根據外媒報導,Escape的團隊透過爬蟲發現在1億8950萬個URL當中有18000個API金鑰外洩,這當中又有高達41%屬於高度危險的類別,可能對組織的財務造成風險。外洩的API當中包括GitHub/GitLab 令牌、RSA 私鑰以及Slack 和 Discord 網鉤。為了降低API金鑰外洩的風險,Escape 的研究人員提出了以下幾點建議:
- 集中管理令牌:通過集中管理令牌,可以確保安全的存儲、訪問和輪換。將所有令牌放在一個地方,可以全面監控它們的使用情況。
- 定期輪換令牌:經常更新令牌可以減輕潛在威脅的影響。像 AWS Secrets Manager 這樣的工具可以自動化輪換密鑰的過程。
- 將令牌分配給特定的團隊或服務:將每個令牌分配給需要它的指定團隊或服務。
- 制定撤銷策略:如果發生安全漏洞,實施一個簡單的撤銷令牌的流程。
- 分配適當的權限:將每個令牌的權限限制在必要的範圍內,減少損害的可能性。
- 限制令牌範圍:限制每個令牌在系統內的訪問範圍。
- 監控令牌使用模式:積極觀察令牌如何檢測異常或可疑活動。
- 培訓內部團隊:確保所有團隊成員都了解令牌安全的重要性,並始終遵循既定的最佳實踐。
