Get in Touch

Studi Mengungkapkan Lebih dari Separuh Pemimpin Keamanan Kurang Percaya Diri dalam Melindungi Rahasia Aplikasi

Ini mungkin mengejutkan, tetapi manajemen rahasia telah menjadi gajah di ruang AppSec. Meskipun kerentanan keamanan seperti Common Vulnerabilities and Exposures (CVEs) sering menjadi berita utama di dunia keamanan siber, pengelolaan rahasia tetap menjadi masalah yang diabaikan dan dapat menimbulkan konsekuensi langsung dan berdampak terhadap keselamatan perusahaan.

Sebuah studi baru-baru ini yang dilakukan oleh GitGuardian menemukan bahwa 75% pengambil keputusan TI di AS dan Inggris melaporkan setidaknya satu rahasia bocor dari sebuah aplikasi, dan 60% menyebabkan masalah bagi perusahaan atau karyawan. Yang mengejutkan, kurang dari separuh responden (48%) yakin akan kemampuan mereka untuk melindungi rahasia aplikasi “sebagian besar”.

Penelitian tersebut, diberi nama Suara Praktisi: Rahasia di AppSec (tersedia untuk diunduh gratis di sini), memberikan perspektif segar dalam mengelola rahasia, yang sering kali direduksi menjadi klise yang tidak mencerminkan realitas operasional di departemen teknik.

Meskipun rahasia ada di mana-mana dalam operasi cloud dan pengembangan modern, rahasia tetap menjadi masalah pelik bahkan bagi organisasi yang paling matang sekalipun. Penggandaan jumlah rahasia yang digunakan secara bersamaan dalam siklus pengembangan membuatnya terlalu mudah untuk lepas kendali dari langkah-langkah keamanan yang baik dan “kebocoran”.

Melindungi Rahasia Aplikasi

Ketika suatu rahasia bocor, maka rahasia tersebut bukan lagi rahasia dan dapat diakses oleh sistem atau orang yang tidak berwenang selama jangka waktu tertentu. Kebocoran terutama terjadi secara internal karena rahasia disalin dan ditempelkan ke file konfigurasi, file kode sumber, email, aplikasi perpesanan, dan banyak lagi. Yang terpenting, jika pengembang melakukan hardcode rahasia ke dalam kode atau file konfigurasi mereka dan kode tersebut dimasukkan ke repositori GitHub, rahasia tersebut juga akan dikirim. Skenario terburuk lainnya muncul ketika aktor jahat berhasil mendapatkan kredensial yang bocor secara internal setelah akses awal, serupa dengan apa yang terjadi pada Uber tahun lalu.

Studi Voice of Practioners membuktikan bahwa bahaya terbongkarnya rahasia diakui oleh sebagian besar responden. Tujuh puluh lima persen responden mengatakan bahwa kebocoran rahasia pernah terjadi di organisasi mereka di masa lalu, dan 60% mengakui hal itu menyebabkan masalah serius bagi perusahaan, karyawan, atau keduanya.

Ketika ditanya mengenai poin-poin risiko utama dalam rantai pasokan perangkat lunak mereka, 58% menyatakan bahwa “kode sumber dan repositori” merupakan area risiko utama, dengan 53% menjawab “ketergantungan sumber terbuka” dan 47% menjawab “rahasia yang di-hardcode”.

Namun demikian, tanggapan yang diberikan menunjukkan adanya kesenjangan kedewasaan yang signifikan. Secara khusus, kurang dari separuh responden (48%) yakin akan kemampuan mereka dalam melindungi rahasia aplikasi:

Melindungi Rahasia AplikasiDari Suara Praktisi: Rahasia di AppSec

Selain itu, lebih dari seperempat (27%) responden mengaku mengandalkan peninjauan kode manual untuk mencegah kebocoran rahasia, yang tidak efektif dalam mendeteksi rahasia yang dikodekan secara permanen.

Terakhir, penelitian ini juga menemukan bahwa 53% manajemen senior (seperti CSO, CISO, dan VP keamanan siber) percaya bahwa rahasia dibagikan dalam bentuk teks yang jelas melalui aplikasi perpesanan.

Meskipun ada tantangan, masih ada harapan untuk perbaikan. Studi tersebut mengungkapkan bahwa 94% responden berencana untuk meningkatkan praktik rahasia mereka dalam 12-18 bulan ke depan, yang merupakan langkah positif menuju pengelolaan rahasia dan keamanan perusahaan yang lebih baik. Namun, perlu dicatat bahwa deteksi dan remediasi rahasia, serta pengelolaan rahasia, harus diprioritaskan dalam hal investasi dibandingkan dengan alat lain, seperti alat perlindungan runtime. Meskipun 38% responden berencana berinvestasi pada alat perlindungan aplikasi runtime, hanya 26% dan 25% yang berencana mengalokasikan dana untuk deteksi dan remediasi rahasia serta pengelolaan rahasia.

Program Manajemen Rahasia yang Komprehensif

Semakin banyak rahasia yang bocor setiap tahunnya. GitGuardian memantau jumlah kebocoran tahunan pada platform berbagi kode nomor satu, GitHub, dan mempublikasikan hasilnya dalam laporan tahunan State of Secrets Sprawl. Sekali lagi, angka-angka tersebut menimbulkan kekhawatiran: dari 3 juta rahasia yang terdeteksi pada tahun 2021, jumlahnya melonjak 67% menjadi 10 juta pada tahun 2022. Dan ini hanyalah puncak gunung es. Sebagian besar kebocoran terjadi di dalam lingkup perusahaan, sehingga sangat sulit untuk memperkirakan angka globalnya.

Untuk mengatasi risiko yang semakin besar ini, perusahaan perlu memperkuat manajemen rahasia mereka sebagai prioritas untuk memperkuat pertahanan mereka.

Dalam wawancara baru-baru ini dengan GitGuardian, mantan CISO Ubisoft Jason Haddix menjelaskan bagaimana pentingnya manajemen rahasia menjadi jelas setelah perusahaan tersebut menjadi sasaran geng peretasan Laspsus$ pada Maret 2022. Setelah berbicara dengan 40 CISO lain yang terkena dampak, ia menemukan solusi empat sumbu program untuk mengembangkan program pengelolaan rahasia yang komprehensif:

  • Deteksi: kemampuan untuk menemukan semua kebocoran di masa lalu memerlukan alat otomatis dan merupakan langkah penting untuk mendapatkan visibilitas mengenai postur keamanan perusahaan yang sebenarnya.
  • Mencegah: menghemat waktu untuk masa depan dengan mencegah kebocoran sebanyak mungkin, dengan pagar pembatas yang aman seperti kait pra-komit.
  • Menanggapi: rahasia bocor karena perlu dibagikan. Memiliki alat untuk menyimpan, berbagi, dan merotasi rahasia ini serta kontrol akses yang cermat juga penting.
  • Mendidik: mengadakan sesi pembelajaran berkelanjutan tentang rahasia, tidak hanya untuk pengembang tetapi juga untuk semua karyawan, memastikan risiko yang terkait dengan rahasia dan kata sandi hard-coding, serta praktik terbaik, dapat dipahami.

    • Kesimpulan

    Studi Voice of Practitioners menyoroti pentingnya strategi rahasia holistik di AppSec dan memberikan wawasan berharga tentang praktik terbaik untuk mengurangi risiko yang terkait dengan penyebaran rahasia. Pengelolaan rahasia terlihat seperti hutang yang bertambah seiring berjalannya waktu. Jika menunggu terlalu lama, masalah yang ada pada akhirnya akan menjadi terlalu besar untuk diabaikan, sehingga menempatkan organisasi Anda pada risiko konsekuensi serius.

    Jika Anda ingin meningkatkan program manajemen rahasia Anda, langkah sederhana yang dapat Anda ambil sekarang adalah meminta audit gratis atas kebocoran rahasia perusahaan Anda di GitHub dari GitGuardian. Laporan otomatis yang akan Anda terima akan menunjukkan jumlah pengembang aktif di GitHub, jumlah rahasia yang ditemukan di repositori GitHub dari waktu ke waktu (dikategorikan), dan persentase rahasia valid di antara mereka.

    Ini akan membantu Anda secara akurat menentukan perimeter pengembang Anda di GitHub, mengevaluasi tingkat besarnya risiko yang dihadapi perusahaan Anda, dan mengambil langkah pertama menuju program manajemen rahasia yang komprehensif.

    Apakah artikel ini menarik? Ikuti kami di Twitter  dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

    Source link

    You may also like

    Leave a Reply

    Your email address will not be published. Required fields are marked *