企業(yè)秘密泄露風(fēng)險(xiǎn)加劇,自動(dòng)化管理成關(guān)鍵

責(zé)任編輯:cres

作者:D1net編譯

2024-11-06 11:03:20

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

一項(xiàng)針對(duì)美、英、德、法四國(guó)企業(yè)的調(diào)查顯示,79%的受訪者曾經(jīng)歷或知曉秘密泄露事件,較去年上升,凸顯了安全挑戰(zhàn)日益嚴(yán)峻。

根據(jù)GitGuardian和CyberArk的說(shuō)法,非人類身份的激增和現(xiàn)代應(yīng)用架構(gòu)的復(fù)雜性帶來(lái)了重大的安全挑戰(zhàn),尤其是在管理敏感憑據(jù)方面。

該報(bào)告基于對(duì)美國(guó)、英國(guó)、德國(guó)和法國(guó)擁有500多名員工的企業(yè)中的1000名IT決策者的調(diào)查,揭示了人們對(duì)秘密泄露相關(guān)風(fēng)險(xiǎn)的意識(shí)和擔(dān)憂顯著增加。

秘密泄露事件不斷上升

79%的受訪者表示,他們?cè)?jīng)歷過(guò)或知曉企業(yè)內(nèi)部發(fā)生秘密泄露事件,這一比例較上一年度的75%有所上升,這凸顯了這一安全挑戰(zhàn)日益普遍。企業(yè)正在通過(guò)大量分配資源來(lái)應(yīng)對(duì)這些挑戰(zhàn),平均將32.4%的安全預(yù)算用于秘密管理和代碼安全。

77%的受訪者表示,他們目前正在投資或計(jì)劃在2025年前投資秘密管理工具,其中75%專注于秘密檢測(cè)和修復(fù)工具,這表明他們致力于直面這一問(wèn)題。

74%的受訪者表示,他們已實(shí)施至少部分成熟的策略來(lái)防止秘密泄露,然而,23%(較2023年的27%有所下降)的受訪者仍依賴人工審查或缺乏明確的策略,這表明一些企業(yè)在意識(shí)或主動(dòng)措施方面存在令人擔(dān)憂的缺失。

75%的受訪者對(duì)企業(yè)檢測(cè)和防止源代碼中硬編碼秘密的能力表示中度至高度信心。在美國(guó),這一信心水平甚至更高,達(dá)到84%。平均而言,受訪者還表示,他們每年能夠輪換36%的秘密。

修復(fù)泄露秘密的平均時(shí)間為27天,然而,GitGuardian的數(shù)據(jù)顯示,實(shí)施秘密檢測(cè)和修復(fù)解決方案可以在一年內(nèi)將這一時(shí)間顯著縮短至約13天。

對(duì)AI和供應(yīng)鏈風(fēng)險(xiǎn)的擔(dān)憂日益加劇

43%擔(dān)心代碼庫(kù)中泄露增加的受訪者強(qiáng)調(diào)了AI學(xué)習(xí)并復(fù)制包含敏感信息的模式的風(fēng)險(xiǎn),此外,32%的受訪者認(rèn)為使用硬編碼秘密是其軟件供應(yīng)鏈中的一個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)。

同樣令人擔(dān)憂的是人為因素,39%的受訪者擔(dān)心對(duì)AI生成的代碼進(jìn)行的安全審查不足,這表明AI輔助的速度和適當(dāng)?shù)陌踩珜?shí)踐之間存在關(guān)鍵差距。對(duì)AI上下文感知(37%)和意外接受硬編碼秘密(36%)的密切相關(guān)擔(dān)憂進(jìn)一步強(qiáng)調(diào),AI能力和安全要求的交匯為潛在的敏感信息暴露提供了多個(gè)途徑,企業(yè)需要積極應(yīng)對(duì)。

GitGuardian首席執(zhí)行官Eric Fourrier表示:“我們2024年的報(bào)告結(jié)果強(qiáng)調(diào)了秘密泄露威脅不斷升級(jí),以及需要穩(wěn)健的自動(dòng)化解決方案來(lái)降低這些風(fēng)險(xiǎn)。雖然對(duì)秘密管理的投資不斷增加令人鼓舞,但企業(yè)必須優(yōu)先實(shí)施包括早期檢測(cè)、快速修復(fù)以及強(qiáng)烈關(guān)注開(kāi)發(fā)人員教育和最佳實(shí)踐在內(nèi)的全面策略。企業(yè)必須積極解決這些擔(dān)憂,并加強(qiáng)其安全態(tài)勢(shì),以保護(hù)其敏感數(shù)據(jù)并保持競(jìng)爭(zhēng)優(yōu)勢(shì)。”

CyberArk機(jī)器身份安全總經(jīng)理Kurt Sand表示:“安全領(lǐng)導(dǎo)者日益認(rèn)識(shí)到保護(hù)機(jī)器身份和消除硬編碼秘密的重要性,這令人鼓舞,然而,近四分之一的受訪者仍使用手動(dòng)系統(tǒng)來(lái)處理泄露,這表明需要通過(guò)自動(dòng)化來(lái)提高安全性、修復(fù)效率和效能。隨著對(duì)AI的需求繼續(xù)推動(dòng)機(jī)器身份的增加,企業(yè)需要可擴(kuò)展的自動(dòng)化機(jī)器身份安全方法。”

盡管企業(yè)在秘密管理方面表現(xiàn)出更高的意識(shí)和投資——77%計(jì)劃在2025年前投資相關(guān)工具——但秘密泄露事件的不斷增加(79%的企業(yè))表明,隨著數(shù)字化轉(zhuǎn)型的推進(jìn),這一挑戰(zhàn)仍在持續(xù)加劇。

企業(yè)網(wǎng)D1net(r5u5c.cn):

國(guó)內(nèi)主流的to B IT門(mén)戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)