Il report di GitGuardian sullo "State of Secrets Sprawl" per il 2025 rivela la portata allarmante dell'esposizione dei segreti negli ambienti software moderni. A trainare questa tendenza è la rapida crescita delle identità non umane (NHI), che da anni superano in numero gli utenti umani. Dobbiamo anticipare questa tendenza e predisporre misure di sicurezza e governance per queste identità virtuali, che continuano a essere implementate, creando un livello di rischio per la sicurezza senza precedenti.
Questo rapporto rivela che ben 23,77 milioni di nuovi segreti sono stati divulgati su GitHub solo nel 2024. Si tratta di un aumento del 25% rispetto all'anno precedente. Questo aumento drammatico evidenzia come la proliferazione di identità non umane (NHI), come account di servizio, microservizi e agenti di intelligenza artificiale, stia rapidamente ampliando la superficie di attacco per gli autori delle minacce.
La crisi dell'identità non umana
I segreti NHI, tra cui chiavi API, account di servizio e worker Kubernetes, superano ora in numero le identità umane di almeno 45 a 1 negli ambienti DevOps. Queste credenziali basate su macchine sono essenziali per le infrastrutture moderne, ma creano notevoli problemi di sicurezza se gestite in modo errato.
La cosa più preoccupante è la persistenza delle credenziali esposte. L'analisi di GitGuardian ha rilevato che il 70% dei segreti rilevati per la prima volta nei repository pubblici nel 2022 rimane attivo ancora oggi, a indicare un fallimento sistemico nelle pratiche di rotazione e gestione delle credenziali.
Depositi privati: un falso senso di sicurezza
Le organizzazioni possono credere che il loro codice sia sicuro nei repository privati, ma i dati raccontano una storia diversa. I repository privati hanno circa 8 volte più probabilità di contenere segreti rispetto a quelli pubblici. Ciò suggerisce che molti team si affidano alla "sicurezza attraverso l'oscurità" piuttosto che implementare un'adeguata gestione dei segreti.
Il rapporto ha rilevato differenze significative nei tipi di segreti trapelati nei repository privati rispetto a quelli pubblici:I segreti generici rappresentano il 74,4% di tutte le perdite nei repository privati rispetto al 58% in quelli pubblici
Le password generiche rappresentano il 24% di tutti i segreti generici nei repository privati rispetto a solo il 9% nei repository pubblici
Le credenziali aziendali come le chiavi AWS IAM compaiono nell'8% dei repository privati ma solo nell'1,5% di quelli pubblici
Questo schema suggerisce che gli sviluppatori sono più cauti con il codice pubblico, ma spesso prendono scorciatoie in ambienti che ritengono protetti.
Gli strumenti di intelligenza artificiale peggiorano il problema
GitHub Copilot e altri assistenti di programmazione basati sull'intelligenza artificiale potrebbero aumentare la produttività, ma aumentano anche i rischi per la sicurezza. È stato riscontrato che i repository con Copilot abilitato presentano un tasso di fuga di dati segreti superiore del 40% rispetto ai repository senza assistenza AI.
Questa statistica preoccupante suggerisce che lo sviluppo basato sull'intelligenza artificiale, se da un lato accelera la produzione del codice, dall'altro potrebbe incoraggiare gli sviluppatori a dare priorità alla velocità rispetto alla sicurezza, integrando le credenziali in modi che le pratiche di sviluppo tradizionali potrebbero evitare.
Docker Hub: oltre 100.000 segreti validi svelati
In un'analisi senza precedenti di 15 milioni di immagini Docker pubbliche di Docker Hub, GitGuardian ha scoperto più di 100.000 segreti validi, tra cui chiavi AWS, chiavi GCP e token GitHub appartenenti ad aziende Fortune 500.
La ricerca ha rilevato che il 97% di questi segreti validi è stato scoperto esclusivamente nei livelli immagine, con la maggior parte presente in livelli inferiori a 15 MB. Le istruzioni ENV da sole rappresentavano il 65% di tutte le perdite, evidenziando un punto cieco significativo nella sicurezza dei container.
Oltre il codice sorgente: i segreti degli strumenti di collaborazione
Le fughe di notizie segrete non si limitano ai repository di codice. Il rapporto ha rilevato che piattaforme di collaborazione come Slack, Jira e Confluence sono diventate vettori significativi per l'esposizione delle credenziali.
È allarmante notare che i segreti trovati in queste piattaforme tendono a essere più critici di quelli presenti nei repository di codice sorgente, con il 38% degli incidenti classificati come altamente critici o urgenti, rispetto al 31% nei sistemi di gestione del codice sorgente. Ciò accade in parte perché queste piattaforme non dispongono dei controlli di sicurezza presenti nei moderni strumenti di gestione del codice sorgente.
È allarmante che solo il 7% dei segreti rilevati negli strumenti di collaborazione si trovi anche nel codice sorgente, rendendo quest'area di diffusione dei segreti una sfida unica che la maggior parte degli strumenti di scansione dei segreti non è in grado di mitigare. La situazione è ulteriormente aggravata dal fatto che gli utenti di questi sistemi attraversano i confini di tutti i dipartimenti, il che significa che chiunque potrebbe potenzialmente divulgare le proprie credenziali su queste piattaforme.
Il problema dei permessi
A peggiorare ulteriormente il rischio, GitGuardian ha scoperto che le credenziali trapelate spesso hanno permessi eccessivi:Il 99% delle chiavi API di GitLab aveva accesso completo (58%) o accesso di sola lettura (41%)
Il 96% dei token GitHub aveva accesso in scrittura, mentre il 95% offriva accesso completo al repository
Queste ampie autorizzazioni amplificano significativamente il potenziale impatto delle credenziali trapelate, consentendo agli aggressori di muoversi lateralmente e di aumentare i privilegi più facilmente.
Rompere il ciclo di diffusione dei segreti
Sebbene le organizzazioni adottino sempre più soluzioni di gestione dei segreti, il rapporto sottolinea che questi strumenti da soli non sono sufficienti. GitGuardian ha rilevato che anche i repository che utilizzano i gestori di segreti hanno registrato un tasso di incidenza di segreti trapelati del 5,1% nel 2024.
Il problema richiede un approccio globale che affronti l'intero ciclo di vita dei segreti , combinando il rilevamento automatizzato con rapidi processi di correzione e integrando la sicurezza nell'intero flusso di lavoro di sviluppo.
Come conclude il nostro rapporto, "Il Rapporto 2025 sullo Stato dei Segreti" offre un duro avvertimento: con la moltiplicazione delle identità non umane, aumentano anche i segreti a esse associati e i rischi per la sicurezza. Approcci reattivi e frammentati alla gestione dei segreti semplicemente non sono sufficienti in un mondo di distribuzioni automatizzate, codice generato dall'intelligenza artificiale e distribuzione rapida delle applicazioni".
Nessun commento:
Posta un commento