Глобальне опитування, проведене GitGuardian у співпраці з CyberArk, виявило, що організації витрачають більш ніж 30% бюджетів безпеки на захист коду своїх програм. Водночас лише 44% розробників дотримуються найкращих практик керування секретами.
В опитуванні взяли участь 1000 ІТ-лідерів з організацій із понад 500 співробітниками.
Також дослідження показало, що 79% респондентів стикалися з витоком секретів у їхній організації або знають про такі випадки. Три чверті (75%) висловили помірну або високу впевненість у здатності своєї організації виявляти та запобігати жорстко закодованим секретам у вихідному коді.
Опитування показало, що 77% респондентів працюють в організаціях, які зараз інвестують або планують інвестувати в інструменти керування секретами до 2025 року, причому 75% зосереджуються на інструментах виявлення та відновлення секретів.
74% опитаних запровадили принаймні частково зрілу стратегію запобігання секретним витокам. Проте 23% досі покладаються на перевірку вручну або не мають чіткої стратегії.
Томас Сегура, технічний інженер GitGuardian, сказав, що найбільша проблема, з якою стикаються організації, коли справа доходить до управління та захисту секретів, полягає в тому, що їх можна знайти всюди. Тим часом кіберзлочинці стали більш вправними, тому зростає кількість інцидентів, коли середовище застосунків скомпрометовано за допомогою вкрадених облікових даних.
Кріс Сміт, директор із маркетингу продуктів у Cyber Ark, постачальника платформи керування привілейованим доступом (PAM), додав, що тепер існує багато типів ідентифікаційних даних людини та машини, які після зламу можуть надати доступ до широкого спектру програм і послуг. У деяких випадках кіберзлочинці місяцями спостерігають за ІТ-середовищем, щоб визначити, як завдати якнайбільшої шкоди.
Найкращий спосіб боротьби з цими потенційними загрозами — спочатку переконатися, що секрети зашифровані у сховищі, а потім мати набір процесів, щоб забезпечити регулярну ротацію цих секретів на випадок, якщо вони могли бути скомпрометовані раніше.
Загалом трохи менше третини респондентів (32%) визнали, що жорстко закодовані секрети становлять ризик для ланцюжка поставок програмного забезпечення.
Крім того, 43% опитаних стурбовані можливістю збільшення витоків у кодових базах, оскільки кіберзлочинці починають використовувати штучний інтелект для виявлення та відтворення шаблонів у тому, як створюються, налаштовуються і зберігаються секрети.
Водночас коли відбувається злам, то середній час для усунення витоку секрету становить 27 днів. Тому навіть після його виявлення у кіберзлочинців все ще залишається значна можливість сіяти хаос.
Оскільки організації більше інвестують в інструменти та платформи DevSecOps, загальний стан безпеки API покращиться.
Опитування Techstrong Research показало, що менше половини (47%) респондентів працюють в організаціях, які регулярно використовують найкращі практики DevSecOps.
Позитивним моментом є і те, що 59% опитаних сказали, що роблять додаткові інвестиції в безпеку програм, а 19% описали рівень своїх інвестицій як високий.
Читайте також на нашому сайті про безпеку як код (SaC): як подолати кіберзагрози на ранніх стадіях.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
