Geheimdetectie

TL;DR

Geheimdetectie vindt gevoelige informatie zoals API-sleutels, wachtwoorden, tokens en inloggegevens in broncode, configuratiebestanden of logs, wat helpt om onbedoelde blootstelling te voorkomen.

Een geheimdetectietool scant repositories, pijplijnen en containers om datalekken en ongeautoriseerde toegang te helpen voorkomen.

Het vroegtijdig opsporen van geheime problemen helpt uw applicaties, API’s en clouddiensten te beschermen tegen aanvallers.

Wat is Geheimdetectie?

Geheimdetectie is het proces van het scannen van codebases, CI/CD-pijplijnen en de cloud om blootgestelde geheimen zoals API-sleutels, inloggegevens, encryptiesleutels of tokens te identificeren. Dit is cruciaal omdat aanvallers, zoals credential-stuffing bots of cloud resource hijackers, deze blootgestelde geheimen kunnen misbruiken om ongeautoriseerde toegang te verkrijgen.

Deze “geheimen” worden vaak gebruikt om gebruikers te authenticeren of verbinding te maken met diensten zoals Slack-webhooks of Stripe-betaal-API’s. Wanneer ze per ongeluk naar een openbare repository zoals GitHub worden gepusht, kunnen aanvallers ze misbruiken om toegang te krijgen tot het systeem, de database of het cloudaccount waarmee u verbinding maakt.

Waarom is Geheimdetectie Belangrijk?

Geheimen kunnen verschijnen in omgevingsbestanden, broncode, YAML-configuratiebestanden en CI/CD-logs.

Als geheimen worden blootgesteld, kunnen ze grote beveiligingsinbreuken veroorzaken.

Het begrijpen en mitigeren van deze risico’s kan de beveiliging en naleving aanzienlijk verbeteren. De vier grootste risico’s zijn:

• Voorkom ongeautoriseerde toegang: Een blootgestelde geheime sleutel kan een aanvaller toegang geven tot productiedata of clouddiensten.
• Vermijd kostbare inbreuken: Gecompromitteerde inloggegevens zijn een van de belangrijkste oorzaken van datalekken, zoals de Uber 2022 inbreuk, die begon met een blootgesteld PowerShell-script met hardcoded inloggegevens.
• Ondersteun naleving: Frameworks zoals SOC 2, GDPR, en ISO 27001 vereisen dat u gevoelige data en geheimen beschermt.
• Verminder menselijke fouten: Het automatiseren van geheime detectie helpt u lekken te ontdekken voordat code naar productie wordt ingezet, waardoor grotere inbreuken worden voorkomen.

Hoe Geheime Detectie Werkt

Geheime detectietools gebruiken patroonherkenning, entropieanalyse en machine learning om gevoelige informatie in uw code of infrastructuur te lokaliseren en te classificeren.

Hier is de typische workflow:

1. Scan Code & Configuraties: De tool scant repositories, containers en IaC (Infrastructure as Code) templates op inloggegevens en tokens
2. Identificeer Patroon: Het detecteert veelvoorkomende geheimentypes zoals AWS-toegangssleutels, JWT-tokens of SSH-private sleutels.
3. Correlatie Context: Tools beoordelen of de gedetecteerde string daadwerkelijk een geheim is of een vals positief.
4. Waarschuw & Herstel: Teams krijgen een waarschuwing, waardoor ze gecompromitteerde geheimen kunnen intrekken en roteren
5. Continue Monitoring: Integreer detectie in versiebeheer of CI/CD voor continue bescherming.

Wie Gebruikt Geheime Detectie

• Ontwikkelaars: Vang hardcoded geheimen voordat ze naar de repository worden gecommit.
• DevSecOps Teams: Integreer geheime scanning in pipelines.
• Security Engineers: Monitor repositories en containers op lekken.
• Compliance Teams: Zorg ervoor dat inloggegevens veilig worden beheerd.

Wanneer Moet Geheime Detectie Worden Geïmplementeerd?

• Voor commit (overweeg het gebruik van git commit-msg hook): Gebruik pre-commit hooks om blootstelling van geheimen te blokkeren voordat ze worden gecommit.
• Tijdens CI/CD (afstemmen met git push): Automatiseer detectie bij elke build of deployment om eventuele geheimen te vangen voordat de definitieve integratie plaatsvindt.
• Continu (denk aan dit als onderdeel van een git pull of post-deploy proces): Monitor regelmatig de productieomgeving op nieuw blootgestelde geheimen.

Voorbeeld in de Praktijk

Een ontwikkelingsteam pusht per ongeluk AWS-inloggegevens naar een openbare GitHub-repo. Binnen enkele uren proberen aanvallers die sleutels te gebruiken om EC2-instances te lanceren, wat resulteert in een kostenpost van ongeveer $15.000 aan ongeautoriseerd gebruik binnen zes uur.

Met geheime detectie ingeschakeld, markeert het systeem de blootstelling onmiddellijk, trekt automatisch de blootgestelde inloggegevens in en waarschuwt het DevSecOps-team om een potentiële cloudcompromis te voorkomen.

Belangrijke Capaciteiten van Geheime Detectietools

Capaciteit	Beschrijving
Patroonherkenning	Detecteert veelvoorkomende referentieformaten (API-sleutels, tokens, SSH).
Entropiescanning	Vindt willekeurig uitziende strings die geheimen kunnen zijn.
Geautomatiseerde Intrekking	Intrekt of roteert gecompromitteerde referenties.
Pipeline-integratie	Scant automatisch code in CI/CD-workflows.
Gecentraliseerd Dashboard	Geeft inzicht in waar geheimen worden gevonden.
Beleidsafdwinging	Blokkeert commits die geheimen bevatten.

Populaire Tools voor Geheimdetectie

• Plexicus ASPM – Geïntegreerd AppSec-platform dat geheime detectie, SCA en IaC-scanning combineert.
• GitGuardian – Detecteert blootgestelde referenties in repositories.
• TruffleHog – Open-source tool voor het scannen van repositories en commitgeschiedenis.
• Gitleaks – Lichtgewicht scanner voor het detecteren van geheimen in Git-repositories.
• SpectralOps – Bewaakt geheimen in CI/CD, containers en API’s.

Beste Praktijken voor Geheimbeheer

• Codeer nooit geheimen hard in broncode.
• Gebruik geheime managers zoals AWS Secret Manager of HashiCorp Vault.
• Verander regelmatig referenties.
• Monitor continu voor nieuwe blootgestelde geheimen.
• Train het ontwikkelteam in best practices voor veilig coderen.

Gerelateerde Termen

• SCA (Software Composition Analysis)
• ASPM (Application Security Posture Management)
• DevSecOps
• Cloud Security Posture Management (CSPM)
• CI/CD Security