Detectar credenciales filtradas es solo la parte de la batalla. El definitivo desafío, y a menudo la parte descuidada de la ecuación, es lo que sucede a posteriori de la detección. Una nueva investigación del crónica del estado de secretos del estado de Gitguardian 2025 revela una tendencia inquietante: la gran mayoría de los expuestos compañía Los secretos descubiertos en repositorios públicos siguen siendo válidos durante primaveras a posteriori de la detección, creando una superficie de ataque en expansión que muchas organizaciones no abordan.
Según el descomposición de Gitguardian de los secretos expuestos en los repositorios públicos de GitHub, un porcentaje amenazador de credenciales detectadas ya en 2022 sigue siendo válido hoy:
«Detectar un secreto filtrado es solo el primer paso», dice el equipo de investigación de Gitguardian. «El definitivo desafío radica en la remediación rápida».
Por qué los secretos expuestos siguen siendo válidos
Esta validez persistente sugiere dos posibilidades preocupantes: Las organizaciones desconocen que sus credenciales han sido expuestas (un problema de visibilidad de seguridad), o carecen de los posibles, procesos o emergencia para remediarlos (un problema de operaciones de seguridad). En uno y otro casos, una observación preocupante es que esos secretos ni siquiera se revocan de guisa rutinaria, ni automáticamente del vencimiento predeterminado, ni manualmente como parte de los procedimientos de rotación regulares.
Las organizaciones siguen sin darse cuenta de las credenciales expuestas o carecen de los posibles para abordarlas de guisa efectiva. Los secretos codificados proliferan a través de las bases de código, lo que hace que la remediación integral sea un desafío. La rotación secreta requiere actualizaciones coordinadas en todos los servicios y sistemas, a menudo con el impacto de producción.
Las restricciones de posibles fuerza la priorización de solo las exposiciones de veterano peligro, mientras que los sistemas heredados crean barreras técnicas al no apoyar enfoques modernos como las credenciales efímeras.
Esta combinación de visibilidad limitada, complejidad operativa y limitaciones técnicas explica por qué los secretos codificados a menudo siguen siendo válidos mucho a posteriori de la exposición. Sobrevenir a las soluciones de seguridad de los secretos modernos con sistemas centralizados y automatizados y credenciales de corta duración es ahora una falta operativa, no solo una mejor maña de seguridad.
¿Qué servicios están más en peligro? Las tendencias
Detrás de las estadísticas en bruto se encuentra una verdad amenazador: los sistemas de producción críticos siguen siendo vulnerables correcto a las credenciales expuestas que persisten durante primaveras en repositorios públicos.
El descomposición de secretos expuestos de 2022-2024 revela que las credenciales de la colchoneta de datos, las claves en la cúmulo y los tokens API para servicios esenciales continúan siendo válidos mucho a posteriori de su exposición auténtico. Estos son no las credenciales de prueba o explicación, sino las claves auténticas para los entornos de producción.que representan vías directas para que los atacantes accedan a datos confidenciales de los clientes, infraestructura y sistemas críticos de negocios.
Servicios sensibles aún expuestos (2022–2024):
- MongoDB: los atacantes pueden usarlos para exfiltrarse o corromper datos. Estos son mucho sensibles, ofreciendo a los posibles atacantes ataque a información de identificación personal o información técnica que se puede utilizar para la ascensión de privilegios o el movimiento fronterizo.
- Google Cloud, AWS, Tencent Cloud: estas claves en la cúmulo otorgan a los atacantes potenciales ataque a la infraestructura, el código y los datos del cliente.
- MySQL/PostgreSQL: estas credenciales de bases de datos igualmente persisten en código manifiesto cada año.
Estas no son credenciales de prueba, sino Keys to Live Services.
En los últimos tres primaveras, el panorama de los secretos expuestos en los repositorios públicos ha cambiado de guisa que revelan tanto el progreso como los nuevos riesgos, especialmente para las credenciales de la cúmulo y las bases de datos. Una vez más, estas tendencias reflejan solo las que se han antagónico y siguen siendo válidas, lo que significa No han sido remediados o revocados a pesar de ser expuestos públicamente.
Para las credenciales en la cúmulo, los datos muestran una tendencia recto marcada. En 2023, las credenciales de cúmulo válidas representaron poco menos del 10% de todos los secretos expuestos aún activos. Para 2024, esa billete había aumentado a casi el 16%. Este aumento probablemente refleja la creciente admisión de la infraestructura en la cúmulo y SaaS en entornos empresariales, pero igualmente subraya la lucha continua que enfrentan muchas organizaciones para mandar el ataque a la cúmulo de forma segura, especialmente a medida que la velocidad del desarrollador y la complejidad aumentan.
En contraste, las exposiciones de credenciales de la colchoneta de datos se movieron en la dirección opuesta. En 2023, Las credenciales de colchoneta de datos válidas constituyeron más del 13% de los secretos no remediados detectados, pero para 2024, esa guarismo cayó a menos del 7%. Esta disminución podría indicar que los esfuerzos de conciencia y remediación en torno a las credenciales de la colchoneta de datos, particularmente a posteriori de las violaciones de stop perfil y el veterano uso de los servicios de bases de datos administrados, están comenzando a dar sus frutos.
La conclusión genérico es matizada: si proporcionadamente las organizaciones pueden estar mejorando en la protección de los secretos de la colchoneta de datos tradicional, el rápido aumento de las exposiciones válidas de credenciales en la cúmulo no remediadas sugiere que los nuevos tipos de secretos están tomando su emplazamiento como el más prevalente y riesgoso. A medida que las arquitecturas nativas de la cúmulo se convierten en la norma, la falta de la papeleo de secretos automatizados, las credenciales de corta duración y la rápida remediación es más urgente que nunca.
Estrategias de remediación maña para credenciales de stop peligro
Para someter el peligro planteado por expuesto Credenciales de MongoDBlas organizaciones deben proceder rápidamente para rotar cualquiera que pueda activo filtrado y configurado IP Permising Listing para confinar estrictamente quién puede lograr a la colchoneta de datos. Habilitar el registro de auditorías igualmente es esencia para detectar actividades sospechosas en tiempo verdadero y ayudar con las investigaciones a posteriori de una violación. Para una seguridad a dadivoso plazo, aleje de las contraseñas codificadas aprovechando los secretos dinámicos. Si usa Atlas MongoDB, el ataque programático a la rotación de la contraseña es posible a través de la API para que pueda hacer que sus tuberías de CI/CD gire rutinariamente secretos, incluso si no ha detectado una exposición.
Keys de Google Cloud
Si un Key de la cúmulo de Google se encuentra en la vida expuesto, el movimiento más seguro es la revocación inmediata. Para alertar el peligro futuro, la transición de las claves de la cuenta de servicio pasivo a los métodos modernos de autenticación de corta duración: use la asociación de identidad de carga de trabajo para cargas de trabajo externas, adjunte las cuentas de servicio directamente a los posibles de Google en la cúmulo o implementen suplantación de la cuenta de servicio cuando se requiere ataque al agraciado. Haga cumplir la rotación esencia regular y aplique los principios de pequeño privilegio a todas las cuentas de servicio para minimizar el impacto potencial de cualquier exposición.
AWS IAM CREDENCIALES
Para AWS IAM CREDENCIALESla rotación inmediata es esencial si se sospecha la exposición. La mejor defensa a dadivoso plazo es eliminar las claves de ataque de usuarios de larga duración por completo, optando por roles IAM y AWS STS para proporcionar credenciales temporales para las cargas de trabajo. Para sistemas fuera de AWS, aproveche los roles IAM en cualquier emplazamiento. Audite de guisa rutinaria sus políticas de ataque con AWS IAM Access Analyzer y habilite AWS CloudTrail para un registro integral, para que pueda detectar rápidamente y reponer a cualquier uso sospechoso de credenciales.
Al adoptar estas prácticas de papeleo de secretos modernos, enfocarse en credenciales y automatización dinámicas de corta duración, las organizaciones pueden someter significativamente los riesgos planteados por los secretos expuestos y hacer que la remediación sea un proceso rutinario y manejable en emplazamiento de un simulacro de incendio.
Secret Managers Integrations igualmente puede ayudar a resolver esta tarea automáticamente.
Conclusión
La validez persistente de los secretos expuestos representa un peligro de seguridad significativo y a menudo pasado por stop. Si proporcionadamente la detección es esencial, las organizaciones deben priorizar la remediación rápida y el cambio en dirección a las arquitecturas que minimizan el impacto de la exposición a las credenciales.
Como muestran nuestros datos, el problema está empeorando, no mejor, con más secretos que quedan válidos más tiempo a posteriori de la exposición. Al implementar prácticas de papeleo secretas adecuadas y alejarse de las credenciales de larga vida, las organizaciones pueden someter significativamente su superficie de ataque y mitigar el impacto de las exposiciones inevitables.
La expansión del estado de secretos de Gitguardian 2025 proporciona un descomposición completo de las tendencias de exposición de secretos y estrategias de remediación. El crónica completo está habitable en www.gitguardian.com/files/the-state-of-secrets-sprawl-report-2025.
