从CISA最近的GitHub泄露事件中汲取的教训Lessons Learned from CISA’s Recent GitHub Leak
CISA针对承包商在公共GitHub仓库中泄露数十个内部凭证(包括AWS Govcloud密钥)长达六个月的事件发布了事后分析报告。专家指出,该机构在初步响应中暴露出的漏洞为所有安全团队提供了重要教训。该事件凸显了第三方承包商管理和凭证监控的薄弱环节。
网络安全和基础设施安全局(CISA)针对最近的一起数据泄露事件发布了事后分析报告。在该事件中,一名承包商在一个公开的 GitHub 代码库中发布了数十个 CISA 内部凭证——包括 AWS Govcloud 密钥,且在 KrebsOnSecurity 通知他们之前,这些凭证已公开了近六个月。专家表示,该机构在初步响应中暴露出的漏洞为所有安全团队提供了应吸取的重要教训。
2026年5月15日,安全公司 GitGuardian 寻求帮助以通知 CISA,指出存在一个名为“Private CISA”的公开 GitHub 代码库,其中包含 844 MB 与 CISA 相关的敏感数据。其中一个名为“importantAWStokens”的暴露文件包含了三台 Amazon AWS GovCloud 服务器的管理凭证。另一个文件“AWS-Workspace-Firefox-Passwords.csv”则列出了数十个 CISA 内部系统的明文用户名和密码。
CISA 迅速确认了我们的初步警报,但花了超过 48 小时才使泄露在 GitHub 代码库中的 AWS 密钥及许多其他重要机密失效。CISA 在其关于此次数据泄露的报告中表示,该机构系统的复杂性以及与联邦和行业合作伙伴的互联导致其密钥轮换耗时比预期更长。
报告指出:“基于此次经验,CISA 鼓励其他机构维持成熟且经过充分测试的密钥管理能力。”
CISA 还承认,在响应来自外部各方的安全事件通知方面,他们可以做得更好。事后分析报告强调,清晰且明确的报告渠道至关重要,以确保影响组织自身的事件与涉及其产品或客户的事件得到区别处理。
CISA 代理首席信息官 Preston Werntz 和代理首席信息安全官 Brad Libbey 在撰写的分析中写道:“在 CISA 的案例中,这些渠道并未明确定义,导致安全研究人员尝试了多种途径——包括给承包商发电子邮件、通过 CISA 的漏洞披露平台提交(该平台旨在处理影响更广泛网络安全社区的漏洞),并最终联系了一名记者。”
CISA 表示正在完善其报告渠道,使其对研究人员来说更简便快捷。“此外,虽然许多研究人员依赖 security.txt 文件,但组织可以通过在多个显眼位置发布报告指南来确保清晰度,”CISA 的作者们写道。
GitGuardian 研究员 Guillaume Valadon 最先就暴露的 CISA 凭证联系了 KrebsOnSecurity,他表示,在我们 5 月 15 日发出通知之前,CISA 忽略了关于这些暴露凭证的九次自动警报。Valadon 所在的公司会不断扫描 GitHub 及其他地方的公开代码库以寻找暴露的机密,并在发现任何明显的敏感数据暴露时自动向违规账户发出警报。
“让九封通知邮件石沉大海,这就是为什么一个一天就能解决的事件演变成了长达六个月的暴露,”Valadon 在对 CISA 报告的分析中写道。“要让报告关于你自身的泄露变得轻而易举,而不仅仅是关于你的产品。向你报告泄露的人并不是威胁。发布一个 security.txt,但不要止步于此。在几个显眼的位置放置报告指南,并确保关于你自身基础设施的报告不会落入产品漏洞队列中。”
报告作者还强调了持续扫描 GitHub 等公共代码库以发现暴露机密的重要性,并表示 CISA 此后已轮换了所有机密,并制定了行动计划以改善开发者机密的管理,以及在未来更好地对其进行监控。
报告指出,尽管 CISA 已制定了应对网络安全事件的预案,但该预案却未涵盖涉及 GitHub 或其他云服务的情况应如何处理。Valadon 表示,该报告证实了持续(而非仅按季度)扫描暴露机密的必要性。
“Private-CISA 仓库处于公开状态长达六个月,”Valadon 写道,“对公共 GitHub 的持续监控使其浮出水面。如果在数据外泄之前进行全面的内部扫描,本可以及早发现明文密码和提交的备份。”
CISA 在安全准备的几个领域给自己打了及格分,称这些准备帮助该机构评估了暴露机密的范围和影响,包括增强的日志记录能力,以及在其生产系统和开发系统中采用零信任原则。CISA 表示,这些详细的日志使其能够证明没有客户或任务数据遭到暴露,且泄露的凭据未在 CISA 环境之外被使用。该机构还表示,泄露机密的承包商已被撤销系统访问权限。
Valadon 认为最大的收获在于 CISA 的复盘本身,并赞扬该机构对哪些措施有效、哪些无效保持了透明。
“据我所知,这也是国家网络安全机构首次公开倡导进行机密扫描,并呼吁简化与安全研究人员的沟通关系,”Valadon 写道,“这正是我们期望从每个组织那里看到的事件沟通方式。”
需要完整排版与评论请前往来源站点阅读。