,推送到存儲(chǔ)庫(kù)的代碼有所增加,并且可用的檢測(cè)功能也更強(qiáng)大了。
GitGuardian發(fā)現(xiàn),平均而言,2021年每1000個(gè)GitHub提交就有3個(gè)泄露秘密,這一頻率比2020年高出50%。超過(guò)一半的秘密包含訪問(wèn)數(shù)據(jù)存儲(chǔ)服務(wù)、云提供商、私有加密密鑰或開發(fā)工具所需的憑證,另外10%則含有用于消息傳遞系統(tǒng)和版本控制平臺(tái)的憑據(jù)。
GitGuardian開發(fā)人員倡導(dǎo)者M(jìn)ackenzie Jackson表示,敏感訪問(wèn)信息泄露給潛在的攻擊者會(huì)破壞公司網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全性。GitGuardian稱,此處的“秘密”一詞指的是“授予服務(wù)、系統(tǒng)和數(shù)據(jù)訪問(wèn)權(quán)限”的任何數(shù)字身份驗(yàn)證憑證,包括API密鑰、應(yīng)用或服務(wù)憑證,以及安全證書。
Jackson表示:“幾乎所有攻擊都會(huì)以某種方式用到秘密,或許沒(méi)用作初始訪問(wèn),但肯定會(huì)用來(lái)提升攻擊者的權(quán)限和登入其他系統(tǒng)。老實(shí)說(shuō),看到秘密泄露急劇增長(zhǎng),我們倍感驚訝。但歸根結(jié)底,這一情況顯然是開發(fā)人員處理的技術(shù)越來(lái)越多和遠(yuǎn)程辦公等其他因素共同作用的結(jié)果?!?/span>
2021年里,多起重大數(shù)據(jù)泄露事件都涉及到秘密泄露問(wèn)題。代碼檢查公司CodeCov創(chuàng)建Docker映像的方式存在漏洞,攻擊者利用了這個(gè)漏洞,將上傳工具修改為也給攻擊者發(fā)送訪問(wèn)憑證,令數(shù)百家公司的開發(fā)流程面臨遭到破壞的風(fēng)險(xiǎn)。而在另一起數(shù)據(jù)泄露事件中,攻擊者泄露了游戲流媒體網(wǎng)站Twitch的源代碼,暴露了6000多個(gè)Git存儲(chǔ)庫(kù)和300萬(wàn)份文檔,并泄露了6600多個(gè)可能造成更多數(shù)據(jù)泄露的開發(fā)秘密。
秘密泄露問(wèn)題嚴(yán)重
根據(jù)GitGuardian的報(bào)告,總體而言,擁有400名開發(fā)人員的公司掃描其存儲(chǔ)庫(kù)時(shí)可能會(huì)發(fā)現(xiàn)代碼中遺留有1050個(gè)秘密。GitGuardian強(qiáng)調(diào),應(yīng)用安全(AppSec)人員負(fù)責(zé)確保開發(fā)項(xiàng)目的安全,找出并修復(fù)泄露秘密的任務(wù)超出了他們的能力范圍。平均而言,公司里每位應(yīng)用工程師都得處理3400多個(gè)泄露的秘密。
“這確實(shí)是一項(xiàng)不可能完成的任務(wù),他們被這個(gè)問(wèn)題完全淹沒(méi)了。要解決這個(gè)問(wèn)題,開發(fā)人員也必須挑起一部分擔(dān)子,我們得給開發(fā)人員提供工具,還要開展安全教育?!?/span>
GitGuardian今年將公共Docker映像和企業(yè)私有存儲(chǔ)庫(kù)也納入了分析范圍。此外,該公司用于檢測(cè)秘密的模式也從2020年的250種增加到了350種。很多開發(fā)人員不太注意私有存儲(chǔ)庫(kù)的秘密管理,覺(jué)得即使暴露了也不會(huì)造成秘密被公開。然而,代碼總會(huì)蔓延到公司各個(gè)角落的。
“現(xiàn)實(shí)是,代碼會(huì)進(jìn)入你的私有存儲(chǔ)庫(kù),然后被克隆到所有開發(fā)人員的機(jī)器上,可能是他們的個(gè)人電腦,也可能是他們的工作電腦,然后通過(guò)各種消息傳遞系統(tǒng)共享。于是,我們很容易就無(wú)法掌握這些代碼都跑到哪里了?!?/span>
GitGuardian的報(bào)告揭示,絕大多數(shù)網(wǎng)絡(luò)安全事件都涉及私有存儲(chǔ)庫(kù)泄露,例如,泄露的Azure云訪問(wèn)憑證中有85%都是從私有存儲(chǔ)庫(kù)泄出的。
個(gè)人項(xiàng)目影響企業(yè)
這份報(bào)告的另一個(gè)有趣發(fā)現(xiàn)是,開發(fā)人員在周末和公共假日泄露的秘密最多,這表明他們不太重視自己個(gè)人項(xiàng)目的安全,或者對(duì)個(gè)人項(xiàng)目執(zhí)行的安全檢查比較少。
然而,個(gè)人項(xiàng)目泄露仍會(huì)置公司安全于風(fēng)險(xiǎn)之下。
“從某種意義上說(shuō),GitHub十分特別,如果你在GitHub.com上擁有個(gè)人賬戶,且你所在公司也在用GitHub,那你就可以公私共用同一個(gè)賬戶,從此辦公開發(fā)和個(gè)人開發(fā)就分不清了。所以,我們經(jīng)??吹狡髽I(yè)密鑰從個(gè)人git存儲(chǔ)庫(kù)中流出。”
GitGuardian在報(bào)告中建議,公司應(yīng)將開發(fā)人員更密切地納入到應(yīng)用安全維護(hù)工作當(dāng)中來(lái),并設(shè)立責(zé)任共擔(dān)模型。相比應(yīng)用安全人員獨(dú)力承擔(dān)安全維護(hù)工作,納入開發(fā)人員可以多解決72%的事件,且修復(fù)速度能夠翻倍。
報(bào)告指出:“通過(guò)將漏洞掃描集成到開發(fā)工作流程,安全便不再成為瓶頸:你可以幫助開發(fā)人員盡早捕獲漏洞,大幅降低修復(fù)成本。對(duì)蔓延非常敏感的秘密檢測(cè)則更是如此?!?/span>
來(lái)源:數(shù)世咨詢