Bugün yayınlanan yeni bir GitGuardian raporuna göre, organizasyonlar 2021’de 6 milyondan fazla şifreyi, API anahtarını ve toplu olarak geliştirme “sırları” olarak bilinen diğer hassas verileri sızdırdı ve bu sayı bir önceki yıla göre ikiye katlandı. Rapor, depolara daha fazla kodun gönderildiğini ve daha iyi algılama yeteneklerinin mevcut olduğunu açıkladı.
Ortalama olarak şirket, GitHub’a yapılan her 1000 taahhütten üçünün bir sır sızdırdığını tespit etti, bu sıklık 2020’den %50 daha yüksek. Sırların yarısından fazlası veri depolama hizmetlerine, bulut sağlayıcılarına, özel bir şifreleme anahtarına, veya bir geliştirme aracı, diğer %10’u ise mesajlaşma sistemleri ve sürüm kontrol platformları için kimlik bilgilerini içeriyordu.
GitGuardian’ın geliştirici savunucusu Mackenzie Jackson, hassas erişim bilgilerinin potansiyel saldırganlara sızdırılmasının kurumsal ağların ve altyapının güvenliğini baltaladığını söylüyor. GitGuardian, “gizli” terimi, API anahtarları, uygulama veya hizmet kimlik bilgileri ve güvenlik sertifikaları dahil olmak üzere “hizmetlere, sistemlere ve verilere erişim sağlayan” herhangi bir dijital kimlik doğrulama bilgilerini ifade eder.
Jackson, “Neredeyse tüm saldırılarda, sırlar şu veya bu şekilde, belki ilk erişim olarak değil, kesinlikle saldırganların ayrıcalıklarını yükseltmek ve farklı sistemlere geçmek için kullanılır” diyor. “Bu ciddi artışı görmek bizi gerçekten şaşırttı, ancak açıkçası bu, geliştiricilerin kullandığı artan teknoloji miktarına ve uzaktan çalışma gibi diğer faktörlere bağlı.”
Rapor, 2021’de sırların sızdırıldığı bazı önemli ihlalleri takip ediyor. Bir yıl önce saldırganlar, kod denetleme firması CodeCov’un Docker görüntülerini oluşturma biçimindeki bir güvenlik açığından yararlandı ve bir yükleme aracını saldırganlara kimlik bilgileri gönderecek şekilde değiştirerek, muhtemelen yüzlerce şirketin geliştirme süreçlerini tehlikeye attı. Başka bir ihlalde, saldırganlar oyun akışı sitesi Twitch’ten kaynak kodunu sızdırarak 6.000’den fazla Git deposunu ve 3 milyon belgeyi açığa çıkardı ve 6.600’den fazla geliştirme sırrını sızdırıyor daha fazla ihlal için kullanılabilirdi.
Sızan Sırlar Ezici Bir Sorun
Genel olarak, depolarını tarayan 400 geliştiriciye sahip tipik bir şirket, geliştiricilerin kodunda geride bırakılan 1.050 benzersiz sır keşfetti. GitGuardian raporuna göre. Şirket, sızan sırları bulmanın ve düzeltmenin, geliştirme projelerini güvende tutmakla görevli AppSec profesyonellerinin yeteneklerinin ötesinde olduğunu vurguluyor. Jackson, bir şirketteki her uygulama mühendisinin ortalama olarak 3.400’den fazla sızdırılmış sırla ilgilenmesi gerektiğini söylüyor.
“Bu gerçekten imkansız bir görev – sorundan tamamen bunalmış durumdalar” diyor. “Bunu çözmek için geliştiricilere bazı ortak sorumluluklar vermeliyiz, geliştiricileri araçlarla güçlendirmemiz ve eğitim almamız gerekiyor.”
GitGuardian, bu yıl analizini halka açık Docker görüntülerini ve kuruluşların özel depolarını kapsayacak şekilde genişletti. Buna ek olarak, şirketin sırları tespit etmek için 2020’de kullanılan 250 detektöre kıyasla 350’den fazla farklı modeli vardır. Birçok geliştirici, ifşa olsa bile sırların kamuya açıklanmayacağına inanarak özel depolar için sır yönetimine daha az dikkat eder. Ancak Jackson, kodun bir kuruluşa yayılma eğiliminde olduğunu söylüyor.
“Gerçek şu ki, bugün kod, özel deponuza girecek, ardından tüm geliştirici makinelerinize – belki de kişisel ve profesyonel makinelerine – klonlanacak ve ardından mesajlaşma sistemleri arasında paylaşılacak” diyor. “Yani kodun gittiği her yerin izini kaybetmek kolaydır.”
GitGuardian raporuna göre, özel depolardaki sızıntılar, örneğin özel depolarda meydana gelen Azure bulutuna erişmek için sızdırılan kimlik bilgilerinin %85’i ile olayların büyük çoğunluğundan sorumluydu.
Kişisel Projeler İşletmeleri Etkiler
Rapordan elde edilen bir başka ilginç bulgu, geliştiricilerin en fazla sırrı hafta sonları ve resmi tatillerde sızdırma eğiliminde olmaları, bu da onların kişisel projelerinde daha az dikkatli olduklarını veya daha az güvenlik kontrolüne sahip olduklarını gösteriyor.
Ancak Jackson, bu sızıntıların hala şirketlerin güvenliğini riske attığını söylüyor.
“GitHub, GitHub.com’da bir hesabınız varsa ve kuruluşunuz GitHub’ı kullanıyorsa, her ikisi için de aynı hesabı kullanabilirsiniz, bu da işin ne olduğu ve kişisel gelişimin ne olduğu arasında garip bir kafa karışıklığı yaratması anlamında oldukça benzersizdir. ,” diyor. “Yani, gördüğümüz şeyde çok fazla geçiş var – kişisel git depolarında şirket anahtarlarının sızdırılması.”
GitGuardian raporda, şirketlerin geliştiricileri uygulama güvenliğine daha yakından dahil etmesi ve paylaşılan bir sorumluluk modeli oluşturması gerektiğini belirtiyor. Bir geliştiriciyi dahil etmek, AppSec profesyonellerinin tek başına yapmak zorunda kaldığı duruma göre %72 daha fazla vakayı kapatma ve iki kat daha hızlı iyileştirme ile sonuçlanır.
Raporda, “Güvenlik açığı taramasını geliştirme iş akışına entegre ederek, güvenlik artık bir darboğaz değil – geliştiricilerin güvenlik açıklarını en erken aşamada yakalamasına yardımcı olabilir ve iyileştirme maliyetlerini önemli ölçüde sınırlayabilirsiniz.” “Bu, yayılmaya karşı çok hassas olan sırların tespiti için daha da doğrudur.”