HackerNews

HackerNews
持久性问题:暴露的凭证为何未被修复及如何改变现状​

持久性问题:暴露的凭证为何未被修复及如何改变现状​

作者: hackernews 日期: 2025-05-13 分类: 数据泄露, 网络安全
给文章评分:

HackerNews 编译,转载请注明出处:

检测泄露的凭证只是战斗的一半。真正的挑战——往往被忽视的另一半——在于检测后的处理。GitGuardian《2025年机密泛滥现状报告》的新研究揭示了一个令人不安的趋势:在公共代码库中发现的大多数暴露的企业机密,在被检测后仍保持有效数年之久,这导致攻击面持续扩大,而许多组织未能有效应对。

根据GitGuardian对GitHub公共代码库中暴露机密的分析,早在2022年检测到的凭证中,仍有惊人的比例至今有效:

“检测到泄露的机密只是第一步,”GitGuardian研究团队表示,“真正的挑战在于快速修复。”

这种持续有效性暗示着两个令人担忧的可能性:要么组织未意识到其凭证已暴露(安全可见性问题),要么缺乏资源、流程或紧迫性来妥善修复(安全运维问题)。在这两种情况下,一个值得关注的观察结果是,这些机密甚至未被例行撤销——既没有通过默认过期自动失效,也未在定期轮换流程中手动处理。

组织要么对暴露的凭证毫不知情,要么缺乏资源有效应对。硬编码机密在代码库中泛滥,使得全面修复变得困难。凭证轮换需要跨服务和系统协调更新,通常会影响生产环境。

资源限制迫使组织仅优先处理最高风险的暴露,而遗留系统因不支持临时凭证等现代方法造成技术障碍。可见性有限、操作复杂性和技术限制的结合,解释了为何硬编码机密在暴露后仍长期有效。转向采用集中化自动化系统和短期凭证的现代机密安全方案,已成为运营必需,而不仅仅是安全最佳实践。

在原始数据背后隐藏着一个令人不安的现实:由于凭证在公共代码库中持续存在多年,关键生产系统仍然脆弱。

对2022-2024年暴露机密的分析表明,数据库凭证、云密钥和关键服务的API令牌在首次暴露后仍长期有效。这些并非测试或开发凭证,而是通往生产环境的真实密钥,为攻击者访问敏感客户数据、基础设施和关键业务系统提供了直接通道。

仍暴露的敏感服务(2022–2024)

MongoDB:攻击者可利用这些凭证窃取或破坏数据。这些高度敏感的凭证可能让攻击者获取个人身份信息,或用于提权和横向移动的技术洞察。
谷歌云、AWS、腾讯云:这些云密钥可能让攻击者访问基础设施、代码和客户数据。
MySQL/PostgreSQL:这些数据库凭证每年也持续出现在公开代码中。

这些都不是测试凭证,而是真实服务的密钥。

过去三年间,公共代码库中暴露机密的格局变化既显示出进步,也揭示了新风险,尤其是云和数据库凭证方面。需再次强调,这些趋势仅反映已被发现且仍然有效的案例——意味着尽管已被公开暴露,它们仍未被修复或撤销。

对于云凭证,数据显示出明显的上升趋势。2023年,有效云凭证占所有仍活跃的暴露机密比例略低于10%。到2024年,该比例激增至近16%。这一增长可能反映了企业环境中云基础设施和SaaS采用率的提升,但也凸显出许多组织在安全管理云访问方面持续面临的挑战——尤其是随着开发速度和复杂性的增加。

相比之下,数据库凭证暴露呈相反走势。2023年,有效数据库凭证占检测到的未修复机密超13%,但到2024年该数字降至不足7%。这一下降可能表明,针对数据库凭证的认知和修复工作——特别是高调数据泄露事件后及托管数据库服务使用增加——正在产生效果。

总体结论是微妙的:尽管组织可能在保护传统数据库机密方面有所进步,但有效且未修复的云凭证暴露的快速上升表明,新型机密正在成为最普遍和高风险的存在。随着云原生架构成为常态,对自动化机密管理、短期凭证和快速修复的需求比以往任何时候都更加紧迫。

高风险凭证的实用修复策略

MongoDB凭证
为降低暴露的MongoDB凭证带来的风险,组织应迅速轮换任何可能泄露的凭证,并设置IP白名单严格限制数据库访问。启用审计日志对实时检测可疑活动和协助事件调查也至关重要。长期来看,应通过动态凭证摆脱硬编码密码。如果使用MongoDB Atlas,可通过API编程实现密码轮换,使CI/CD流水线能够定期轮换机密,即使未检测到暴露。

谷歌云密钥
如果发现谷歌云密钥暴露,最安全的措施是立即撤销。为防范未来风险,应从静态服务账户密钥转向现代短期认证方法:对外部工作负载使用“工作负载身份联盟”,将服务账户直接绑定至谷歌云资源,或在需要用户访问时实施服务账户模拟。强制执行定期密钥轮换,并对所有服务账户实施最小权限原则,以降低任何暴露的潜在影响。

AWS IAM凭证
对于AWS IAM凭证,若怀疑暴露必须立即轮换。最佳的长期防御是完全弃用长期用户访问密钥,选择通过IAM角色和AWS STS为工作负载提供临时凭证。对于AWS外部的系统,利用“IAM Roles Anywhere”。使用AWS IAM访问分析器定期审计访问策略,并启用AWS CloudTrail进行全面日志记录,以便快速发现和响应可疑的凭证使用行为。

通过采用这些现代机密管理实践——聚焦短期动态凭证和自动化——组织能显著降低暴露机密带来的风险,并使修复成为可管理的常规流程,而非紧急救火行动。机密管理器集成也能帮助自动完成此类任务。

暴露机密的持续有效性代表着重大且常被忽视的安全风险。尽管检测至关重要,但组织必须优先考虑快速修复,并转向能够最小化凭证暴露影响的架构。

正如数据所示,问题正在恶化而非改善——更多机密在暴露后长期保持有效。通过实施适当的机密管理实践并弃用长期凭证,组织能显著减少攻击面,缓解不可避免的暴露事件的影响。

 

 

 

消息来源:thehackernews

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文