Mendeteksi kredensial bocor hanya setengah dari pertempuran. Tantangan sebenarnya – dan seringkali setengah dari persamaan yang diabaikan – adalah apa yang terjadi setelah deteksi. Penelitian baru dari laporan Gitguardian's Secrets Secrets Sprawl 2025 mengungkapkan tren yang mengganggu: sebagian besar yang terpapar perusahaan Rahasia yang ditemukan dalam repositori publik tetap berlaku selama bertahun -tahun setelah deteksi, menciptakan permukaan serangan yang berkembang yang banyak organisasi gagal atasi.
Menurut analisis GitGuardian tentang rahasia yang diekspos di seluruh repositori gitub publik, persentase kredensial yang mengkhawatirkan yang terdeteksi sejauh 2022 tetap valid saat ini:
“Mendeteksi rahasia yang bocor hanyalah langkah pertama,” kata tim peneliti Gitguardian. “Tantangan sebenarnya terletak pada perbaikan cepat.”
Mengapa rahasia yang terbuka tetap valid
Validitas persisten ini menunjukkan dua kemungkinan yang mengganggu: Organisasi tidak mengetahui bahwa kredensial mereka telah terungkap (masalah visibilitas keamanan), atau mereka tidak memiliki sumber daya, proses, atau urgensi untuk dengan benar Perbaiki mereka (Masalah operasi keamanan). Dalam kedua kasus, pengamatan yang memprihatinkan adalah bahwa rahasia -rahasia itu bahkan tidak dicabut secara rutin, tidak secara otomatis dari kedaluwarsa default, atau secara manual sebagai bagian dari prosedur rotasi reguler.
Organisasi tetap tidak menyadari kredensial yang diekspos atau tidak memiliki sumber daya untuk mengatasinya secara efektif. Rahasia hardcoded berkembang biak di seluruh basis kode, membuat remediasi komprehensif menantang. Rotasi rahasia membutuhkan pembaruan terkoordinasi di seluruh layanan dan sistem, seringkali dengan dampak produksi.
Kendala sumber daya memaksa prioritas hanya eksposur risiko tertinggi, sementara sistem warisan menciptakan hambatan teknis dengan tidak mendukung pendekatan modern seperti kredensial sesaat.
Kombinasi visibilitas terbatas, kompleksitas operasional, dan keterbatasan teknis ini menjelaskan mengapa rahasia hardcoded sering tetap valid lama setelah paparan. Pindah ke Solusi Keamanan Rahasia Modern dengan sistem yang terpusat dan otomatis dan kredensial berumur pendek sekarang menjadi kebutuhan operasional, bukan hanya praktik terbaik keamanan.
Layanan mana yang paling berisiko? Tren
Di belakang statistik mentah terletak kenyataan yang mengkhawatirkan: sistem produksi kritis tetap rentan karena kredensial yang terpapar yang bertahan selama bertahun -tahun dalam repositori publik.
Analisis rahasia yang diekspos dari 2022-2024 mengungkapkan bahwa kredensial basis data, kunci cloud, dan token API untuk layanan penting terus tetap valid lama setelah paparan awal mereka. Ini Bukan kredensial pengujian atau pengembangan tetapi kunci otentik untuk lingkungan produksimewakili jalur langsung bagi penyerang untuk mengakses data pelanggan yang sensitif, infrastruktur, dan sistem bisnis-kritis.
Layanan sensitif masih terpapar (2022-2024):
- MongoDB: Penyerang dapat menggunakannya untuk mengekspil atau data korup. Ini sangat sensitif, menawarkan akses potensial penyerang Informasi yang dapat diidentifikasi secara pribadi atau wawasan teknis yang dapat digunakan untuk eskalasi hak istimewa atau gerakan lateral.
- Google Cloud, AWS, Tencent Cloud: Cloud Keys ini memberikan potensi penyerang akses ke infrastruktur, kode, dan data pelanggan.
- MySQL/POSTGRESQL: Kredensial basis data ini tetap ada dalam kode publik setiap tahun juga.
Ini bukan kredensial tes, tetapi kunci untuk layanan langsung.
Selama tiga tahun terakhir, lanskap rahasia yang terpapar dalam repositori publik telah bergeser dengan cara yang mengungkapkan kemajuan dan risiko baru, terutama untuk kredensial cloud dan basis data. Sekali lagi, tren ini hanya mencerminkan yang telah ditemukan dan masih valid – artinya Mereka belum diperbaiki atau dicabut meskipun terpapar secara publik.
Untuk kredensial cloud, data menunjukkan tren kenaikan yang ditandai. Pada tahun 2023, kredensial cloud yang valid menyumbang hanya di bawah 10% dari semua rahasia yang diekspos masih aktif. Pada tahun 2024, bagian itu telah melonjak hingga hampir 16%. Peningkatan ini kemungkinan mencerminkan peningkatan adopsi infrastruktur cloud dan SaaS di lingkungan perusahaan, tetapi juga menggarisbawahi perjuangan berkelanjutan yang dihadapi banyak organisasi dalam mengelola akses cloud dengan aman – terutama ketika kecepatan dan kompleksitas pengembang meningkat.
Sebaliknya, eksposur kredensial basis data bergerak ke arah yang berlawanan. Pada tahun 2023, Kredensial database yang valid merupakan lebih dari 13% dari rahasia yang tidak terdeteksi terdeteksi, tetapi pada tahun 2024, angka itu turun menjadi kurang dari 7%. Penurunan ini dapat menunjukkan bahwa upaya kesadaran dan perbaikan di sekitar kredensial basis data-terutama mengikuti pelanggaran profil tinggi dan peningkatan penggunaan layanan database yang dikelola-mulai membuahkan hasil.
Takeaway secara keseluruhan bernuansa: sementara organisasi mungkin menjadi lebih baik dalam melindungi rahasia basis data tradisional, kenaikan cepat dalam eksposur kredensial cloud yang valid dan tidak terdepremasi menunjukkan bahwa jenis rahasia baru mengambil tempat mereka sebagai yang paling umum dan berisiko. Ketika arsitektur cloud-asli menjadi norma, kebutuhan akan manajemen rahasia otomatis, kredensial berumur pendek, dan remediasi yang cepat lebih mendesak dari sebelumnya.
Strategi remediasi praktis untuk kredensial berisiko tinggi
Untuk mengurangi risiko yang ditimbulkan oleh terpapar Kredensial Mongodborganisasi harus bertindak dengan cepat untuk memutar apa pun yang mungkin bocor dan mengatur IP memungkinkan untuk membatasi siapa yang dapat mengakses database. Mengaktifkan pencatatan audit juga merupakan kunci untuk mendeteksi aktivitas mencurigakan secara real time dan membantu penyelidikan setelah pelanggaran. Untuk keamanan jangka panjang, pindah dari kata sandi hardcoded dengan memanfaatkan rahasia dinamis. Jika Anda menggunakan MongoDB Atlas, akses terprogram ke rotasi kata sandi dimungkinkan melalui API sehingga Anda dapat membuat pipa CI/CD Anda secara rutin memutar rahasia, bahkan jika Anda belum mendeteksi paparan.
Google Cloud Keys
Jika a Google Cloud Key Pernah ditemukan terbuka, langkah teraman adalah pencabutan langsung. Untuk mencegah risiko di masa depan, transisi dari kunci akun layanan statis ke metode otentikasi modern, berumur pendek: Gunakan federasi identitas beban kerja untuk beban kerja eksternal, lampirkan akun layanan langsung ke Google Cloud Resources, atau mengimplementasikan peniruan akun layanan ketika akses pengguna diperlukan. Menegakkan rotasi kunci reguler dan menerapkan prinsip -prinsip hak istimewa paling sedikit untuk semua akun layanan untuk meminimalkan dampak potensial dari setiap paparan.
Kredensial AWS IAM
Untuk Kredensial AWS IAMrotasi langsung sangat penting jika dicurigai. Pertahanan jangka panjang terbaik adalah menghilangkan kunci akses pengguna yang berumur panjang sepenuhnya, memilih peran IAM dan AWS STS untuk memberikan kredensial sementara untuk beban kerja. Untuk sistem di luar AWS, leverage peran IAM di mana saja. Audit secara rutin kebijakan akses Anda dengan AWS IAM Access Analyzer dan aktifkan AWS CloudTrail untuk penebangan komprehensif, sehingga Anda dapat dengan cepat melihat dan menanggapi penggunaan kredensial yang mencurigakan.
Dengan mengadopsi praktik manajemen rahasia modern ini-berfokus pada kredensial dan otomatisasi dinamis yang berumur pendek-organisasi dapat secara signifikan mengurangi risiko yang ditimbulkan oleh rahasia yang terpapar dan menjadikan remediasi sebagai proses rutin yang dapat dikelola daripada bor api.
Integrasi manajer rahasia juga dapat membantu menyelesaikan tugas ini secara otomatis.
Kesimpulan
Validitas rahasia rahasia yang terpapar mewakili risiko keamanan yang signifikan dan sering diabaikan. Sementara deteksi sangat penting, organisasi harus memprioritaskan remediasi yang cepat dan bergeser ke arah arsitektur yang meminimalkan dampak paparan kredensial.
Seperti yang ditunjukkan oleh data kami, masalahnya semakin buruk, tidak lebih baik – dengan lebih banyak rahasia tetap valid lebih lama setelah paparan. Dengan menerapkan praktik manajemen rahasia yang tepat dan menjauh dari kredensial yang berumur panjang, organisasi dapat secara signifikan mengurangi permukaan serangan mereka dan mengurangi dampak paparan yang tak terhindarkan.
Laporan State of Secrets Sprawl 2025 GitGuardian memberikan analisis komprehensif tren paparan rahasia dan strategi remediasi. Laporan lengkap ini tersedia di www.gitguardian.com/files/the-tate-of-secrets-sprawl-report-2025.
