Кодекс компаний раскрывает больше паролей и секретов



Согласно новому отчету GitGuardian, опубликованному сегодня, в 2021 году организации утекли более 6 миллионов паролей, ключей API и других конфиденциальных данных, известных под общим названием «секреты разработки», что вдвое больше, чем в предыдущем году. В отчете учитывается тот факт, что больше кода помещается в репозитории и доступны лучшие возможности обнаружения.

В среднем компания обнаружила, что три из каждых 1000 коммитов в GitHub раскрывали секрет, что на 50% выше, чем в 2020 году. Более половины секретов состояли из учетных данных для доступа к службам хранения данных, облачным провайдерам, частному ключу шифрования, или инструмент разработки, а еще 10% состояли из учетных данных для систем обмена сообщениями и платформ контроля версий.

Утечка конфиденциальной информации о доступе потенциальным злоумышленникам подрывает безопасность корпоративных сетей и инфраструктуры, говорит Маккензи Джексон, защитник разработчиков в GitGuardian. По словам GitGuardian, термин «секрет» относится к любым учетным данным цифровой аутентификации, которые «предоставляют доступ к службам, системам и данным», включая ключи API, учетные данные приложений или служб и сертификаты безопасности.

«Почти во всех атаках секреты так или иначе используются, возможно, не в качестве начального доступа, но, безусловно, для повышения привилегий злоумышленников и перемещения в другие системы», — говорит Джексон. «Мы были искренне удивлены, увидев этот резкий рост, но, очевидно, это связано с увеличением количества технологий, с которыми работают разработчики, и другими факторами, такими как удаленная работа».

Отчет следует за некоторыми значительными нарушениями в 2021 году, когда произошла утечка секретов. Год назад злоумышленники воспользовались уязвимостью в том, как фирма CodeCov, занимающаяся проверкой кода, создавала образы Docker, модифицировав инструмент загрузки, чтобы он также отправлял злоумышленникам учетные данные, что, вероятно, скомпрометировало процессы разработки сотен компаний. В ходе другого нарушения злоумышленники утекли исходный код с сайта потоковой передачи игр Twitch, открыв доступ к более чем 6000 репозиториев Git и 3 миллионам документов, а также к утечке более 6600 секретов разработки, которые могли быть использованы для дальнейших взломов.

Утечка секретов — непреодолимая проблема
В целом, согласно отчету GitGuardian, типичная компания с 400 разработчиками, сканирующая свои репозитории, обнаружила 1050 уникальных секретов, оставленных в коде разработчиков. Компания подчеркивает, что поиск и исправление утекших секретов выходит за рамки возможностей специалистов AppSec, которым поручено обеспечивать безопасность проектов разработки. По словам Джексона, в среднем каждому инженеру-программисту в компании приходится иметь дело с более чем 3400 утечками секретов.

«Это действительно невыполнимая задача — они полностью поглощены этой проблемой», — говорит он. «Чтобы решить эту проблему, мы должны предоставить разработчикам некоторую совместную ответственность, нам нужно предоставить разработчикам инструменты, и нам нужно иметь образование».

В этом году GitGuardian распространил свой анализ на общедоступные образы Docker и частные репозитории организаций. Кроме того, у компании есть более 350 различных шаблонов для обнаружения секретов, по сравнению с 250 детекторами, используемыми в 2020 году. Многие разработчики уделяют меньше внимания управлению секретами для частных репозиториев, полагая, что даже если секреты будут раскрыты, они не будут обнародованы. Однако, по словам Джексона, код имеет тенденцию распространяться по организации.

«Реальность такова, что сегодня код будет помещен в ваш личный репозиторий, затем он будет клонирован на всех ваших компьютерах разработчиков — возможно, на их личных и профессиональных компьютерах — и затем будет использоваться в системах обмена сообщениями», — говорит он. «Поэтому легко потерять след каждого места, куда идет код».

Согласно отчету GitGuardian, на утечки в частных репозиториях приходится подавляющее большинство инцидентов, при этом 85% утечек учетных данных для доступа к облаку Azure, например, происходят в частных репозиториях.

Личные проекты влияют на предприятия
Еще один интересный вывод из отчета заключается в том, что разработчики, как правило, раскрывают больше всего секретов в выходные и праздничные дни, что говорит о том, что они менее осторожны — или проводят меньше проверок безопасности — в своих личных проектах.

Однако эти утечки по-прежнему ставят под угрозу безопасность компаний, говорит Джексон.

«GitHub совершенно уникален в том смысле, что если у вас есть учетная запись на GitHub.com, и если ваша организация использует GitHub, то вы можете использовать одну и ту же учетную запись для обоих, создавая странную путаницу между работой и личным развитием. ,” он говорит. «Таким образом, в том, что мы видим, много общего — корпоративные ключи просачиваются в личные репозитории git».

Компаниям следует более тесно привлекать разработчиков к вопросам безопасности приложений и создавать модель общей ответственности, говорится в отчете GitGuardian. Привлечение разработчика приводит к закрытию на 72 % больше инцидентов и устранению в два раза быстрее, чем когда профессионалам AppSec приходится делать это в одиночку.

«Благодаря интеграции сканирования уязвимостей в рабочий процесс разработки безопасность больше не является узким местом — вы можете помочь разработчикам обнаруживать уязвимости на самой ранней стадии и значительно сократить расходы на устранение», — говорится в отчете. «Это еще более верно для обнаружения секретов, которые очень чувствительны к расползанию».

https://cyberxhack.org/