Sign in Subscribe
Новости

Отчет GitGuardian: 70% утечек секретов остаются активными в течение двух лет, требуя немедленного устранения

Silver Ghost

Silver Ghost

3 min read
Отчет GitGuardian: 70% утечек секретов остаются активными в течение двух лет, требуя немедленного устранения

GitGuardian, лидер в области безопасности, стоящий за самым устанавливаемым приложением GitHub, сегодня опубликовал всеобъемлющий отчет «Состояние утечек секретов 2025 года», раскрывающий масштабный и устойчивый кризис безопасности, угрожающий организациям всех размеров.

В отчете отмечается рост утечек секретов на 25% по сравнению с предыдущим годом, при этом только в 2024 году на публичном GitHub было обнаружено 23,8 миллиона новых учетных данных.

Наиболее тревожным для руководителей служб безопасности является то, что 70% секретов, утекших в 2022 году, остаются активными и сегодня, создавая расширяющуюся поверхность атаки, которая становится все более опасной с каждым днем.

«Взрывной рост утечек секретов представляет собой одну из самых значительных, но недооцененных угроз в кибербезопасности», — заявил Эрик Фурье, генеральный директор GitGuardian.

«В отличие от сложных эксплуатов нулевого дня, злоумышленникам не нужны продвинутые навыки для использования этих уязвимостей — достаточно одной раскрытой учетной записи, чтобы получить неограниченный доступ к критическим системам и конфиденциальным данным».

Эрик Фурье указывает на утечку данных в Министерстве финансов США в 2024 году как на предупреждение: «Один утекший API-ключ от BeyondTrust позволил злоумышленникам проникнуть в правительственные системы. Это не была сложная атака — это был простой случай раскрытия учетной записи, который обошел миллионы инвестиций в безопасность».

Ключевые выводы для руководителей служб безопасности

Отчет выделяет несколько критических тенденций, требующих немедленного внимания:

Слепая зона: общие секреты

Несмотря на то, что GitHub Push Protection помогает разработчикам обнаруживать известные шаблоны секретов, общие секреты, включая жестко закодированные пароли, учетные данные баз данных и пользовательские токены аутентификации, теперь составляют более половины всех обнаруженных утечек. Эти учетные данные не имеют стандартизированных шаблонов, что делает их практически невозможными для обнаружения с помощью обычных инструментов.

Частные репозитории: ложное чувство безопасности

Анализ показывает тревожную истину: целых 35% всех просканированных частных репозиториев содержали хотя бы один секрет в открытом тексте, разрушая общее предположение, что частные репозитории безопасны:

  • Ключи AWS IAM встречались в открытом тексте в 8,17% частных репозиториев — более чем в 5 раз чаще, чем в публичных (1,45%).
  • Общие пароли встречались почти в 3 раза чаще в частных репозиториях (24,1%) по сравнению с публичными (8,94%).
  • Учетные данные MongoDB были наиболее часто утекающим типом секретов в публичных репозиториях (18,84%).

«Утекшие секреты в частных репозиториях кода должны рассматриваться как скомпрометированные», — подчеркнул Эрик Фурье. «Команды безопасности должны признать, что секреты должны рассматриваться как конфиденциальные данные, независимо от их местонахождения».

За пределами кода: утечки секретов по всему жизненному циклу разработки

Жестко закодированные секреты встречаются повсюду, но особенно в слепых зонах безопасности, таких как платформы для совместной работы и контейнерные среды, где контроль безопасности обычно слабее:

  • Slack: 2,4% каналов в проанализированных рабочих пространствах содержали утекшие секреты.
  • Jira: 6,1% тикетов раскрывали учетные данные, что делает его самым уязвимым инструментом для совместной работы.
  • DockerHub: 98% обнаруженных секретов были встроены исключительно в слои образов, при этом более 7000 действующих ключей AWS в настоящее время раскрыты.

Кризис нечеловеческих идентичностей

Нечеловеческие идентичности (NHI), включая API-ключи, сервисные учетные записи и токены автоматизации, теперь значительно превосходят по численности человеческие идентичности в большинстве организаций. Однако эти учетные данные часто не имеют должного управления жизненным циклом и ротации, создавая постоянные уязвимости.

Руководитель службы безопасности компании из списка Fortune 500 признал эту проблему: «Мы стремимся обновлять секреты ежегодно, но обеспечение соблюдения в нашей среде затруднительно. Некоторые учетные данные остаются неизменными в течение многих лет».

Менеджеры секретов: не полное решение

Даже организации, использующие решения для управления секретами, остаются уязвимыми. Исследование 2584 репозиториев, использующих менеджеры секретов, выявило уровень утечек секретов в 5,1% — далеко не тот почти нулевой уровень, который мы ожидаем. Это превышает средний показатель по GitHub в 4,6%.

Общие проблемы включают:

  • Секреты, извлеченные из менеджеров секретов и жестко закодированные в другом месте.
  • Небезопасная аутентификация в менеджерах секретов, раскрывающая доступные учетные данные.
  • Фрагментированное управление из-за утечек секретов через несколько менеджеров секретов.

Путь вперед: комплексная безопасность секретов

По мере ускорения использования кода, генерируемого с помощью ИИ, автоматизации и облачных разработок, отчет прогнозирует, что утечки секретов будут только усиливаться. Хотя GitHub Push Protection сократила некоторые утечки, она оставляет значительные пробелы, особенно с общими секретами, частными репозиториями и инструментами для совместной работы.

«Для CISO и руководителей служб безопасности цель не только в обнаружении — это устранение этих уязвимостей до их использования», — сказал Эрик Фурье. «Это требует комплексного подхода, включающего автоматическое обнаружение, выявление, устранение и более строгое управление секретами на всех корпоративных платформах».

Отчет завершается стратегической рамкой для организаций по борьбе с утечками секретов через:

  • Внедрение мониторинга раскрытых учетных данных во всех средах.
  • Реализацию централизованного обнаружения и устранения секретов.
  • Установление полуавтоматических политик ротации для всех учетных данных.
  • Создание четких руководств для разработчиков по безопасному использованию хранилищ.

Чтобы прочитать полный отчет «Состояние утечек секретов 2025 года», пользователи могут посетить сайт GitGuardian.com.

Дополнительные ресурсы

О GitGuardian

GitGuardian — это комплексная платформа безопасности NHI, которая помогает организациям, ориентированным на программное обеспечение, улучшить безопасность нечеловеческих идентичностей (NHI) и соответствовать отраслевым стандартам. С увеличением числа атак на NHI, такие как сервисные учетные записи и приложения, GitGuardian интегрирует безопасность секретов и управление NHI. Этот двойной подход позволяет обнаруживать скомпрометированные секреты в ваших средах разработки, а также управлять нечеловеческими идентичностями и жизненным циклом их секретов. Платформа является самым устанавливаемым приложением GitHub в мире, поддерживает более 450 типов секретов, предлагает публичный мониторинг утечек данных и использует медовые токены для дополнительной защиты. Доверие более 600 000 разработчиков делает GitGuardian выбором ведущих организаций, таких как Snowflake, ING, BASF и Bouygues Telecom, для надежной защиты секретов.

Read more

🔄 Своя Dropbox-альтернатива: Syncthing

🔄 Своя Dropbox-альтернатива: Syncthing

🧠 Зачем? Облачные сервисы — удобно, но: * не хочется платить Google/Dropbox за хранение своих файлов * хочется моментально синхронизировать фото, документы и заметки между устройствами * и делать это на своём сервере, без отправки данных «в облако» 👉 Решение — Syncthing: децентрализованный, зашифрованный, open source-синк между любыми устройствами. 🚀 Что ты получишь? * 📂 Автосинк папок между сервером,
🎧 Свой подкаст-сервер за 5 минут: Podgrab

🎧 Свой подкаст-сервер за 5 минут: Podgrab

✨ Зачем? Подкасты — отличный способ учиться, развлекаться и быть в курсе мира. Но что, если: * Хочется слушать подкасты офлайн * Хочется архивировать любимые шоу * Не устраивают сторонние сервисы, реклама и трекеры Решение: Podgrab — простой подкаст-граббер, который автоматически скачивает новые выпуски с любого RSS. А в связке с Audiobookshelf ты получаешь полноценный медиасервер.
Безопасное управление конфигурациями в Ansible: Полное руководство по использованию rescue и always

Безопасное управление конфигурациями в Ansible: Полное руководство по использованию rescue и always

Введение: Почему это важно В мире DevOps и системного администрирования существует простое правило: всё ломается. Особенно в самый неподходящий момент. Когда вы изменяете конфигурацию критического сервиса (например, Nginx), цена ошибки может быть очень высока — от простого даунтайма до потери данных. Ansible предлагает элегантное решение для безопасного внесения изменений через механизм
Использование ~/.ssh/authorized_keys для управления входящими SSH-соединениями

Использование ~/.ssh/authorized_keys для управления входящими SSH-соединениями

Файл ~/.ssh/authorized_keys позволяет настроить команды, которые будут выполняться при входящих SSH-соединениях. Это полезный инструмент для управления доступом и обеспечения безопасности, особенно при работе с резервным копированием данных. Настройка резервного копирования с использованием authorized_keys В данном примере рассматривается использование authorized_keys для настройки резервного копирования базы данных Bacula