Gizli Bilgi Tespiti

Özet

Gizli bilgi tespiti, kaynak kod, yapılandırma dosyaları veya günlüklerde API anahtarları, parolalar, belirteçler ve kimlik bilgileri gibi hassas bilgileri bulur ve kazara ifşayı önlemeye yardımcı olur.

Bir gizli bilgi tespit aracı, veri sızıntılarını ve yetkisiz erişimi önlemeye yardımcı olmak için depoları, boru hatlarını ve konteynerleri tarar.

Gizli bilgi sorunlarını erken yakalamak, uygulamalarınızı, API’larınızı ve bulut hizmetlerinizi saldırganlardan korumaya yardımcı olur.

Gizli Bilgi Tespiti Nedir?

Gizli bilgi tespiti, API anahtarları, kimlik bilgileri, şifreleme anahtarları veya belirteçler gibi ifşa edilmiş gizli bilgileri tanımlamak için kod tabanlarını, CI/CD boru hatlarını ve bulutu tarama sürecidir. Bu önemlidir çünkü kimlik bilgisi doldurma botları veya bulut kaynaklarını ele geçiren saldırganlar gibi saldırganlar, bu ifşa edilmiş gizli bilgileri yetkisiz erişim elde etmek için kullanabilir.

Bu “gizli bilgiler” genellikle kullanıcıları kimlik doğrulamak veya Slack web kancaları veya Stripe ödeme API’leri gibi hizmetlere bağlanmak için kullanılır. Yanlışlıkla GitHub gibi bir genel depoya yüklendiklerinde, saldırganlar bunları sisteme, veritabanına veya bağlandığınız bulut hesabına erişim sağlamak için kullanabilir.

Gizli Bilgi Tespiti Neden Önemlidir?

Gizli bilgiler, ortam dosyalarında, kaynak kodda, YAML yapılandırma dosyalarında ve CI/CD günlüklerinde görünebilir.

Gizli bilgiler ifşa edilirse, büyük güvenlik ihlallerine neden olabilirler.

Bu riskleri anlamak ve hafifletmek, güvenliği ve uyumluluğu önemli ölçüde artırabilir. En büyük dört risk şunlardır:

• Yetkisiz erişimi önleyin: Açığa çıkan bir gizli anahtar, bir saldırganın üretim verilerine veya bulut hizmetlerine erişmesine izin verebilir.
• Maliyetli ihlalleri önleyin: Tehlikeye atılmış kimlik bilgileri, veri sızıntılarının en önemli nedenlerinden biridir. Uber 2022 ihlali gibi olaylar, sabit kodlanmış kimlik bilgileri içeren bir PowerShell betiğinin açığa çıkmasıyla başlamıştır.
• Uyumluluğu destekleyin: SOC 2, GDPR ve ISO 27001 gibi çerçeveler, hassas verileri ve sırları korumanızı gerektirir.
• İnsan hatasını azaltın: Gizli bilgi tespitini otomatikleştirmek, kodun üretime dağıtılmadan önce sızıntıları yakalamanıza yardımcı olur ve daha büyük ihlalleri önler.

Gizli Bilgi Tespiti Nasıl Çalışır

Gizli bilgi tespit araçları, kodunuzda veya altyapınızda hassas bilgileri bulmak ve sınıflandırmak için desen eşleştirme, entropi analizi ve makine öğrenimi kullanır.

İşte tipik bir iş akışı:

1. Kod ve Yapılandırmaları Tara: Araç, kimlik bilgileri ve belirteçler için depoları, konteynerleri ve IaC (Kod Olarak Altyapı) şablonlarını tarar.
2. Deseni Tanımla: AWS erişim anahtarları, JWT belirteçleri veya SSH özel anahtarları gibi yaygın gizli bilgi türlerini tespit eder.
3. Bağlamı İlişkilendir: Araçlar, tespit edilen dizenin gerçekten bir gizli bilgi mi yoksa yanlış pozitif mi olduğunu değerlendirir.
4. Uyar ve Düzelt: Ekipler bir uyarı alır, bu da tehlikeye atılmış sırları iptal etmelerine ve döndürmelerine olanak tanır.
5. Sürekli İzleme: Sürekli koruma için tespiti sürüm kontrolüne veya CI/CD’ye entegre edin.

Gizli Bilgi Tespitini Kim Kullanır

• Geliştiriciler: Depoya göndermeden önce sabit kodlanmış sırları yakalayın.
• DevSecOps Ekipleri: Sır taramayı boru hatlarına entegre edin.
• Güvenlik Mühendisleri: Depoları ve konteynerleri sızıntılar için izleyin.
• Uyumluluk Ekipleri: Kimlik bilgilerini güvenli bir şekilde yönetildiğinden emin olun.

Sır Tespiti Ne Zaman Uygulanmalıdır?

• Commit öncesi (git commit-msg hook kullanmayı düşünün): Sırların commit edilmeden önce ifşa edilmesini engellemek için pre-commit hook’ları kullanın.
• CI/CD sırasında (git push ile hizalayın): Her yapı veya dağıtımda otomatik tespit yaparak nihai entegrasyon öncesi sırları yakalayın.
• Sürekli (bunu bir git pull veya dağıtım sonrası süreç olarak düşünün): Üretim ortamını düzenli olarak yeni ifşa edilen sırlar için izleyin.

Uygulamada Örnek

Bir geliştirme ekibi yanlışlıkla AWS kimlik bilgilerini herkese açık bir GitHub deposuna gönderir. Saatler içinde saldırganlar bu anahtarları kullanarak EC2 instance’ları başlatmaya çalışır ve altı saat içinde yaklaşık 15.000 $‘lık yetkisiz kullanım maliyeti oluşur.

Sır tespiti etkinleştirildiğinde, sistem ifşayı hemen işaretler, ifşa edilen kimlik bilgisini otomatik olarak iptal eder ve potansiyel bir bulut ihlalini önlemek için DevSecOps ekibini bilgilendirir.

Sır Tespit Araçlarının Temel Yetkinlikleri

Yetenek	Açıklama
Desen Eşleştirme	Yaygın kimlik bilgisi formatlarını (API anahtarları, tokenlar, SSH) algılar.
Entropi Tarama	Gizli olabilecek rastgele görünen dizeleri bulur.
Otomatik İptal	Tehlikeye giren kimlik bilgilerini iptal eder veya döndürür.
Boru Hattı Entegrasyonu	CI/CD iş akışlarında kodu otomatik olarak tarar.
Merkezi Gösterge Paneli	Gizli bilgilerin nerede bulunduğuna dair görünürlük sağlar.
Politika Uygulama	Gizli bilgiler içeren taahhütleri engeller.

Popüler Gizli Bilgi Tespit Araçları

• Plexicus ASPM – Gizli bilgi tespiti, SCA ve IaC taramasını birleştiren birleşik AppSec platformu.
• GitGuardian – Depolar arasında açığa çıkan kimlik bilgilerini tespit eder.
• TruffleHog – Depoları ve taahhüt geçmişini tarayan açık kaynaklı araç.
• Gitleaks – Git depolarında gizli bilgileri tespit eden hafif tarayıcı.
• SpectralOps – CI/CD, konteynerler ve API’lerdeki gizli bilgileri izler.

Gizli Bilgi Yönetimi İçin En İyi Uygulamalar

• Gizli bilgileri asla kaynak kodunda sabitlemeyin.
• AWS Secret Manager veya HashiCorp Vault gibi gizli bilgi yöneticilerini kullanın.
• Kimlik bilgilerini düzenli olarak değiştirin.
• Yeni açığa çıkan gizli bilgileri sürekli izleyin.
• Geliştirici ekibini güvenli kodlama en iyi uygulamaları konusunda eğitin.

İlgili Terimler

• SCA (Yazılım Bileşimi Analizi)
• ASPM (Uygulama Güvenliği Duruş Yönetimi)
• DevSecOps
• Bulut Güvenliği Duruş Yönetimi (CSPM)
• CI/CD Güvenliği