信息化觀察網(wǎng)

約60%的調(diào)查受訪者稱，其公司處理的是泄露的API令牌、SSH密鑰和私有證書。

1Password發(fā)布報(bào)告稱，企業(yè)每年都會(huì)因泄露基礎(chǔ)設(shè)施代碼、憑證和密鑰而損失數(shù)百萬美元。

1Password的報(bào)告題為《藏于明處》（Hiding in Plain Sight），指出企業(yè)因秘密資料被泄而遭遇的損失高達(dá)平均每年120萬美元。研究人員發(fā)現(xiàn)，為了便于訪問和快速推進(jìn)項(xiàng)目，IT和DevOps人員會(huì)在配置文件或源代碼中留下API令牌、SSH密鑰和私有證書等基礎(chǔ)設(shè)施秘密。

報(bào)告突出了來自1Password研究人員的分析和2021年4月針對(duì)美國500位IT和DevOps人員的調(diào)查研究。其中10%的受訪者經(jīng)歷了秘密泄露事件，其公司損失了超過500萬美元。超過60%的受訪者稱其公司應(yīng)對(duì)過秘密泄露事件。

除了金錢損失，40%的受訪者表示自家公司遭遇了品牌信譽(yù)傷害，29%稱因秘密被泄而流失了客戶。

根據(jù)這份報(bào)告和相應(yīng)的調(diào)查，65%的IT和DevOps工作人員稱公司擁有500多份秘密，而近20%宣稱秘密多到無法統(tǒng)計(jì)。

員工每天都要花費(fèi)約25分鐘時(shí)間管理這些秘密，超過一半的受訪者表示該數(shù)字去年出現(xiàn)了大幅上升。

超過61%的受訪者稱，由于公司無法有效管理自身秘密，多個(gè)項(xiàng)目被迫延期。

值得警惕的是，77%的受訪者表示自己仍可訪問前雇主的系統(tǒng)，37%的受訪者則稱自己擁有完整權(quán)限，凸顯出了秘密持續(xù)泄露的主要原因。

秘密泄露的另一因素是云應(yīng)用的普及，52%的IT和DevOps員工稱云應(yīng)用增加了管理秘密的難度。

但I(xiàn)T和DevOps員工承認(rèn)了一些責(zé)任，其中80%稱未能很好地履行管理秘密的職責(zé)。約25%表示自家公司的秘密存放在十個(gè)以上的位置。

IT和DevOps員工還承認(rèn)了通過電子郵件（59%）、Slack(40%)、電子表格/共享文檔（36%）和文本（26%）等不那么安全的信道共享公司的秘密信息。

幾乎所有受訪者都表示公司設(shè)置了管理秘密的策略，但只有不到40%的受訪者稱該策略是強(qiáng)制實(shí)施的。這個(gè)問題在公司領(lǐng)導(dǎo)中間尤為突出。超過62%的受訪者稱，團(tuán)隊(duì)領(lǐng)導(dǎo)、經(jīng)理、副總裁和其他管理層人員因新冠肺炎疫情對(duì)工作的要求而忽視了安全規(guī)則。

1Password首席執(zhí)行官Jeff Shiner表示：“秘密是IT和DevOps的生命線，因?yàn)樗麄儽仨氈С脂F(xiàn)代企業(yè)如今所要求的諸多應(yīng)用和服務(wù)。”

“我們的研究顯示，公司的秘密呈爆發(fā)趨勢(shì)，但I(xiàn)T和DevOps團(tuán)隊(duì)并沒有達(dá)到嚴(yán)格的標(biāo)準(zhǔn)來保護(hù)秘密，在此過程中，企業(yè)面臨著遭遇巨大損失的風(fēng)險(xiǎn)。企業(yè)應(yīng)立即仔細(xì)核查自身秘密管理方式，采用恰當(dāng)?shù)膶?shí)踐和解決方案來“讓秘密回歸秘密”，從而支持企業(yè)安全文化。”