GitGuardian 的研究發現,75% 的受訪者過去曾經經歷過涉及公司機密的資料外洩,包括 API 金鑰、使用者名稱、密碼和加密金鑰。
文/Shweta Sharma‧譯/Frances
根據程式碼安全平台 GitGuardian 的報告,英美組織中約有 52% 的資安長(CISO)認為無法完全保護其公司機密。該報告指出,儘管英美機密管理做法相較之下已較為成熟,但仍然有很長的路要走。
在這份調查中,大約四分之三的受訪者報告至少一次的資料外洩情況。
這項由 Sapio Research 委託進行的研究,分析了 507 名 IT 決策者的回應,包括 IT 主管、IT VP、CIO、CSO、CISO 和資訊安全 VP,以評估在 DevOps 環境中暴露機密所帶來的風險意識。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
GitGuardian 的資安專家 Thomas Segura 表示:「每年,GitGuardian 都會發布我們的年度《機密散佈狀況》報告,報告中我們公開 GitHub 上發現的機密數量增長的情況。透過這項新研究,我們的目標是更深入地了解業界對於這個問題的認知,以及負責安全的主管所遇到的障礙。」
這項名為「實務者之聲」(Voice of Practitioners)的研究,延續了 GitGuardian 在今年早先發布的「2023 機密散佈狀況」(State of Secrets Sprawl 2023)報告,該報告揭示了公司在 2022 年在公開的 Github 上檢測到一千萬個機密原始碼,較去年增加了 67%。
對於機密外洩 產業持保守態度
該研究顯示,英美組織的 IT 部門中,有相當大的一部分人意識到機密資料外洩的危險性。75% 的受訪者表示,過去在他們的組織中曾經發生過機密外洩,其中 60% 承認這對公司、員工或兩者都造成了嚴重的問題。
這些外洩的機密包括 API 金鑰、使用者名稱、密碼和加密金鑰等等。只有 10% 的曾經在過去發生外洩的受訪者表示,該外洩並未影響公司或其員工。
在被問及他們軟體供應鏈中的主要風險點時,58% 的人將「原始碼和資料儲存庫」視為核心風險區域,另有 53% 和 47% 的人分別指出「依賴開放原始碼」和「將安全參數寫死」(hard-coded secrets)為令人擔憂的問題點。
「儲存庫有豐富的機密資料,成為安全漏洞是非常可能的,」Enterprise Strategy Group 分析師 Melinda Marks 表示。「重要的是要記住,雲原生應用程式安全不僅僅是用以保護應用程式內的程式碼,還必須保護用於執行和建構應用程式的所有元件。而持續整合/持續交付(CI/CD)流程及其相關的儲存庫,使團隊能夠快速建構應用程式並進行協作,直接推動了雲原生開發的效率。」
根據 GitGuardian 的研究,這些數據基本上意味著「大部分受訪者認為機密保護是應用程式風險管理的關鍵組成部分」。
管理層是否做好準備?
儘管該領域的機密管理實踐已經有所成熟,但仍有很長的路要走。關於安全專業人員目前能防止機密外洩到什麼程度的問項,獲得了許多種回應。有 48% 的受訪者表示他們很大程度上能夠防止此類外洩,其他的回答則分別是「在某種程度上」或「很少」能夠防止。
此外,在被問及他們的程式編寫安全參數的策略時,27% 的受訪者透露,他們依賴手動審查來檢測是否寫死,這顯示了一種過時且無效的機密管理方式;此外,17% 的人認為他們不需要機密偵測,因為他們使用機密管理員或保險庫,還有 3% 的人承認根本沒有任何策略。
相當大比例(53%)的高階安全人員回答,開發團隊內部正在以明文訊息傳送機密資料。
[ 推薦閱讀:企業機密管理快速入門指南 ]
「我認為最大的問題在於,開發人員在撰寫程式碼時可能會不小心洩露密碼,他們在提交程式碼時會忘了移除重要數據、憑證或密碼。開發人員的訓練和意識很重要,同時也需要給他們容易找到和修正安全問題的工具。」Marks 這樣說。
該研究指出,與其他工具,尤其是執行時期保護工具相比,「機密偵測和修復」以及「機密管理」的優先順序在投資方面較低。雖然有 38% 的受訪者透露計劃投資於執行時期應用程式保護工具,但只有 26% 和 25% 分別表示他們將投入資金進行機密偵測和修復以及機密管理。
然而,GitGuardian 的研究結果確實揭示了一個正面的一面,即 94% 的受訪者表示,他們在某種程度上考慮在未來 12 至18個月內改善他們的機密管理措施。
自動程式碼審查和機密掃描工具可以提供幫助
根據 Segura 的說法,程式碼審查可以透過自動化的程式碼驗證來加強,例如進行靜態分析(SAST)、軟體組成分析(SCA)以及機密掃描。
Segura 表示:「後者是必要的,因為某個機密可能已被刪除,但仍存在歷史程式碼中而在審查者的眼前隱藏了,而仍然代表著一個漏洞。」
GitGuardian 表示,僅依賴機密掃描工具不足以保障你的組織安全。
Melinda Marks 表示:「機密掃描工具確實有助益。但機密所面臨的更大問題在於其發佈速度和數量的增加。機密是一個在雲原生開發中可能快速擴展的元素。所以,不僅僅是是否有掃描,更重要的是掃描的有效性,以減少假陽性,然後具備背景資料以進行有效的修復,以降低安全風險。」
該研究建議採取預提交(pre-commit)措施來防止機密外洩,因為修復可能很棘手,對於外洩機密的背景資訊收集以進行優先排序非常重要,而這可能會帶來摩擦。
(本文授權非營利轉載,請註明出處:CIO Taiwan)