Schützen von Geheimnissen von Coderepositorys

Defender for Cloud benachrichtigt Organisationen über offengelegte Geheimnisse in Coderepositorys auf GitHub und in Azure DevOps. Die Geheimniserkennung hilft Ihnen, offengelegte Geheimschlüssel wie Token, Kennwörter, Schlüssel oder Anmeldeinformationen, die in einer Datei im Coderepository gespeichert sind, schnell zu erkennen, zu priorisieren und zu beheben.

Wenn Geheimnisse erkannt werden, kann Defender for Cloud Ihrem Sicherheitsteam helfen, umsetzbare Korrekturmaßnahmen zu priorisieren und auszuführen, um das Risiko einer lateralen Bewegung zu minimieren, indem die Zielressource identifiziert wird, auf die der geheime Schlüssel zugreifen kann.

Wie funktioniert die Geheimnisüberprüfung von Coderepositorys?

Die Geheimnisüberprüfung in Coderepositorys basiert auf GitHub Advanced Security für GitHub und Azure DevOps. GitHub Advanced Security überprüft den gesamten Git-Verlauf in allen Branches Ihres Repositorys auf Geheimnisse, auch wenn das Repository bereits archiviert wurde.

Weitere Informationen finden Sie in der Dokumentation zu GitHub Advanced Security für GitHub und Azure DevOps.

Was wird unterstützt?

Die Geheimnisüberprüfung von Coderepositorys ist mit der erforderlichen GitHub Advanced Security-Lizenz verfügbar. Das Anzeigen der Ergebnisse in Defender for Cloud wird im Rahmen der Foundational Cloud Security Posture Management bereitgestellt. Um die Möglichkeiten einer Seitwärtsbewegung (Lateral Movement) für Runtimeressourcen zu erkennen, ist Defender Cloud Security Posture Management erforderlich.

Derzeit sind Angriffspfade für offengelegte Geheimnisse nur für Azure DevOps-Repositorys verfügbar.

Wie verringert die Überprüfung von Coderepositorys Risiken?

Die Überprüfung auf Geheimnisse trägt wie folgt zur Minderung des Risikos bei:

• Verhindern der lateralen Bewegung: Offengelegte Geheimnisse in Coderepositorys stellen ein erhebliches Risiko für unbefugten Zugriff dar, da böswillige Akteure diese Geheimnisse nutzen können, um kritische Ressourcen zu gefährden.
• Entfernen nicht erforderlicher Geheimnisse: Wenn Sie wissen, dass bestimmte Geheimnisse keinen Zugriff auf Ressourcen in Ihrem Mandanten haben, können Sie diese Geheimnisse in Zusammenarbeit mit Entwicklern sicher entfernen. Darüber hinaus wissen Sie auch, wann Geheimnisse ablaufen.
• Stärkung der Sicherheit von Geheimnissen: Sie erhalten Empfehlungen zur Verwendung von Verwaltungssystemen für Geheimnisse wie Azure Key Vault.

Wie kann ich geheimnisbezogene Probleme identifizieren und behandeln?

Es gibt mehrere Möglichkeiten zum Identifizieren und Beheben von offengelegten Geheimnissen. Nicht jede unten aufgeführte Methode wird jedoch für jedes Geheimnis unterstützt.

• Überprüfen von Empfehlungen für Geheimnisse: Wenn Geheimnisse für Ressourcen gefunden werden, wird eine Empfehlung für das relevante Coderepository auf der Seite „Defender for Cloud-Empfehlungen“ ausgelöst.
• Überprüfen von Geheimnissen mit dem Cloudsicherheits-Explorer: Verwenden Sie den Cloudsicherheits-Explorer, um das Cloudsicherheitsdiagramm für Coderepositorys abzufragen, die Geheimnisse enthalten.
• Überprüfen von Angriffspfaden: Die Angriffspfadanalyse überprüft den Cloudsicherheitsgraphen, um Pfade aufzudecken, die von Angreifern verwendet werden können, um in Ihre Umgebung einzudringen und zu wichtigen Ressourcen zu gelangen.

Sicherheitsempfehlungen

Folgende Sicherheitsempfehlungen für Geheimnisse sind verfügbar:

• Azure DevOps-Repositorys: Die Ergebnisse der Geheimnisüberprüfung für Azure DevOps-Repositorys müssen behandelt werden.
• GitHub-Repositorys: Die Ergebnisse der Geheimnisüberprüfung für GitHub-Repositorys müssen behandelt werden

Angriffspfadszenarien

Die Angriffspfadanalyse ist ein graphbasierter Algorithmus, der Ihren Cloudsicherheitsgraphen überprüft, um Pfade aufzudecken, die von Angreifer ausgenutzt werden können, um zu wichtigen Ressourcen zu gelangen. Mögliche Angriffspfade:

• Das Azure DevOps-Repository enthält ein offengelegtes Geheimnis mit lateraler Bewegung zu einer SQL-Datenbank.
• Das öffentlich zugängliche Azure DevOps-Repository enthält ein offengelegtes Geheimnis mit lateraler Bewegung zu einem Speicherkonto.

Abfragen des Cloudsicherheits-Explorers

Zum Untersuchen offengelegter Geheimnisse und von Möglichkeiten der lateralen Bewegung können Sie die folgenden Abfragen verwenden:

• Coderepositorys enthalten Geheimnisse
• Azure DevOps-Repositorys enthalten Geheimnisse, die sich beim Objektspeicher oder verwalteten Datenbanken authentifizieren können

Wie entschärfe ich Probleme mit Geheimnissen effektiv?

Es ist wichtig, Geheimnisse priorisieren und erkennen zu können, für welche Schlüssel sofort Maßnahmen erforderlich sind. Um Sie dabei zu unterstützen, bietet Defender for Cloud Folgendes:

• Umfassende Metadaten für jede Geheimnis, z. B. Dateipfad, Zeilennummer, Spalte, Commithash, Datei-URL, GitHub Advanced Security-Warnungs-URL und einen Hinweis darauf, ob die Zielressource, auf die das Geheimnis Zugriff ermöglicht, vorhanden ist.
• Geheimnismetadaten in Kombination mit Kontext für Cloudressourcen. Dadurch können Sie mit Ressourcen beginnen, die über das Internet verfügbar sind oder Geheimnisse enthalten, die ggf. weitere vertrauliche Ressourcen gefährden. Die Ergebnisse der Geheimnisüberprüfung fließen in die risikobasierte Empfehlungspriorisierung ein.

Zugehöriger Inhalt

Geheimnisüberprüfung für CloudbereitstellungenVM-GeheimnisüberprüfungDevOps-Sicherheitsübersicht