大公司正变得越来越精简,而且它们的首席执行官希望所有人都知道这一点。富国银行在五年内裁员23%,美国银行自2010年以来已削减8.8万名员工,威瑞森的首席执行官最近还自豪地表示,员工数量“一直在减少”。曾经象征着企业困境的现象,如今已成为一种荣誉的标志,高管们纷纷为精简的运营模式和人工智能驱动的效率而欢欣鼓舞。
然而,尽管企业高管们宣扬“用更少的资源做更多的事”,首席信息安全官们却面临着资源缩减的困境,而每一起本可预防的安全事件所带来的成本都在呈指数级增长。由于安全团队早已分身乏术,且开发人员与安全人员的比例已达到难以为继的水平,这种人员缩减使得本就捉襟见肘的团队濒临崩溃。在这种人力优化的背景下,硬编码密钥成为一个尤为危险的盲点,再也无法通过人工流程和被动的应急处理来管理了。
数字不会说谎
凭证危机已经来临。根据IBM的最新研究,86%的安全漏洞涉及被盗或泄露的凭证,而识别和遏制这些事件的平均时间长达惊人的292天。
财务风险从未如此之高。在美国,由于监管罚款和检测成本上升,数据泄露成本飙升至1022万美元的历史新高。具体到基于凭证的事件,HashiCorp的研究显示,这类数据泄露会带来75万美元的额外成本,这意味着当涉及硬编码密钥时,美国企业面临的潜在成本可能超过1100万美元。
但隐藏成本可能更具破坏性。各组织每年因手动管理密钥而浪费近140万美元。这包括开发人员花在凭证轮换和暴露调查上的时间(93.6万美元),以及安全分析师对误报进行分类和追查泄露凭证所花费的时间(超过50万美元)。
现实世界中的影响已经显现。由于一个泄露的机密,Canva的多个团队遭遇了数天的宕机,这占用了本应专注于产品开发的工程资源。
为什么精简团队会增加风险
裁员意味着事件补救的平均时间延长,而292天的平均遏制窗口期会变得更加危险。每起安全事件都会让本已紧张的团队从核心业务职能中分心,产生高昂的上下文切换成本,这是精简型组织难以承受的。
问题的范围在不断扩大,而团队规模却在缩小。大型组织中,数千个未受管理的机密信息散落在代码仓库、CI/CD管道、Slack频道、Jira工单和协作平台中。
HashiCorp的研究表明,多达40%的此类密钥属于高风险类别,通常可直接用于访问生产环境。
这会产生乘数效应:一个硬编码的API密钥可能会促成横向移动、供应链受损以及大规模勒索软件部署。最近的s1ngularity攻击完美地证明了这一点:最初只是一个窃取GitHub Action令牌的拉取请求,最终却导致Nx软件包被入侵,2349个凭据被盗,攻击者还通过将10000多个私有仓库公开,又泄露了82901个额外的秘密。
战略响应:精准而非数量
GitGuardian在密钥安全方面的方法基于一个基本事实:仅靠检测是不够的。如果没有有效的补救措施,警报就会变成昂贵的噪音,让本已紧张的团队不堪重负。对于负责学习型安全运营的首席信息安全官(CISO)来说,这种区别至关重要。
密钥带来的挑战与传统漏洞有着本质区别。开发者通常可以独立修复代码漏洞,但修复暴露的密钥则需要了解更广泛的基础设施环境——该密钥在哪些多个服务中使用、哪些系统依赖它,以及谁有权限轮换它。这往往需要开发团队、平台团队和DevOps团队之间进行协作,而每个团队都有自己的优先级和工作流程。当安全团队已经满负荷运转时,手动收集这些环境信息的成本高得令人望而却步,这使得本应快速解决的问题变成了复杂的、多团队参与的调查,可能会持续数周之久。
如今,先进平台已将关注点从“暴露了什么?”转向“暴露的程度有多大?”,它们通过提供包括角色、权限、所有权和威胁范围在内的上下文信息来实现这一转变。这种全面的方法直接解决了误报带来的负担——误报每年会导致企业浪费超过50万美元的分析师时间。
将补救时间从数周缩短至数小时
有效的补救框架与精简团队的限制完美契合:
主动检测:同时实施提交时预防性扫描和针对现有漏洞的反应性扫描的平台,能够在问题达到292天的平均遏制窗口期之前发现它们。
明确的所有权:现代工具不再发送模糊的警报,而是为每个秘密分配所有权,确保相关开发人员收到带有完整背景的通知。这消除了寻找秘密所有者的时间浪费。
明智决策:团队会收到精确的位置数据,了解每个密钥能解锁什么,以及它是否仍在生效。根据上述Hashicorp的研究,这种有针对性的方法可避免每年因手动调查任务造成的93.6万美元生产力损失。
工作流集成:开发人员可在其现有工具中直接获得清晰的补救指导,从而降低困扰小型团队的上下文切换成本。先进平台如今具备自动密钥撤销功能,并能在版本控制系统中直接生成修复代码的拉取请求,完全贴合开发人员的工作场景,而非强迫他们使用单独的安全工具。
智能修复的投资回报率
通过精确定位硬编码密钥所在的特定文件和代码行,GitGuardian的方法改变了事件响应的经济性。开发者无需花费数小时搜索代码库,而是可以将精力精准投入到所需之处。实时修复跟踪让安全团队能够获得可见性,而无需人工监督。
这种精准的方法直接解决了精简后的安全团队面临的核心挑战:用更少的资源做更多的事,同时保持安全态势。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
