Gizli Bilgi Tespiti

Özet

Gizli bilgi tespiti, kaynak kod, yapılandırma dosyaları veya günlüklerde API anahtarları, parolalar, belirteçler ve kimlik bilgileri gibi hassas bilgileri bulur, yanlışlıkla ifşa edilmesini önlemeye yardımcı olur.

Bir gizli bilgi tespit aracı, veri sızıntılarını ve yetkisiz erişimi önlemeye yardımcı olmak için depoları, boru hatlarını ve konteynerleri tarar.

Gizli bilgi sorunlarını erken yakalamak, uygulamalarınızı, API’lerinizi ve bulut hizmetlerinizi saldırganlardan korumaya yardımcı olur.

Gizli Bilgi Tespiti Nedir?

Gizli bilgi tespiti, API anahtarları, kimlik bilgileri, şifreleme anahtarları veya belirteçler gibi ifşa edilmiş gizli bilgileri belirlemek için kod tabanlarını, CI/CD boru hatlarını ve bulutu tarama sürecidir. Bu, kimlik bilgisi doldurma botları veya bulut kaynaklarını ele geçiren saldırganlar gibi saldırganların bu ifşa edilmiş gizli bilgileri yetkisiz erişim elde etmek için kullanabileceği için çok önemlidir.

Bu “gizli bilgiler” genellikle kullanıcıları kimlik doğrulamak veya Slack web kancaları veya Stripe ödeme API’leri gibi hizmetlere bağlanmak için kullanılır. Yanlışlıkla GitHub gibi bir genel depoya yüklendiklerinde, saldırganlar bunları sisteme, veritabanına veya bağlandığınız bulut hesabına erişim sağlamak için kullanabilir.

Gizli Bilgi Tespiti Neden Önemlidir?

Gizli bilgiler, ortam dosyalarında, kaynak kodda, YAML yapılandırma dosyalarında ve CI/CD günlüklerinde ortaya çıkabilir.

Gizli bilgiler ifşa edilirse, büyük güvenlik ihlallerine neden olabilir.

Bu riskleri anlamak ve hafifletmek, güvenlik ve uyumluluğu önemli ölçüde artırabilir. En büyük dört risk şunlardır:

• Yetkisiz erişimi önleyin: Açığa çıkan bir gizli anahtar, bir saldırganın üretim verilerine veya bulut hizmetlerine erişmesine izin verebilir.
• Maliyetli ihlalleri önleyin: Kompromize edilmiş kimlik bilgileri, veri sızıntılarının başlıca nedenlerinden biridir, tıpkı Uber 2022 ihlali gibi, sabit kodlanmış kimlik bilgileri içeren bir PowerShell betiğinden başlamıştır.
• Uyumluluğu destekleyin: SOC 2, GDPR ve ISO 27001 gibi çerçeveler, hassas verileri ve sırları korumanızı gerektirir.
• İnsan hatasını azaltın: Sır algılamayı otomatikleştirmek, kod üretime dağıtılmadan önce sızıntıları yakalamanıza yardımcı olur ve daha büyük ihlalleri önler.

Sır Algılama Nasıl Çalışır

Sır algılama araçları, kodunuzda veya altyapınızda hassas bilgileri bulmak ve sınıflandırmak için desen eşleştirme, entropi analizi ve makine öğrenimi kullanır.

İşte tipik iş akışı:

1. Kod ve Yapılandırmaları Tara: Araç, kimlik bilgileri ve belirteçler için depoları, konteynerleri ve IaC (Kod Olarak Altyapı) şablonlarını tarar.
2. Deseni Tanımla: AWS erişim anahtarları, JWT belirteçleri veya SSH özel anahtarları gibi yaygın sır türlerini algılar.
3. Bağlamı İlişkilendir: Araçlar, algılanan dizenin gerçekten bir sır mı yoksa yanlış pozitif mi olduğunu değerlendirir.
4. Uyarı ve Düzeltme: Ekipler bir uyarı alır, bu da onların kompromize edilmiş sırları iptal etmelerine ve döndürmelerine olanak tanır.
5. Sürekli İzleme: Sürekli koruma için algılamayı sürüm kontrolü veya CI/CD ile entegre edin.

Sır Algılamayı Kim Kullanır

• Geliştiriciler: Depoya göndermeden önce sabit kodlanmış sırları yakalayın.
• DevSecOps Ekipleri: Sır taramayı boru hatlarına entegre edin.
• Güvenlik Mühendisleri: Depoları ve konteynerleri sızıntılar için izleyin.
• Uyumluluk Ekipleri: Kimlik bilgilerini güvenli bir şekilde yönetildiğinden emin olun.

Sır Tespiti Ne Zaman Uygulanmalıdır?

• Commit öncesi (git commit-msg hook kullanmayı düşünün): Sırların commit edilmeden önce ifşa edilmesini engellemek için pre-commit hook’ları kullanın.
• CI/CD sırasında (git push ile uyumlu): Her yapı veya dağıtım ile otomatik tespit yaparak nihai entegrasyon öncesi sırları yakalayın.
• Sürekli (bunu bir git pull veya dağıtım sonrası süreç olarak düşünün): Üretim ortamını düzenli olarak yeni ifşa edilen sırlar için izleyin.

Uygulamada Örnek

Bir geliştirme ekibi yanlışlıkla AWS kimlik bilgilerini halka açık bir GitHub deposuna gönderir. Saatler içinde saldırganlar bu anahtarları kullanarak EC2 instance’ları başlatmaya çalışır ve altı saat içinde yaklaşık 15.000 dolarlık yetkisiz kullanım maliyeti oluşur.

Sır tespiti etkinleştirildiğinde, sistem ifşayı hemen işaretler, ifşa edilen kimlik bilgisini otomatik olarak iptal eder ve potansiyel bir bulut güvenlik açığını önlemek için DevSecOps ekibini bilgilendirir.

Sır Tespit Araçlarının Ana Özellikleri

Yetkinlik	Açıklama
Desen Eşleştirme	Yaygın kimlik bilgisi formatlarını (API anahtarları, belirteçler, SSH) algılar.
Entropi Tarama	Gizli olabilecek rastgele görünen dizeleri bulur.
Otomatik İptal	Tehlikeye atılmış kimlik bilgilerini iptal eder veya döndürür.
Boru Hattı Entegrasyonu	CI/CD iş akışlarında kodu otomatik olarak tarar.
Merkezi Kontrol Paneli	Gizli bilgilerin nerede bulunduğuna dair görünürlük sağlar.
Politika Uygulama	Gizli bilgiler içeren taahhütleri engeller.

Popüler Gizli Bilgi Tespit Araçları

• Plexicus ASPM – Gizli bilgi tespiti, SCA ve IaC taramasını birleştiren birleşik AppSec platformu.
• GitGuardian – Depolar arasında açığa çıkan kimlik bilgilerini tespit eder.
• TruffleHog – Depoları ve taahhüt geçmişini tarayan açık kaynaklı araç.
• Gitleaks – Git depolarında gizli bilgileri tespit eden hafif tarayıcı.
• SpectralOps – CI/CD, konteynerler ve API’lerdeki gizli bilgileri izler.

Gizli Bilgi Yönetimi İçin En İyi Uygulamalar

• Gizli bilgileri kaynak kodunda asla sabitlemeyin.
• AWS Secret Manager veya HashiCorp Vault gibi gizli bilgi yöneticilerini kullanın.
• Kimlik bilgilerini düzenli olarak değiştirin.
• Sürekli olarak yeni açığa çıkan gizli bilgileri izleyin.
• Geliştirici ekibini güvenli kodlama en iyi uygulamaları konusunda eğitin.

İlgili Terimler

• SCA (Yazılım Bileşimi Analizi)
• ASPM (Uygulama Güvenliği Duruş Yönetimi)
• DevSecOps
• Bulut Güvenliği Duruş Yönetimi (CSPM)
• CI/CD Güvenliği