根据GitGuardian和CyberArk的说法,非人类身份的激增和现代应用架构的复杂性带来了重大的安全挑战,尤其是在管理敏感凭据方面。
该报告基于对美国、英国、德国和法国拥有500多名员工的企业中的1000名IT决策者的调查,揭示了人们对秘密泄露相关风险的意识和担忧显著增加。
秘密泄露事件不断上升
79%的受访者表示,他们曾经历过或知晓企业内部发生秘密泄露事件,这一比例较上一年度的75%有所上升,这凸显了这一安全挑战日益普遍。企业正在通过大量分配资源来应对这些挑战,平均将32.4%的安全预算用于秘密管理和代码安全。
77%的受访者表示,他们目前正在投资或计划在2025年前投资秘密管理工具,其中75%专注于秘密检测和修复工具,这表明他们致力于直面这一问题。
74%的受访者表示,他们已实施至少部分成熟的策略来防止秘密泄露,然而,23%(较2023年的27%有所下降)的受访者仍依赖人工审查或缺乏明确的策略,这表明一些企业在意识或主动措施方面存在令人担忧的缺失。
75%的受访者对企业检测和防止源代码中硬编码秘密的能力表示中度至高度信心。在美国,这一信心水平甚至更高,达到84%。平均而言,受访者还表示,他们每年能够轮换36%的秘密。
修复泄露秘密的平均时间为27天,然而,GitGuardian的数据显示,实施秘密检测和修复解决方案可以在一年内将这一时间显著缩短至约13天。
对AI和供应链风险的担忧日益加剧
43%担心代码库中泄露增加的受访者强调了AI学习并复制包含敏感信息的模式的风险,此外,32%的受访者认为使用硬编码秘密是其软件供应链中的一个关键风险点。
同样令人担忧的是人为因素,39%的受访者担心对AI生成的代码进行的安全审查不足,这表明AI辅助的速度和适当的安全实践之间存在关键差距。对AI上下文感知(37%)和意外接受硬编码秘密(36%)的密切相关担忧进一步强调,AI能力和安全要求的交汇为潜在的敏感信息暴露提供了多个途径,企业需要积极应对。
GitGuardian首席执行官Eric Fourrier表示:“我们2024年的报告结果强调了秘密泄露威胁不断升级,以及需要稳健的自动化解决方案来降低这些风险。虽然对秘密管理的投资不断增加令人鼓舞,但企业必须优先实施包括早期检测、快速修复以及强烈关注开发人员教育和最佳实践在内的全面策略。企业必须积极解决这些担忧,并加强其安全态势,以保护其敏感数据并保持竞争优势。”
CyberArk机器身份安全总经理Kurt Sand表示:“安全领导者日益认识到保护机器身份和消除硬编码秘密的重要性,这令人鼓舞,然而,近四分之一的受访者仍使用手动系统来处理泄露,这表明需要通过自动化来提高安全性、修复效率和效能。随着对AI的需求继续推动机器身份的增加,企业需要可扩展的自动化机器身份安全方法。”
尽管企业在秘密管理方面表现出更高的意识和投资——77%计划在2025年前投资相关工具——但秘密泄露事件的不断增加(79%的企业)表明,随着数字化转型的推进,这一挑战仍在持续加剧。
