Detectar credenciales filtradas es solo la parte de la batalla. El definitivo desafío, y a menudo la parte descuidada de la ecuación, es lo que sucede posteriormente de la detección. Una nueva investigación del mensaje del estado de secretos del estado de Gitguardian 2025 revela una tendencia inquietante: la gran mayoría de los expuestos compañía Los secretos descubiertos en repositorios públicos siguen siendo válidos durante abriles posteriormente de la detección, creando una superficie de ataque en expansión que muchas organizaciones no abordan.
Según el exploración de Gitguardian de los secretos expuestos en los repositorios públicos de GitHub, un porcentaje amenazador de credenciales detectadas ya en 2022 sigue siendo válido hoy:
“Detectar un secreto filtrado es solo el primer paso”, dice el equipo de investigación de Gitguardian. “El definitivo desafío radica en la remediación rápida”.
Por qué los secretos expuestos siguen siendo válidos
Esta validez persistente sugiere dos posibilidades preocupantes: Las organizaciones desconocen que sus credenciales han sido expuestas (un problema de visibilidad de seguridad), o carecen de los capital, procesos o emergencia para remediarlos (un problema de operaciones de seguridad). En entreambos casos, una observación preocupante es que esos secretos ni siquiera se revocan de modo rutinaria, ni automáticamente del vencimiento predeterminado, ni manualmente como parte de los procedimientos de rotación regulares.
Las organizaciones siguen sin darse cuenta de las credenciales expuestas o carecen de los capital para abordarlas de modo efectiva. Los secretos codificados proliferan a través de las bases de código, lo que hace que la remediación integral sea un desafío. La rotación secreta requiere actualizaciones coordinadas en todos los servicios y sistemas, a menudo con el impacto de producción.
Las restricciones de capital fuerza la priorización de solo las exposiciones de veterano peligro, mientras que los sistemas heredados crean barreras técnicas al no apoyar enfoques modernos como las credenciales efímeras.
Esta combinación de visibilidad limitada, complejidad operativa y limitaciones técnicas explica por qué los secretos codificados a menudo siguen siendo válidos mucho posteriormente de la exposición. Tener lugar a las soluciones de seguridad de los secretos modernos con sistemas centralizados y automatizados y credenciales de corta duración es ahora una condición operativa, no solo una mejor praxis de seguridad.
¿Qué servicios están más en peligro? Las tendencias
Detrás de las estadísticas en bruto se encuentra una ingenuidad amenazador: los sistemas de producción críticos siguen siendo vulnerables adecuado a las credenciales expuestas que persisten durante abriles en repositorios públicos.
El exploración de secretos expuestos de 2022-2024 revela que las credenciales de la almohadilla de datos, las claves en la abundancia y los tokens API para servicios esenciales continúan siendo válidos mucho posteriormente de su exposición original. Estos son no las credenciales de prueba o crecimiento, sino las claves auténticas para los entornos de producción.que representan vías directas para que los atacantes accedan a datos confidenciales de los clientes, infraestructura y sistemas críticos de negocios.
Servicios sensibles aún expuestos (2022–2024):
- MongoDB: los atacantes pueden usarlos para exfiltrarse o corromper datos. Estos son mucho sensibles, ofreciendo a los posibles atacantes comunicación a información de identificación personal o información técnica que se puede utilizar para la ascenso de privilegios o el movimiento contiguo.
- Google Cloud, AWS, Tencent Cloud: estas claves en la abundancia otorgan a los atacantes potenciales comunicación a la infraestructura, el código y los datos del cliente.
- MySQL/PostgreSQL: estas credenciales de bases de datos incluso persisten en código sabido cada año.
Estas no son credenciales de prueba, sino Keys to Live Services.
En los últimos tres abriles, el panorama de los secretos expuestos en los repositorios públicos ha cambiado de modo que revelan tanto el progreso como los nuevos riesgos, especialmente para las credenciales de la abundancia y las bases de datos. Una vez más, estas tendencias reflejan solo las que se han enemigo y siguen siendo válidas, lo que significa No han sido remediados o revocados a pesar de ser expuestos públicamente.
Para las credenciales en la abundancia, los datos muestran una tendencia pino marcada. En 2023, las credenciales de abundancia válidas representaron poco menos del 10% de todos los secretos expuestos aún activos. Para 2024, esa décimo había aumentado a casi el 16%. Este aumento probablemente refleja la creciente asimilación de la infraestructura en la abundancia y SaaS en entornos empresariales, pero incluso subraya la lucha continua que enfrentan muchas organizaciones para regir el comunicación a la abundancia de forma segura, especialmente a medida que la velocidad del desarrollador y la complejidad aumentan.
En contraste, las exposiciones de credenciales de la almohadilla de datos se movieron en la dirección opuesta. En 2023, Las credenciales de almohadilla de datos válidas constituyeron más del 13% de los secretos no remediados detectados, pero para 2024, esa signo cayó a menos del 7%. Esta disminución podría indicar que los esfuerzos de conciencia y remediación en torno a las credenciales de la almohadilla de datos, particularmente posteriormente de las violaciones de suspensión perfil y el veterano uso de los servicios de bases de datos administrados, están comenzando a dar sus frutos.
La conclusión universal es matizada: si proporcionadamente las organizaciones pueden estar mejorando en la protección de los secretos de la almohadilla de datos tradicional, el rápido aumento de las exposiciones válidas de credenciales en la abundancia no remediadas sugiere que los nuevos tipos de secretos están tomando su empleo como el más prevalente y riesgoso. A medida que las arquitecturas nativas de la abundancia se convierten en la norma, la condición de la dirección de secretos automatizados, las credenciales de corta duración y la rápida remediación es más urgente que nunca.
Estrategias de remediación praxis para credenciales de suspensión peligro
Para dominar el peligro planteado por expuesto Credenciales de MongoDBlas organizaciones deben representar rápidamente para rotar cualquiera que pueda suceder filtrado y configurado IP Permising Listing para amojonar estrictamente quién puede consentir a la almohadilla de datos. Habilitar el registro de auditorías incluso es secreto para detectar actividades sospechosas en tiempo existente y ayudar con las investigaciones posteriormente de una violación. Para una seguridad a dadivoso plazo, aleje de las contraseñas codificadas aprovechando los secretos dinámicos. Si usa Atlas MongoDB, el comunicación programático a la rotación de la contraseña es posible a través de la API para que pueda hacer que sus tuberías de CI/CD gire rutinariamente secretos, incluso si no ha detectado una exposición.
Keys de Google Cloud
Si un Key de la abundancia de Google se encuentra nones expuesto, el movimiento más seguro es la revocación inmediata. Para advertir el peligro futuro, la transición de las claves de la cuenta de servicio asombrado a los métodos modernos de autenticación de corta duración: use la convenio de identidad de carga de trabajo para cargas de trabajo externas, adjunte las cuentas de servicio directamente a los capital de Google en la abundancia o implementen suplantación de la cuenta de servicio cuando se requiere comunicación al legatario. Haga cumplir la rotación secreto regular y aplique los principios de pequeño privilegio a todas las cuentas de servicio para minimizar el impacto potencial de cualquier exposición.
AWS IAM CREDENCIALES
Para AWS IAM CREDENCIALESla rotación inmediata es esencial si se sospecha la exposición. La mejor defensa a dadivoso plazo es eliminar las claves de comunicación de usuarios de larga duración por completo, optando por roles IAM y AWS STS para proporcionar credenciales temporales para las cargas de trabajo. Para sistemas fuera de AWS, aproveche los roles IAM en cualquier empleo. Audite de modo rutinaria sus políticas de comunicación con AWS IAM Access Analyzer y habilite AWS CloudTrail para un registro integral, para que pueda detectar rápidamente y contestar a cualquier uso sospechoso de credenciales.
Al adoptar estas prácticas de dirección de secretos modernos, enfocarse en credenciales y automatización dinámicas de corta duración, las organizaciones pueden dominar significativamente los riesgos planteados por los secretos expuestos y hacer que la remediación sea un proceso rutinario y manejable en empleo de un simulacro de incendio.
Secret Managers Integrations incluso puede ayudar a resolver esta tarea automáticamente.
Conclusión
La validez persistente de los secretos expuestos representa un peligro de seguridad significativo y a menudo pasado por suspensión. Si proporcionadamente la detección es esencial, las organizaciones deben priorizar la remediación rápida y el cambio alrededor de las arquitecturas que minimizan el impacto de la exposición a las credenciales.
Como muestran nuestros datos, el problema está empeorando, no mejor, con más secretos que quedan válidos más tiempo posteriormente de la exposición. Al implementar prácticas de dirección secretas adecuadas y alejarse de las credenciales de larga vida, las organizaciones pueden dominar significativamente su superficie de ataque y mitigar el impacto de las exposiciones inevitables.
La expansión del estado de secretos de Gitguardian 2025 proporciona un exploración total de las tendencias de exposición de secretos y estrategias de remediación. El mensaje completo está arreglado en www.gitguardian.com/files/the-state-of-secrets-sprawl-report-2025.
