Nó có thể gây ngạc nhiên, nhưng quản lý bí mật đã trở thành con voi trong phòng AppSec. Mặc dù các lỗ hổng bảo mật như Lỗ hổng phổ biến và Điểm phơi nhiễm (CVE) thường xuất hiện trên các tiêu đề trong thế giới an ninh mạng, nhưng quản lý bí mật vẫn là một vấn đề bị bỏ qua có thể gây ra hậu quả ngay lập tức và ảnh hưởng đến sự an toàn của công ty.
Một nghiên cứu gần đây của GitGuardian cho thấy 75% những người ra quyết định CNTT ở Hoa Kỳ và Vương quốc Anh đã báo cáo ít nhất một bí mật bị rò rỉ từ một ứng dụng, với 60% gây ra sự cố cho công ty hoặc nhân viên. Đáng ngạc nhiên, chưa đến một nửa số người được hỏi (48%) tự tin vào khả năng bảo vệ bí mật ứng dụng của họ “ở mức độ lớn”.
Nghiên cứu mang tên Tiếng nói của các học viên: Tình trạng bí mật trong AppSec (có sẵn để tải xuống miễn phí tại đây), cung cấp một góc nhìn mới mẻ về việc quản lý các bí mật, vốn thường bị biến thành những lời sáo rỗng không phản ánh thực tế hoạt động trong các bộ phận kỹ thuật.
Bất chấp sự phổ biến của chúng trong các hoạt động phát triển và đám mây hiện đại, các bí mật vẫn là một vấn đề hóc búa ngay cả đối với các tổ chức trưởng thành nhất. Việc nhân lên số lượng bí mật được sử dụng đồng thời trong chu kỳ phát triển khiến tất cả đều quá dễ dàng vượt khỏi tầm kiểm soát của các biện pháp bảo mật hợp lý và “rò rỉ”.
Bảo vệ bí mật ứng dụng
Khi một bí mật bị rò rỉ, nó không còn là bí mật nữa và có thể truy cập được đối với các hệ thống hoặc người không được ủy quyền trong một khoảng thời gian nhất định. Rò rỉ chủ yếu xảy ra trong nội bộ vì bí mật được sao chép và dán vào tệp cấu hình, tệp mã nguồn, email, ứng dụng nhắn tin, v.v. Điều quan trọng là nếu nhà phát triển mã hóa cứng bí mật vào mã hoặc tệp cấu hình của họ và mã được đẩy vào kho lưu trữ GitHub, thì những bí mật đó cũng được đẩy. Một tình huống xấu nhất khác phát sinh khi một tác nhân độc hại quản lý để có được thông tin xác thực bị rò rỉ nội bộ sau lần truy cập ban đầu, tương tự như những gì đã xảy ra với Uber vào năm ngoái.
Nghiên cứu của Tiếng nói của các học viên chứng minh rằng sự nguy hiểm của việc tiết lộ bí mật được đại đa số những người được hỏi thừa nhận. 75% số người được hỏi nói rằng một vụ rò rỉ bí mật đã xảy ra trong tổ chức của họ trước đây và 60% thừa nhận nó đã gây ra các vấn đề nghiêm trọng cho công ty, nhân viên hoặc cả hai.
Khi được hỏi về các điểm rủi ro chính trong chuỗi cung ứng phần mềm của họ, 58% cho rằng “mã nguồn và kho lưu trữ” là lĩnh vực rủi ro cốt lõi, với 53% cho “phần phụ thuộc nguồn mở” và 47% cho “bí mật được mã hóa cứng”.
Tuy nhiên, các câu trả lời cho thấy một khoảng cách đáng kể trong sự trưởng thành. Cụ thể, chưa đến một nửa số người được hỏi (48%) tự tin vào khả năng bảo vệ bí mật ứng dụng ở mức độ lớn:
Từ Tiếng nói của các học viên: Tình trạng bí mật trong AppSec
Ngoài ra, hơn một phần tư (27%) số người được hỏi thừa nhận dựa vào đánh giá mã thủ công để ngăn rò rỉ bí mật, điều này đặc biệt không hiệu quả trong việc phát hiện các bí mật được mã hóa cứng.
Cuối cùng, nghiên cứu cũng cho thấy 53% quản lý cấp cao (chẳng hạn như CSO, CISO và VP an ninh mạng) tin rằng các bí mật được chia sẻ dưới dạng văn bản rõ ràng thông qua các ứng dụng nhắn tin.
Bất chấp những thách thức, vẫn có hy vọng cải thiện. Nghiên cứu tiết lộ rằng 94% số người được hỏi có kế hoạch tăng cường thực hành bí mật của họ trong 12-18 tháng tới, đây là một bước tích cực hướng tới quản lý bí mật tốt hơn và an toàn cho công ty. Tuy nhiên, cần lưu ý rằng việc phát hiện và khắc phục bí mật, cũng như quản lý bí mật, nên được ưu tiên đầu tư so với các công cụ khác, chẳng hạn như công cụ bảo vệ thời gian chạy. Trong khi 38% số người được hỏi có kế hoạch đầu tư vào các công cụ bảo vệ ứng dụng trong thời gian chạy, thì chỉ có 26% và 25% tương ứng có kế hoạch phân bổ kinh phí cho việc phát hiện và khắc phục bí mật cũng như quản lý bí mật.
Một chương trình quản lý bí mật toàn diện
Ngày càng có nhiều bí mật bị rò rỉ mỗi năm. GitGuardian theo dõi số vụ rò rỉ hàng năm trên nền tảng chia sẻ mã số một, GitHub và công bố kết quả trong báo cáo Tình trạng mở rộng bí mật hàng năm. Một lần nữa, những con số đáng báo động: từ 3 triệu bí mật được phát hiện vào năm 2021, con số này đã tăng 67% lên 10 triệu vào năm 2022. Và đây chỉ là phần nổi của tảng băng chìm. Hầu hết các vụ rò rỉ xảy ra trong phạm vi công ty, điều này gây khó khăn cho việc ước tính con số toàn cầu.
Để giải quyết rủi ro ngày càng tăng này, các công ty cần tăng cường quản lý bí mật của họ như một ưu tiên để tăng cường phòng thủ.
Trong một cuộc phỏng vấn gần đây với GitGuardian, Jason Haddix, cựu CISO của Ubisoft đã mô tả tầm quan trọng của việc quản lý bí mật trở nên rõ ràng như thế nào sau khi công ty bị băng nhóm hack Laspsus$ nhắm tới vào tháng 3 năm 2022. Sau khi nói chuyện với 40 CISO bị ảnh hưởng khác, anh ấy đã đưa ra một phương pháp bốn trục chương trình phát triển một chương trình quản lý bí mật toàn diện:
Phát hiện: việc có thể tìm thấy tất cả các rò rỉ trong quá khứ cần có một công cụ tự động và là một bước quan trọng để có được tầm nhìn về tình hình bảo mật thực tế của công ty.
Ngăn chặn: tiết kiệm thời gian cho tương lai bằng cách ngăn ngừa rò rỉ nhiều nhất có thể, với lan can bảo vệ an toàn chẳng hạn như móc cài sẵn.
Trả lời: bí mật bị rò rỉ vì chúng cần được chia sẻ. Việc có các công cụ để lưu trữ, chia sẻ và xoay vòng những bí mật này cùng với các biện pháp kiểm soát truy cập chi tiết cũng rất quan trọng.
giáo dục: có các buổi học liên tục về bí mật, không chỉ dành cho nhà phát triển mà còn cho tất cả nhân viên, đảm bảo hiểu rõ các rủi ro liên quan đến bí mật mã hóa cứng và mật khẩu, cũng như các phương pháp hay nhất.
Phần kết luận
Nghiên cứu Tiếng nói của các học viên nêu bật tầm quan trọng của chiến lược bí mật toàn diện trong AppSec và cung cấp thông tin chi tiết có giá trị về các phương pháp hay nhất để giảm rủi ro liên quan đến việc mở rộng bí mật. Quản lý bí mật trông giống như một khoản nợ tích lũy theo thời gian. Nếu chờ đợi quá lâu, con voi trong phòng cuối cùng sẽ trở nên quá lớn để có thể bỏ qua, khiến tổ chức của bạn có nguy cơ phải gánh chịu những hậu quả nghiêm trọng.
Nếu bạn đang tìm cách cải thiện chương trình quản lý bí mật của mình, một bước đơn giản mà bạn có thể thực hiện ngay bây giờ là yêu cầu kiểm tra miễn phí các vụ rò rỉ bí mật của công ty bạn trên GitHub từ GitGuardian. Báo cáo tự động mà bạn nhận được sẽ hiển thị cho bạn số lượng nhà phát triển đang hoạt động trên GitHub, số lượng bí mật được tìm thấy bị lộ trên kho lưu trữ của GitHub theo thời gian (được phân loại) và tỷ lệ phần trăm bí mật hợp lệ trong số đó.
Điều này sẽ giúp bạn xác định chính xác phạm vi dành cho nhà phát triển của mình trên GitHub, đánh giá thứ tự mức độ rủi ro mà công ty của bạn đang gặp phải và thực hiện bước đầu tiên hướng tới một chương trình quản lý bí mật toàn diện.
