Compartir vía


Protección de secretos del repositorio de código

Defender for Cloud notifica a las organizaciones los secretos expuestos en repositorios de código de GitHub y Azure DevOps. La detección de secretos le ayuda a detectar, priorizar y corregir rápidamente secretos expuestos, como tokens, contraseñas, claves o credenciales almacenadas en cualquier archivo del repositorio de código.

Si se detectan secretos, Defender for Cloud puede ayudar al equipo de seguridad a priorizar y realizar pasos de corrección accionables para minimizar el riesgo de desplazamiento lateral mediante la identificación del recurso de destino al que puede acceder el secreto.

¿Cómo funciona el análisis de secretos del repositorio de código?

El examen de secretos de repositorios de código se basa en GitHub Advanced Security para GitHub y Azure DevOps. GitHub Advanced Security examina todo el historial de Git en todas las ramas presentes en el repositorio para conocer los secretos, incluso si el repositorio está archivado.

Para más información, visite la documentación de Seguridad avanzada de GitHub para GitHub y Azure DevOps.

¿Qué es compatible?

El análisis de secretos del repositorio de código está disponible con la licencia de Seguridad avanzada de GitHub necesaria. La visualización de los resultados en Defender for Cloud se proporciona como parte de la administración básica de la postura de seguridad en la nube. Para detectar posibilidades de movimiento lateral a los recursos en tiempo de ejecución, se requiere la administración de la posición de seguridad en la nube.

En este momento, las rutas de acceso de ataque para secretos expuestos solo están disponibles para los repositorios de Azure DevOps.

¿Cómo mitiga el análisis del repositorio de código el riesgo?

El examen de secretos ayuda a reducir el riesgo con las siguientes mitigaciones:

  • Prevención del movimiento lateral: la detección de secretos expuestos dentro de los repositorios de código supone un riesgo significativo de acceso no autorizado, ya que los actores de amenazas pueden aprovechar estos secretos para poner en peligro los recursos críticos.
  • Eliminación de secretos que no son necesarios: al saber que los secretos específicos no tienen acceso a ningún recurso del inquilino, puede trabajar de forma segura con los desarrolladores para quitar estos secretos. Además, sabrá cuándo expiran los secretos.
  • Reforzar la seguridad de los secretos: obtención de recomendaciones para usar sistemas de administración de secretos como Azure Key Vault.

¿Cómo puedo identificar y corregir problemas de secretos?

Hay varias maneras de identificar y corregir secretos expuestos. Sin embargo, no se admiten todos los métodos enumerados a continuación para cada secreto.

  • Revisar recomendaciones de secretos: cuando se encuentran secretos en recursos, se desencadena una recomendación para el repositorio de código pertinente en la página Recomendaciones de Defender for Cloud.
  • Revisión de secretos con Cloud Security Explorer: use Cloud Security Explorer para consultar el gráfico de seguridad en la nube para repositorios de código que contienen secretos.
  • Revisar las rutas de acceso de ataques: el análisis de rutas de acceso de ataques examina el gráfico de seguridad en la nube para exponer rutas de acceso aprovechables que los ataques pueden usar para infringir el entorno y llegar a recursos de alto impacto.

Recomendaciones de seguridad

Están disponibles las siguientes recomendaciones de seguridad de secretos:

Escenarios de ruta de acceso a ataques

El análisis de rutas de acceso a ataques es un algoritmo basado en gráficos que examina el gráfico de seguridad en la nube para exponer rutas de acceso aprovechables que los atacantes pueden usar para llegar a recursos de alto impacto. Entre las posibles rutas de acceso de ataque se incluyen:

  • El repositorio de Azure DevOps contiene un secreto expuesto con movimiento lateral a una base de datos SQL.
  • El repositorio de Azure DevOps accesible públicamente contiene un secreto expuesto con movimiento lateral a una cuenta de almacenamiento.

Consultas del Explorador de seguridad en la nube

Para investigar secretos expuestos y posibilidades de movimiento lateral, puede usar las siguientes consultas:

¿Cómo se mitigan los problemas de secretos de manera eficaz?

Es importante poder priorizar los secretos e identificar cuáles necesitan atención inmediata. Para ayudarle a hacer esto, Defender for Cloud proporciona lo siguiente:

  • Metadatos enriquecidos para cada secreto, como la ruta de acceso del archivo, el número de línea, la columna, el hash de confirmación, la dirección URL de archivo, la dirección URL de alerta de Seguridad avanzada de GitHub y una indicación de si el recurso de destino al que proporcionan acceso los secretos existe.
  • Metadatos de secretos combinados con el contexto de recursos en la nube. Esto le ayuda a iniciar con los recursos que se exponen a Internet o contienen secretos que podrían poner en peligro otros recursos confidenciales. Los hallazgos del examen de secretos se incorporan a la priorización de recomendaciones basadas en riesgos.

Escaneado de secretos de implementación en la nubeExploración de secretos de máquinas virtualesInformación general sobre seguridad DevOps