根據(jù)GitGuardian最新發(fā)布的《2022年機(jī)密蔓延（secrets spraw）態(tài)勢研究》報(bào)告數(shù)據(jù)顯示，與2021年相比，2022年在GitHub公開提交的軟件代碼中，發(fā)現(xiàn)了超過1000萬條新增加的機(jī)密信息；同時(shí)，在軟件程序中檢測到的硬編碼機(jī)密數(shù)量同比增加了67%，其中，賬號信息、高熵機(jī)密和密碼是暴露最多的機(jī)密類型。

這種不斷加劇的機(jī)密蔓延態(tài)勢不僅嚴(yán)重威脅了企業(yè)軟件供應(yīng)鏈安全，同時(shí)，還會引發(fā)其他一系列嚴(yán)重的安全問題，包括數(shù)據(jù)竊取、勒索攻擊等。而更糟糕的是，機(jī)密蔓延還導(dǎo)致企業(yè)既不能事前防御機(jī)密泄露，也難以事后快速進(jìn)行問題修復(fù)。

機(jī)密蔓延的危害

在網(wǎng)絡(luò)安全環(huán)境中，機(jī)密泛指可以用來管理和訪問信息化系統(tǒng)的各種敏感信息，如密碼、用戶名、API令牌、數(shù)字證書等。這些信息僅供特定人員在特定場景中使用，而且應(yīng)該被嚴(yán)格保密。

機(jī)密蔓延就是指將這些“機(jī)密”信息以不安全形式存放在許多不合規(guī)的地方。例如，將生產(chǎn)環(huán)境的數(shù)據(jù)庫用戶名、密碼以明文形式編碼在配置文件中，或是保存在生產(chǎn)環(huán)境中某個(gè)開放性配置管理服務(wù)中；或者將某個(gè)云服務(wù)調(diào)用所用的令牌硬編碼在程序代碼里，并上傳到公共的Github代碼倉庫中等。久而久之，組織即不知道哪些系統(tǒng)保存了機(jī)密，也不知道哪些機(jī)密被哪些系統(tǒng)和人獲取。即便是發(fā)現(xiàn)某個(gè)機(jī)密信息被盜用，也無法回溯該機(jī)密是如何被竊取。

一旦出現(xiàn)較嚴(yán)重的機(jī)密蔓延情況，企業(yè)組織會在很多方面面臨潛在的安全威脅。

01數(shù)據(jù)泄露

在多個(gè)位置上分布敏感數(shù)據(jù)意味著企業(yè)必須保護(hù)好每個(gè)位置的安全，否則就會面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。而當(dāng)企業(yè)需要處理分布在不同區(qū)域的多個(gè)數(shù)據(jù)集時(shí)，問題會變得更具挑戰(zhàn)性，除非企業(yè)有無限的資源和專業(yè)人員。

02缺乏控制

機(jī)密蔓延意味著企業(yè)將敏感信息存儲在多個(gè)位置，能夠訪問這些區(qū)域的每個(gè)人，都有可能獲取到相關(guān)的數(shù)據(jù)。在這種情況下，即使其他用戶沒有惡意目的，他們也可能在無意中暴露或破壞數(shù)據(jù)。缺乏對機(jī)密信息訪問的有效控制屬于高危風(fēng)險(xiǎn)，會讓企業(yè)陷入嚴(yán)重的安全隱患中。

03數(shù)據(jù)不一致

當(dāng)企業(yè)處理多個(gè)數(shù)據(jù)集時(shí)，數(shù)據(jù)一致性是關(guān)鍵；否則，處理結(jié)果將會出現(xiàn)偏差。由于企業(yè)將機(jī)密信息分布在多個(gè)不同的位置，就會導(dǎo)致數(shù)據(jù)處理不一致的情況出現(xiàn)。例如，當(dāng)企業(yè)在四個(gè)不同的位置存儲了API令牌，工作人員可能會因?yàn)楣ぷ餍枰谀骋粋€(gè)位置對令牌進(jìn)行更改，而忘記同步更改其它三個(gè)位置的令牌。當(dāng)其他人員需要再次使用它們時(shí)，就會遇到故障和偏差。

04降低可訪問性

可訪問性直接影響企業(yè)數(shù)字化工作的質(zhì)量和效果?？焖贆z索所需的信息可以幫助員工提高工作效率。但是，在機(jī)密蔓延的情況下，業(yè)務(wù)人員往往不知道去哪里尋找所需要的機(jī)密信息。在每次使用前，員工都可能需要耗費(fèi)很多時(shí)間去尋找所需的信息。

防范機(jī)密蔓延的建議

鑒于機(jī)密蔓延對數(shù)字化發(fā)展的諸多危害，企業(yè)組織應(yīng)該采取積極措施應(yīng)對和預(yù)防：

01采用集中式存儲系統(tǒng)

將敏感信息存儲于“孤島”中弊大于利。防止機(jī)密蔓延的基礎(chǔ)要求就是采用一個(gè)集中式存儲系統(tǒng)，并在這個(gè)系統(tǒng)中集中統(tǒng)一存儲所有的機(jī)密。例如，Amazon Web Services（AWS）機(jī)密管理器就是一個(gè)很好的選擇。集中式存儲系統(tǒng)可以幫助企業(yè)在一個(gè)地方組織和保護(hù)敏感數(shù)據(jù)。企業(yè)需要了解或使用任何機(jī)密信息，也能清楚地知道去哪里找，從而讓業(yè)務(wù)開展變得更加高效。

02對機(jī)密信息進(jìn)行加密

無論機(jī)密信息存放在哪里，對它進(jìn)行加密可以為其賦予安全性，使其不易受到損害。一個(gè)有效的機(jī)密信息管理工具可以提供安全加密服務(wù)，將機(jī)密信息放在一個(gè)安全的集中式存儲系統(tǒng)中是一個(gè)非常有效的安全措施。

03部署機(jī)密掃描工具

機(jī)密蔓延并非都是有意為之。企業(yè)可能并不希望將敏感信息到處亂放，但往往還是會不可避免地發(fā)生了。當(dāng)一條機(jī)密信息已經(jīng)存在于您的系統(tǒng)中，但如果企業(yè)看不到它，就會去創(chuàng)建另一個(gè)副本。防止機(jī)密蔓延的有效方法是部署一個(gè)機(jī)密掃描工具，以檢測企業(yè)的機(jī)密信息何時(shí)被有意或無意地復(fù)制。

04創(chuàng)建強(qiáng)有力的訪問控制

要維護(hù)敏感數(shù)據(jù)的隱私，必須使用有效的訪問控制來控制對該數(shù)據(jù)的訪問。在“需要知道（need-to-know）”的基礎(chǔ)上授予用戶訪問權(quán)限。如果他們沒有業(yè)務(wù)使用需求，則限制他們進(jìn)入這些領(lǐng)域。即使是對開發(fā)人員，也要將他們限制在工作所需的領(lǐng)域內(nèi)，這樣他們就不能輕易接觸到企業(yè)的所有機(jī)密信息。

參考鏈接：

??https://www.makeuseof.com/what-is-secret-sprawl/??

??https://www.csoonline.com/article/3689892/hard-coded-secrets-up-67-as-secrets-sprawl-threatens-software-supply-chain.html??