نمو انفجاري للهويات غير البشرية يخلق فجوات أمنية هائلة في بيئات الحوسبة السحابية

نمو انفجاري للهويات غير البشرية يخلق فجوات أمنية هائلة في بيئات الحوسبة السحابية
نمو انفجاري للهويات غير البشرية يخلق فجوات أمنية هائلة في بيئات الحوسبة السحابية
شارك هذا الخبر

كشفت GitGuardian في تقريرها السنوي “حالة انتشار الأسرار 2025” عن أرقام مقلقة تُظهر حجم تسرب البيانات السرية في بيئات البرمجيات الحديثة. وأحد أبرز المحركات لهذا التهديد هو النمو المتسارع لـ “الهويات غير البشرية” (Non-Human Identities – NHIs)، التي فاقت أعداد المستخدمين البشر منذ سنوات، مما يؤدي إلى خلق فجوات أمنية غير مسبوقة.

 أرقام صادمة: 23.77 مليون سر تم تسريبه على GitHub في عام 2024

ارتفع عدد الأسرار المسربة بنسبة 25% مقارنة بعام 2023. هذا التصاعد السريع يعكس التأثير الكبير للهويات غير البشرية – مثل حسابات الخدمة، الميكروسيرفيس، وعملاء الذكاء الاصطناعي – والتي تزيد من مساحة الهجوم التي يمكن أن يستغلها القراصنة.

 أزمة الهوية غير البشرية (NHI)

تشير البيانات إلى أن عدد أسرار الهويات غير البشرية – مثل مفاتيح API، وحسابات Kubernetes – يفوق عدد هويات البشر بمعدل 1 إلى 45 في بيئات DevOps. وعلى الرغم من أن هذه الهويات ضرورية للبنية التحتية الحديثة، إلا أنها تمثل خطراً أمنياً كبيراً عند سوء إدارتها.

الأسوأ من ذلك، أن 70% من الأسرار التي تم اكتشافها في مستودعات GitHub العامة منذ عام 2022 لا تزال فعّالة حتى اليوم، مما يشير إلى فشل شامل في تدوير وإدارة بيانات الاعتماد.

 المستودعات الخاصة ليست بالضرورة آمنة

يعتقد كثير من المطورين أن المستودعات الخاصة آمنة، لكن التقرير يُظهر أن:

  • المستودعات الخاصة تحتوي على أسرار بمعدل 8 أضعاف مقارنة بالمستودعات العامة.

  • 74.4% من التسريبات في المستودعات الخاصة هي أسرار عامة مقابل 58% في العامة.

  • كلمات المرور العامة تشكل 24% من الأسرار الخاصة مقابل 9% فقط في العامة.

  • مفاتيح المؤسسات مثل AWS IAM تظهر في 8% من المستودعات الخاصة، مقابل 1.5% فقط في العامة.

هذا يشير إلى أن المطورين يتساهلون أمنيًا في البيئات الخاصة، معتقدين أنها محمية.

 أدوات الذكاء الاصطناعي تزيد الأمور سوءًا

أدوات مثل GitHub Copilot، رغم دورها في زيادة الإنتاجية، إلا أنها تزيد من معدل تسرب الأسرار بنسبة 40% مقارنة بالمستودعات التي لا تستخدم هذه الأدوات. هذا يشير إلى أن الاعتماد على الذكاء الاصطناعي يدفع المطورين لتقديم السرعة على حساب الأمان.

 أكثر من 100,000 سر صالح مكشوف على Docker Hub

من خلال تحليل 15 مليون صورة Docker عامة، وجدت GitGuardian ما يزيد عن 100 ألف سر صالح، من ضمنها مفاتيح AWS وGCP وتوكنات GitHub خاصة بشركات ضمن قائمة Fortune 500.

  • 97% من هذه الأسرار تم العثور عليها في طبقات الصور

  • 65% منها ضمن تعليمات ENV، ما يكشف نقطة ضعف في أمن الحاويات (Container Security)

 تسرب الأسرار في أدوات التعاون مثل Slack وJira

التسريبات لا تقتصر على المستودعات البرمجية، بل تمتد إلى أدوات مثل Slack وJira وConfluence، حيث:

  • 38% من الأسرار المصنفة حرجة تم اكتشافها في أدوات التعاون مقابل 31% فقط في أنظمة إدارة الكود.

  • فقط 7% من هذه الأسرار تظهر في الكود أيضًا، مما يجعل مشكلة تسرب الأسرار في أدوات التعاون تحديًا خاصًا لا تستطيع معظم أدوات الفحص التعامل معه.

 مشكلة الصلاحيات الواسعة

من أبرز مشكلات التسرب هي أن المفاتيح المسربة غالبًا ما تمنح صلاحيات مفرطة:

  • 99% من مفاتيح GitLab API إما كانت بصلاحيات كاملة أو قراءة فقط

  • 96% من توكنات GitHub توفر صلاحيات كتابة، و95% منها تعطي وصولًا كاملاً للمستودعات

وهذا يُمكّن المهاجمين من التنقل بسهولة داخل الأنظمة والتصعيد الأفقي للامتيازات.

 كيف نكسر دائرة “انتشار الأسرار”؟

رغم اعتماد المؤسسات على أدوات إدارة الأسرار، إلا أن GitGuardian وجدت أن 5.1% من المستودعات التي تستخدم هذه الأدوات لا تزال تحتوي على أسرار مسرّبة.

الحل يتطلب نهجًا شاملاً يشمل:

  • اكتشاف تلقائي للأسرار

  • آليات استجابة سريعة

  • دمج الأمان ضمن دورة حياة التطوير DevSecOps

وسوم
محمد طاهر
محمد طاهر
المقالات: 171

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة