过去几年中,大多数违规行为都涉及长期存在的纯文本凭证。
当有效凭证(例如API密钥、密码和身份验证令牌)泄露时,任何技术水平的攻击者都可以获得初始访问权限或在系统中进行快速横向移动。
《2025年机密蔓延状况报告》揭示了一场广泛而持久的安全危机,威胁着各种规模的组织。报告显示,泄露的机密同比增长了25%,仅2024年在公共GitHub上就检测到了2380万个新凭证。
机密泄露威胁日益严重
最让企业安全领导者担心的是:2022年泄露的70%的机密至今仍活跃,从而形成了不断扩大的攻击面,并且日益变得更加危险。
机密泄露的激增是网络安全领域最严重但被低估的威胁之一。与复杂的零日漏洞不同,攻击者不需要高级技能即可利用这些漏洞-只需一个暴露的凭证即可不受限制地访问关键系统和敏感数据。
以2024年美国财政部数据泄露事件作为警示:“BeyondTrust的一个API密钥泄露让攻击者得以入侵政府系统。这并不是一次复杂的攻击,而只是一个简单的暴露凭证的案例,绕过了数百万的安全投资。”
尽管GitHub的推送保护功能可帮助开发人员检测已知的机密模式,但通用机密(包括硬编码密码、数据库凭据和自定义身份验证令牌)现在占检测到的所有泄漏的一半以上。这些凭据缺乏标准化模式,因此几乎不可能使用常规工具检测到它们。
经扫描的所有私有存储库中,有35%包含至少一个纯文本秘密,这打破了私有存储库是安全的普遍假设。
AWSIAM密钥以明文形式出现在8.17%的私有存储库中,比公共存储库(1.45%)高出5倍以上。通用密码在私有存储库(24.1%)中出现的频率几乎是公共存储库(8.94%)的3倍。MongoDB凭证是公共存储库中泄露最频繁的机密类型(18.84%)。
私人代码库中泄露的机密必须被视为已泄露。安全团队必须认识到,无论机密位于何处,都应将其视为敏感数据。
硬编码的秘密无处不在
硬编码的秘密无处不在,尤其是在安全盲点,如协作平台和容器环境,这些地方的安全控制通常较弱:
Slack:所分析工作区内2.4%的频道包含泄露的机密。
Jira:6.1%的票据暴露了凭证,使其成为最易受攻击的协作工具。
DockerHub:检测到的98%的机密仅嵌入在图像层中,目前有超过7,000个有效的AWS密钥被暴露。
在大多数组织中,非人类身份(NHI)——包括API密钥、服务帐户和自动化令牌——的数量现在远远超过人类身份。然而,这些凭证通常缺乏适当的生命周期管理和轮换,从而造成持续的漏洞。
一家财富500强公司的安全主管承认了这一挑战:“我们的目标是每年轮换机密,但在我们的环境中执行起来很困难。有些凭证多年来一直没有改变。”
机密管理解决方案存在不足
即使使用机密管理解决方案的组织也仍然容易受到攻击。一项对2,584个利用机密管理器的存储库的研究显示,机密泄露率为5.1%—与我们预期的接近零的水平相差甚远。这超过了GitHub整体平均值4.6%。
常见问题包括:
从机密管理器中提取机密并在其他地方进行硬编码
机密管理器的身份验证不安全,导致访问凭证泄露
由于机密分散在多个机密管理器中,导致治理分散
随着人工智能生成的代码、自动化和云原生开发的加速,该报告预测机密信息蔓延只会加剧。虽然GitHub的推送保护减少了一些泄漏,但它留下了重大漏洞——尤其是通用机密信息、私有存储库和协作工具。
对于首席信息安全官和安全主管来说,目标不仅仅是检测,而是在漏洞被利用之前修复它们;这需要一种全面的方法,包括自动发现、检测、修复和在所有企业平台上加强机密治理。
机密泄露很少是孤立事件。相反,它们通常作为复杂攻击链的切入点,可能危及整个组织及其供应链。这一现实要求从简单的机密检测转向全面的机密生命周期管理和快速事件响应能力。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
