约60%的调查受访者称,其公司处理的是泄露的API令牌、SSH密钥和私有证书。
1Password发布报告称,企业每年都会因泄露基础设施代码、凭证和密钥而损失数百万美元。
1Password的报告题为《藏于明处》(Hiding in Plain Sight),指出企业因秘密资料被泄而遭遇的损失高达平均每年120万美元。研究人员发现,为了便于访问和快速推进项目,IT和DevOps人员会在配置文件或源代码中留下API令牌、SSH密钥和私有证书等基础设施秘密。
报告突出了来自1Password研究人员的分析和2021年4月针对美国500位IT和DevOps人员的调查研究。其中10%的受访者经历了秘密泄露事件,其公司损失了超过500万美元。超过60%的受访者称其公司应对过秘密泄露事件。
除了金钱损失,40%的受访者表示自家公司遭遇了品牌信誉伤害,29%称因秘密被泄而流失了客户。
根据这份报告和相应的调查,65%的IT和DevOps工作人员称公司拥有500多份秘密,而近20%宣称秘密多到无法统计。
员工每天都要花费约25分钟时间管理这些秘密,超过一半的受访者表示该数字去年出现了大幅上升。
超过61%的受访者称,由于公司无法有效管理自身秘密,多个项目被迫延期。
值得警惕的是,77%的受访者表示自己仍可访问前雇主的系统,37%的受访者则称自己拥有完整权限,凸显出了秘密持续泄露的主要原因。
秘密泄露的另一因素是云应用的普及,52%的IT和DevOps员工称云应用增加了管理秘密的难度。
但IT和DevOps员工承认了一些责任,其中80%称未能很好地履行管理秘密的职责。约25%表示自家公司的秘密存放在十个以上的位置。
IT和DevOps员工还承认了通过电子邮件(59%)、Slack(40%)、电子表格/共享文档(36%)和文本(26%)等不那么安全的信道共享公司的秘密信息。
几乎所有受访者都表示公司设置了管理秘密的策略,但只有不到40%的受访者称该策略是强制实施的。这个问题在公司领导中间尤为突出。超过62%的受访者称,团队领导、经理、副总裁和其他管理层人员因新冠肺炎疫情对工作的要求而忽视了安全规则。
1Password首席执行官Jeff Shiner表示:“秘密是IT和DevOps的生命线,因为他们必须支持现代企业如今所要求的诸多应用和服务。”
“我们的研究显示,公司的秘密呈爆发趋势,但IT和DevOps团队并没有达到严格的标准来保护秘密,在此过程中,企业面临着遭遇巨大损失的风险。企业应立即仔细核查自身秘密管理方式,采用恰当的实践和解决方案来“让秘密回归秘密”,从而支持企业安全文化。”
