Detekce tajemství

TL;DR

Detekce tajemství nachází citlivé informace jako API klíče, hesla, tokeny a přihlašovací údaje ve zdrojovém kódu, konfiguračních souborech nebo logách, což pomáhá předcházet náhodnému odhalení.

Nástroj pro detekci tajemství skenuje repozitáře, pipeline a kontejnery, aby pomohl předcházet únikům dat a neoprávněnému přístupu.

Zachycení problémů s tajemstvími včas pomáhá chránit vaše aplikace, API a cloudové služby před útočníky.

Co je detekce tajemství?

Detekce tajemství je proces skenování kódových základů, CI/CD pipeline a cloudu za účelem identifikace odhalených tajemství, jako jsou API klíče, přihlašovací údaje, šifrovací klíče nebo tokeny. To je klíčové, protože útočníci, jako jsou boti pro vyplňování přihlašovacích údajů nebo únosci cloudových zdrojů, mohou tyto odhalené tajemství využít k získání neoprávněného přístupu.

Tato “tajemství” jsou často používána k autentizaci uživatelů nebo připojení ke službám, jako jsou Slack webhooks nebo Stripe platební API. Když jsou náhodně nahrána do veřejného repozitáře jako GitHub, útočníci je mohou využít k získání přístupu k systému, databázi nebo cloudovému účtu, ke kterému se připojujete.

Proč je detekce tajemství důležitá?

Tajemství se mohou objevit v souborech prostředí, zdrojovém kódu, YAML konfiguračních souborech a CI/CD logách.

Pokud jsou tajemství odhalena, mohou způsobit vážné bezpečnostní narušení.

Porozumění a zmírnění těchto rizik může významně zlepšit bezpečnost a soulad. Čtyři největší rizika jsou:

• Zabraňte neoprávněnému přístupu: Odhalený tajný klíč může umožnit útočníkovi přístup k produkčním datům nebo cloudovým službám.
• Vyhněte se nákladným únikům: Kompromitované přihlašovací údaje jsou jednou z hlavních příčin úniků dat, jako například únik Uberu v roce 2022, který začal odhaleným PowerShell skriptem obsahujícím pevně zakódované přihlašovací údaje.
• Podpora souladu: Rámce jako SOC 2, GDPR a ISO 27001 vyžadují ochranu citlivých dat a tajemství.
• Snížení lidské chyby: Automatizace detekce tajemství pomáhá zachytit úniky před nasazením kódu do produkce, čímž se předchází větším únikům.

Jak funguje detekce tajemství

Nástroje pro detekci tajemství používají porovnávání vzorů, analýzu entropie a strojové učení k nalezení a klasifikaci citlivých informací ve vašem kódu nebo infrastruktuře.

Typický pracovní postup:

1. Skenování kódu a konfigurací: Nástroj skenuje repozitáře, kontejnery a šablony IaC (Infrastructure as Code) pro přihlašovací údaje a tokeny.
2. Identifikace vzoru: Detekuje běžné typy tajemství jako přístupové klíče AWS, JWT tokeny nebo soukromé klíče SSH.
3. Korelace kontextu: Nástroje posuzují, zda je detekovaný řetězec skutečně tajemstvím nebo falešně pozitivním.
4. Upozornění a náprava: Týmy dostanou upozornění, což jim umožní zrušit a otočit kompromitovaná tajemství.
5. Nepřetržité monitorování: Integrujte detekci do verzovacího systému nebo CI/CD pro nepřetržitou ochranu.

Kdo používá detekci tajemství

• Vývojáři: Zachyťte pevně zakódovaná tajemství před jejich odesláním do úložiště.
• Týmy DevSecOps: Integrujte skenování tajemství do pipeline.
• Bezpečnostní inženýři: Monitorujte úložiště a kontejnery kvůli únikům.
• Týmy pro dodržování předpisů: Zajistěte, aby byly přihlašovací údaje spravovány bezpečně.

Kdy by měla být detekce tajemství implementována?

• Před odesláním (zvažte použití git commit-msg hook): Použijte pre-commit hooky k zablokování expozice tajemství před jejich odesláním.
• Během CI/CD (soulad s git push): Automatizujte detekci při každém sestavení nebo nasazení, abyste zachytili jakákoliv tajemství před finální integrací.
• Průběžně (považujte to za součást procesu git pull nebo post-deploy): Pravidelně monitorujte produkční prostředí kvůli nově odhaleným tajemstvím.

Příklad v praxi

Vývojový tým omylem odešle AWS přihlašovací údaje do veřejného GitHub repo. Během několika hodin se útočníci pokusí použít tyto klíče k spuštění EC2 instancí, což způsobí náklady přibližně 15 000 USD na neoprávněné použití během šesti hodin.

S povolenou detekcí tajemství systém okamžitě označí expozici, automaticky zruší odhalené přihlašovací údaje a upozorní tým DevSecOps, aby zabránil potenciálnímu kompromitaci cloudu.

Klíčové schopnosti nástrojů pro detekci tajemství

Schopnost	Popis
Rozpoznávání vzorů	Detekuje běžné formáty přihlašovacích údajů (API klíče, tokeny, SSH).
Skenování entropie	Nachází náhodně vypadající řetězce, které mohou být tajemstvími.
Automatizovaná revokace	Revokuje nebo rotuje kompromitované přihlašovací údaje.
Integrace do pipeline	Automaticky skenuje kód v CI/CD pracovních postupech.
Centralizovaný dashboard	Poskytuje přehled o tom, kde jsou tajemství nalezena.
Vynucování politiky	Blokuje commity obsahující tajemství.

Populární nástroje pro detekci tajemství

• Plexicus ASPM – Unifikovaná platforma AppSec kombinující detekci tajemství, SCA a skenování IaC.
• GitGuardian – Detekuje vystavené přihlašovací údaje napříč repozitáři.
• TruffleHog – Open-source nástroj pro skenování repozitářů a historie commitů.
• Gitleaks – Lehký skener pro detekci tajemství v Git repozitářích.
• SpectralOps – Monitoruje tajemství v CI/CD, kontejnerech a API.

Nejlepší praxe pro správu tajemství

• Nikdy neukládejte tajemství přímo do zdrojového kódu.
• Používejte správce tajemství jako AWS Secret Manager nebo HashiCorp Vault.
• Pravidelně měňte přihlašovací údaje.
• Nepřetržitě monitorujte nově vystavená tajemství.
• Školte vývojářský tým v nejlepších praktikách bezpečného kódování.

Související termíny

• SCA (Analýza složení softwaru)
• ASPM (Řízení bezpečnostního postoje aplikací)
• DevSecOps
• Řízení bezpečnostního postoje cloudu (CSPM)
• Bezpečnost CI/CD