Організації витрачають більш ніж 30% бюджетів безпеки на захист коду своїх програм. Водночас лише 44% розробників дотримуються найкращих практик керування секретами.

Про це йдеться в опитувнні GitGuardian у співпраці з CyberArk.

В опитуванні взяли участь 1000 ІТ-лідерів з організацій із понад 500 співробітниками.

Також дослідження показало, що 79% респондентів стикалися з витоком секретів у їхній організації або знають про такі випадки. Три чверті (75%) висловили помірну або високу впевненість у здатності своєї організації виявляти та запобігати жорстко закодованим секретам у вихідному коді.

Опитування показало, що 77% респондентів працюють в організаціях, які зараз інвестують або планують інвестувати в інструменти керування секретами до 2025 року, причому 75% зосереджуються на інструментах виявлення та відновлення секретів.

74% опитаних запровадили принаймні частково зрілу стратегію запобігання секретним витокам. Проте 23% досі покладаються на перевірку вручну або не мають чіткої стратегії.

Томас Сегура, технічний інженер GitGuardian, сказав, що найбільша проблема, з якою стикаються організації, коли справа доходить до управління та захисту секретів, полягає в тому, що їх можна знайти всюди. Тим часом кіберзлочинці стали більш вправними, тому зростає кількість інцидентів, коли середовище застосунків скомпрометовано за допомогою вкрадених облікових даних.

Кріс Сміт, директор із маркетингу продуктів у Cyber ​​Ark, постачальника платформи керування привілейованим доступом (PAM), додав, що тепер існує багато типів ідентифікаційних даних людини та машини, які після зламу можуть надати доступ до широкого спектру програм і послуг. У деяких випадках кіберзлочинці місяцями спостерігають за ІТ-середовищем, щоб визначити, як завдати якнайбільшої шкоди.

Найкращий спосіб боротьби з цими потенційними загрозами — спочатку переконатися, що секрети зашифровані у сховищі, а потім мати набір процесів, щоб забезпечити регулярну ротацію цих секретів на випадок, якщо вони могли бути скомпрометовані раніше.

Загалом трохи менше третини респондентів (32%) визнали, що жорстко закодовані секрети становлять ризик для ланцюжка поставок програмного забезпечення.

Крім того, 43% опитаних стурбовані можливістю збільшення витоків у кодових базах, оскільки кіберзлочинці починають використовувати штучний інтелект для виявлення та відтворення шаблонів у тому, як створюються, налаштовуються і зберігаються секрети.

Водночас коли відбувається злам, то середній час для усунення витоку секрету становить 27 днів. Тому навіть після його виявлення у кіберзлочинців все ще залишається значна можливість сіяти хаос.

Оскільки організації більше інвестують в інструменти та платформи DevSecOps, загальний стан безпеки API покращиться.

Опитування Techstrong Research показало, що менше половини (47%) респондентів працюють в організаціях, які регулярно використовують найкращі практики DevSecOps. Позитивним моментом є і те, що 59% опитаних сказали, що роблять додаткові інвестиції в безпеку програм, а 19% описали рівень своїх інвестицій як високий.

Нагадаємо, Українська Дія опинилася серед найкращих винаходів світу

Софія Ратинська - pravdatutnews.com