國外安全研究團隊掃描了 1.895 億個 URL,發現超過 18,000 個 API 金鑰外洩,其中 41% 的外洩金鑰屬於高度危險的類別,可能會對組織造成財務風險。外洩的 API 金鑰包括數百個 Stripe、GitHub/GitLab 令牌、RSA 私鑰、OpenAI 金鑰、AWS 令牌、Twitch 秘密金鑰、加密貨幣交易所金鑰、X 令牌以及 Slack 和 Discord 網鉤。
API 金鑰的實際風險
網路爬蟲分析了實際使用情境下的應用程式,從 API 到前端,包括在後台運行的元素,如 JavaScript。這種方法顯示了 API 金鑰和令牌在現實世界中的暴露位置和方式,而不僅僅是在程式碼庫中。
降低外洩風險建議
為了減少風險,研究人員提出以下幾點建議:
- 集中管理令牌:通過集中管理令牌,可以確保安全的存儲、訪問和輪換。將所有令牌放在一個地方,可以全面監控它們的使用情況。
- 定期輪換令牌:經常更新令牌可以減輕潛在威脅的影響。像 AWS Secrets Manager 這樣的工具可以自動化輪換密鑰的過程。
- 將令牌分配給特定的團隊或服務:將每個令牌分配給需要它的指定團隊或服務。
- 制定撤銷策略:如果發生安全漏洞,實施一個簡單的撤銷令牌的流程。
- 分配適當的權限:將每個令牌的權限限制在必要的範圍內,減少損害的可能性。
- 限制令牌範圍:限制每個令牌在系統內的訪問範圍。
- 監控令牌使用模式:積極觀察令牌如何檢測異常或可疑活動。
- 培訓內部團隊:確保所有團隊成員都了解令牌安全的重要性,並始終遵循既定的最佳實踐。
Thales CipherTrust Secrets Management 的重要性
Thales CipherTrust Secrets Management 是企業掌控機密的關鍵工具之一。透過 Akeyless Vault 平台支援,可保護並自動化存取跨 DevOps 工具和雲端工作負載中的重要機密資料,包含密鑰、認證密碼、憑證、API 金鑰和權杖。您可透過單一工具實現金鑰管理和機密管理,減少操作的複雜性,完全掌控企業機密。
參考來源:資安人