**BOSTON, USA, 11. března 2025/CyberNewsWire/--**GitGuardian, bezpečnostní lídr stojící za nejinstalovanější aplikací GitHub, dnes zveřejnil svou komplexní zprávu „2025 State of Secrets Spawl Report“, která odhaluje rozšířenou a přetrvávající bezpečnostní krizi, která ohrožuje organizace všech velikostí. Zpráva odhaluje 25% nárůst uniklých tajemství meziročně, přičemž jen v roce 2024 bylo na veřejném GitHubu zjištěno 23,8 milionu nových přihlašovacích údajů. Nejzajímavější pro lídry podnikové bezpečnosti: 70 % tajemství uniklých v roce 2022 zůstává aktivních dodnes, což vytváří rozšiřující se plochu pro útoky, která je každým dnem nebezpečnější. "Exploze uniklých tajemství představuje jednu z nejvýznamnějších, ale podceňovaných hrozeb v oblasti kybernetické bezpečnosti," řekl Eric Fourrier, generální ředitel GitGuardian. "Na rozdíl od sofistikovaných zero-day exploitů útočníci nepotřebují pokročilé dovednosti, aby mohli tyto zranitelnosti zneužít - pouze jedno odhalené pověření může poskytnout neomezený přístup ke kritickým systémům a citlivým datům." Eric Fourrier poukazuje na porušení ministerstva financí USA v roce 2024 jako varování: "Jeden uniklý klíč API z BeyondTrust umožnil útočníkům infiltrovat odhalený sofistikovaný případ útoku, který nebyl obejit. miliony do bezpečnostních investic." Klíčová zjištění pro bezpečnostní lídry Zpráva identifikuje několik kritických trendů, které vyžadují okamžitou pozornost: Slepý úhel: Obecná tajemství Navzdory tomu, že GitHub Push Protection pomáhá vývojářům detekovat známé tajné vzory, generická tajemství – včetně pevně zakódovaných hesel, přihlašovacích údajů k databázi a vlastních ověřovacích tokenů – nyní představují více než polovinu všech zjištěných úniků. Tyto přihlašovací údaje postrádají standardizované vzory, takže je téměř nelze detekovat běžnými nástroji. Soukromá úložiště: Falešný pocit bezpečí Analýza odhaluje překvapivou pravdu: plných 35 % všech naskenovaných soukromých úložišť obsahovalo alespoň jedno tajemství v otevřeném textu, což nabourává běžný předpoklad, že soukromá úložiště jsou bezpečná: Klíče AWS IAM se objevily v prostém textu v 8,17 % soukromých úložišť – více než 5× častěji než ve veřejných (1,45 %) Obecná hesla se objevila téměř 3× častěji v soukromých repozitářích (24,1 %) ve srovnání s veřejnými (8,94 %) Přihlašovací údaje MongoDB byly nejčastěji uniklým tajným typem ve veřejných úložištích (18,84 %) "Uniklá tajemství v úložištích soukromého kódu musí být považována za kompromitovaná," zdůraznil Eric Fourrier. "Bezpečnostní týmy musí uznat, že s tajemstvími by se mělo zacházet jako s citlivými údaji bez ohledu na to, kde sídlí." Beyond Code: Secrets Spawl napříč SDLC Pevně zakódovaná tajemství jsou všude, ale zejména v bezpečnostních slepých bodech, jako jsou platformy pro spolupráci a prostředí kontejnerů, kde jsou bezpečnostní kontroly obvykle slabší: Slack: 2,4 % kanálů v analyzovaných pracovních prostorech obsahovalo uniklá tajemství Jira: 6,1 % tiketů odhalilo přihlašovací údaje, což z něj dělá nejzranitelnější nástroj pro spolupráci DockerHub: 98 % zjištěných tajemství bylo vloženo výhradně do obrazových vrstev, přičemž aktuálně je vystaveno více než 7 000 platných klíčů AWS Krize nelidské identity Nelidské identity (NHI) – včetně klíčů API, servisních účtů a automatizačních tokenů – nyní ve většině organizací výrazně převyšují lidské identity. Těmto přihlašovacím údajům však často chybí správná správa životního cyklu a rotace, což vytváří přetrvávající zranitelnosti. Vedoucí bezpečnosti ve společnosti Fortune 500 tuto výzvu uznal: "Naším cílem je každoročně střídat tajemství, ale prosazování je v našem prostředí obtížné. Některá pověření zůstala po léta nezměněna." Tajemství manažeři: Není úplná odpověď Dokonce i organizace používající řešení pro správu tajemství zůstávají zranitelné. Studie 2 584 úložišť využívajících správce tajemství odhalila 5,1% míru úniku tajných informací — daleko od téměř nuly, kterou očekáváme. To překonává celkový průměr GitHubu 4,6 %. Mezi běžné problémy patří: Tajemství extrahovaná od správců tajemství a pevně zakódovaná jinde Nezabezpečené ověřování správcům tajných informací, kteří odhalují přístupové údaje Roztříštěná správa kvůli tajemstvím, které se rozprostírají mezi několika správci tajemství Cesta vpřed: Komplexní zabezpečení tajemství Jak se zrychluje kód generovaný umělou inteligencí, automatizace a vývoj nativních cloudů, zpráva předpovídá, že rozšiřování tajemství bude jen intenzivnější. Přestože Push Protection GitHubu omezila některé úniky, ponechává značné mezery – zejména u obecných tajemství, soukromých úložišť a nástrojů pro spolupráci. „Pro CISO a bezpečnostní lídry není cílem jen detekce – je to náprava těchto zranitelností předtím, než budou zneužity,“ řekl Eric Fourrier. "To vyžaduje komplexní přístup, který zahrnuje automatizované zjišťování, detekci, nápravu a silnější správu tajemství napříč všemi podnikovými platformami." Zpráva končí strategickým rámcem pro organizace, aby se zabývaly tajemstvím, které se šíří prostřednictvím: Nasazení monitorování vystavených přihlašovacích údajů ve všech prostředích Implementace centralizované detekce a nápravy tajemství Zavedení poloautomatických zásad rotace pro všechna pověření Vytvoření jasných pokynů pro vývojáře pro bezpečné používání trezoru Chcete-li si přečíst celou zprávu o rozrůstání stavu tajemství za rok 2025, uživatelé mohou navštívit . GitGuardian.com Další zdroje GitGuardian – webové stránky The State of Secrets Spawl 2025 O GitGuardian je komplexní bezpečnostní platforma NHI, která umožňuje softwarově řízeným organizacím zlepšit jejich zabezpečení Non-Human Identity (NHI) a dodržovat průmyslové standardy. Vzhledem k tomu, že se útočníci stále častěji zaměřují na NHI, jako jsou servisní účty a aplikace, GitGuardian integruje Secrets Security a NHI Governance. GitGuardian Tento duální přístup umožňuje odhalit ohrožená tajemství napříč vašimi vývojovými prostředími a zároveň spravovat nelidské identity a životní cykly jejich tajemství. Platforma je celosvětově nejinstalovanější aplikací GitHub a podporuje více než 450+ typů tajemství, nabízí veřejné monitorování uniklých dat a nasazuje honeytokeny pro přidanou obranu. GitGuardian, kterému důvěřuje více než 600 000 vývojářů, je volbou předních organizací jako Snowflake, ING, BASF a Bouygues Telecom pro robustní ochranu tajemství. Kontakt Kontakt pro média Holly Hagermanová Připojte marketing hollyh@connectmarketing.com +1(801) 373-7888 Tento příběh byl distribuován jako vydání společností Cybernewswire v rámci programu Business Blogging Program HackerNoon. Zjistěte více o programu zde
