Отчет GitGuardian: 70% утечек секретов остаются активными в течение двух лет, требуя немедленного устранения
GitGuardian, лидер в области безопасности, стоящий за самым устанавливаемым приложением GitHub, сегодня опубликовал всеобъемлющий отчет «Состояние утечек секретов 2025 года», раскрывающий масштабный и устойчивый кризис безопасности, угрожающий организациям всех размеров.
В отчете отмечается рост утечек секретов на 25% по сравнению с предыдущим годом, при этом только в 2024 году на публичном GitHub было обнаружено 23,8 миллиона новых учетных данных.
Наиболее тревожным для руководителей служб безопасности является то, что 70% секретов, утекших в 2022 году, остаются активными и сегодня, создавая расширяющуюся поверхность атаки, которая становится все более опасной с каждым днем.
«Взрывной рост утечек секретов представляет собой одну из самых значительных, но недооцененных угроз в кибербезопасности», — заявил Эрик Фурье, генеральный директор GitGuardian.
«В отличие от сложных эксплуатов нулевого дня, злоумышленникам не нужны продвинутые навыки для использования этих уязвимостей — достаточно одной раскрытой учетной записи, чтобы получить неограниченный доступ к критическим системам и конфиденциальным данным».
Эрик Фурье указывает на утечку данных в Министерстве финансов США в 2024 году как на предупреждение: «Один утекший API-ключ от BeyondTrust позволил злоумышленникам проникнуть в правительственные системы. Это не была сложная атака — это был простой случай раскрытия учетной записи, который обошел миллионы инвестиций в безопасность».
Ключевые выводы для руководителей служб безопасности
Отчет выделяет несколько критических тенденций, требующих немедленного внимания:
Слепая зона: общие секреты
Несмотря на то, что GitHub Push Protection помогает разработчикам обнаруживать известные шаблоны секретов, общие секреты, включая жестко закодированные пароли, учетные данные баз данных и пользовательские токены аутентификации, теперь составляют более половины всех обнаруженных утечек. Эти учетные данные не имеют стандартизированных шаблонов, что делает их практически невозможными для обнаружения с помощью обычных инструментов.
Частные репозитории: ложное чувство безопасности
Анализ показывает тревожную истину: целых 35% всех просканированных частных репозиториев содержали хотя бы один секрет в открытом тексте, разрушая общее предположение, что частные репозитории безопасны:
- Ключи AWS IAM встречались в открытом тексте в 8,17% частных репозиториев — более чем в 5 раз чаще, чем в публичных (1,45%).
- Общие пароли встречались почти в 3 раза чаще в частных репозиториях (24,1%) по сравнению с публичными (8,94%).
- Учетные данные MongoDB были наиболее часто утекающим типом секретов в публичных репозиториях (18,84%).
«Утекшие секреты в частных репозиториях кода должны рассматриваться как скомпрометированные», — подчеркнул Эрик Фурье. «Команды безопасности должны признать, что секреты должны рассматриваться как конфиденциальные данные, независимо от их местонахождения».
За пределами кода: утечки секретов по всему жизненному циклу разработки
Жестко закодированные секреты встречаются повсюду, но особенно в слепых зонах безопасности, таких как платформы для совместной работы и контейнерные среды, где контроль безопасности обычно слабее:
- Slack: 2,4% каналов в проанализированных рабочих пространствах содержали утекшие секреты.
- Jira: 6,1% тикетов раскрывали учетные данные, что делает его самым уязвимым инструментом для совместной работы.
- DockerHub: 98% обнаруженных секретов были встроены исключительно в слои образов, при этом более 7000 действующих ключей AWS в настоящее время раскрыты.
Кризис нечеловеческих идентичностей
Нечеловеческие идентичности (NHI), включая API-ключи, сервисные учетные записи и токены автоматизации, теперь значительно превосходят по численности человеческие идентичности в большинстве организаций. Однако эти учетные данные часто не имеют должного управления жизненным циклом и ротации, создавая постоянные уязвимости.
Руководитель службы безопасности компании из списка Fortune 500 признал эту проблему: «Мы стремимся обновлять секреты ежегодно, но обеспечение соблюдения в нашей среде затруднительно. Некоторые учетные данные остаются неизменными в течение многих лет».
Менеджеры секретов: не полное решение
Даже организации, использующие решения для управления секретами, остаются уязвимыми. Исследование 2584 репозиториев, использующих менеджеры секретов, выявило уровень утечек секретов в 5,1% — далеко не тот почти нулевой уровень, который мы ожидаем. Это превышает средний показатель по GitHub в 4,6%.
Общие проблемы включают:
- Секреты, извлеченные из менеджеров секретов и жестко закодированные в другом месте.
- Небезопасная аутентификация в менеджерах секретов, раскрывающая доступные учетные данные.
- Фрагментированное управление из-за утечек секретов через несколько менеджеров секретов.
Путь вперед: комплексная безопасность секретов
По мере ускорения использования кода, генерируемого с помощью ИИ, автоматизации и облачных разработок, отчет прогнозирует, что утечки секретов будут только усиливаться. Хотя GitHub Push Protection сократила некоторые утечки, она оставляет значительные пробелы, особенно с общими секретами, частными репозиториями и инструментами для совместной работы.
«Для CISO и руководителей служб безопасности цель не только в обнаружении — это устранение этих уязвимостей до их использования», — сказал Эрик Фурье. «Это требует комплексного подхода, включающего автоматическое обнаружение, выявление, устранение и более строгое управление секретами на всех корпоративных платформах».
Отчет завершается стратегической рамкой для организаций по борьбе с утечками секретов через:
- Внедрение мониторинга раскрытых учетных данных во всех средах.
- Реализацию централизованного обнаружения и устранения секретов.
- Установление полуавтоматических политик ротации для всех учетных данных.
- Создание четких руководств для разработчиков по безопасному использованию хранилищ.
Чтобы прочитать полный отчет «Состояние утечек секретов 2025 года», пользователи могут посетить сайт GitGuardian.com.
Дополнительные ресурсы
О GitGuardian
GitGuardian — это комплексная платформа безопасности NHI, которая помогает организациям, ориентированным на программное обеспечение, улучшить безопасность нечеловеческих идентичностей (NHI) и соответствовать отраслевым стандартам. С увеличением числа атак на NHI, такие как сервисные учетные записи и приложения, GitGuardian интегрирует безопасность секретов и управление NHI. Этот двойной подход позволяет обнаруживать скомпрометированные секреты в ваших средах разработки, а также управлять нечеловеческими идентичностями и жизненным циклом их секретов. Платформа является самым устанавливаемым приложением GitHub в мире, поддерживает более 450 типов секретов, предлагает публичный мониторинг утечек данных и использует медовые токены для дополнительной защиты. Доверие более 600 000 разработчиков делает GitGuardian выбором ведущих организаций, таких как Snowflake, ING, BASF и Bouygues Telecom, для надежной защиты секретов.
