Protéger les secrets des référentiels de code

Defender pour le cloud avertit par notification les organisations sur les secrets exposés dans des référentiels de code à partir de GitHub et Azure DevOps. La détection de secret vous aide à rapidement détecter, classer par ordre de priorité et corriger les secrets exposés, tels que les jetons, mots de passe, clés ou informations d’identification stockées dans tout fichier au sein du référentiel de code.

En cas de détection de secrets, Defender pour le cloud aide votre équipe de sécurité à classer par ordre de priorité et à prendre des mesures correctives exploitables pour réduire le risque de mouvement latéral via l’identification de la ressource cible à laquelle le secret peut accéder.

Comment l’analyse de secret de référentiel de code fonctionne-t-elle ?

L’analyse des secrets pour les référentiels de code s’appuie sur GitHub Advanced Security pour GitHub et Azure DevOps. GitHub Advanced Security analyse l’historique Git complet sur toutes les branches présentes dans votre référentiel à la recherche de secrets, même en cas d’archivage du référentiel.

Pour découvrir plus d’informations, visitez la documentation sur GitHub Advanced Security pour GitHub et Azure DevOps.

Qu’est-ce qui est pris en charge ?

L’analyse de secret de référentiel de code est disponible avec la licence GitHub Advanced Security nécessaire. L’affichage des résultats dans Defender pour le cloud est fourni dans le cadre de la gestion de la posture de sécurité cloud (CSPM) de base. Pour détecter les mouvements latéraux possibles vers des ressources de runtime, la gestion de la posture de sécurité cloud est obligatoire.

Les chemins d’attaque pour les secrets exposés sont uniquement disponibles pour les référentiels Azure DevOps à l’heure actuelle.

Comment l’analyse de référentiel de code atténue-t-elle les risques ?

L’analyse des secrets permet de réduire le risque avec les atténuations suivantes :

• Prévention des mouvements latéraux : la détection de secrets exposés au sein des référentiels de code présente un risque significatif d’accès non autorisé, car les acteurs de la menace peuvent tirer profit de ces secrets pour compromettre des ressources critiques.
• Élimination des secrets inutiles : le fait de savoir que des secrets spécifiques n’ont pas accès aux ressources de votre tenant vous permet de travailler en toute sécurité avec des développeurs pour supprimer ces secrets. De plus, vous savez quand les secrets ont expiré.
• Renforcement de la sécurité des secrets : obtention de suggestions pour utiliser des systèmes de gestion des secrets tels qu’Azure Key Vault.

Comment puis-je identifier et résoudre des problèmes de secrets ?

Il existe plusieurs façons d’identifier et de résoudre des secrets exposés. Toutefois, toutes les méthodes répertoriées ci-dessus ne sont pas toutes prises en charge pour chaque secret.

• Examen des suggestions relatives aux secrets : lorsque des secrets sont détectés sur des ressources, une recommandation est déclenchée pour le référentiel de code pertinent sur la page Recommandations de Defender pour le cloud.
• Examen de secrets avec un explorateur de sécurité du cloud : utilisez un explorateur de sécurité du cloud pour interroger le graphique de sécurité du cloud pour des référentiels de code contenant des secrets.
• Passez en revue les chemins d’attaque : l’analyse des chemins d’attaque vous permet d’analyser le graphique de sécurité du cloud pour exposer des chemins exploitables que les attaquants peuvent utiliser pour violer votre environnement, puis atteindre des ressources à fort impact.

Recommandations de sécurité

Les suggestions de sécurité suivantes en matière de secrets sont disponibles :

• Référentiels Azure DevOps : les référentiels Azure DevOps doivent avoir des résultats d’analyse des secrets résolus
• Référentiels GitHub : les référentiels GitHub doivent avoir des résultats d’analyse des secrets résolus

Scénarios de chemin d’attaque

L’analyse des chemins d’attaque est un algorithme basé sur des graphiques qui analyse votre graphique de sécurité cloud pour exposer des chemins exploitables que les attaquants peuvent utiliser pour atteindre des ressources à fort impact. Les chemins d’accès potentiels aux attaques incluent :

• Un référentiel Azure DevOps contient un secret exposé avec un mouvement latéral vers une base de données SQL.
• Un référentiel Azure DevOps publiquement accessible contient un secret exposé avec un mouvement latéral vers un compte de stockage.

Requêtes d’explorateur de sécurité du cloud

Pour examiner les possibilités de secrets exposés et de mouvements latéraux, vous pouvez utiliser les requêtes suivantes :

• Les référentiels de code contiennent des secrets
• Les référentiels Azure DevOps contiennent des secrets permettant l’authentification à un stockage d’objets ou à des bases de données managées

Comment faire pour atténuer efficacement les problèmes liés aux secrets ?

Il est important de pouvoir classer par ordre de priorité les secrets, puis identifier ceux qui nécessitent une attention immédiate. Pour vous aider dans cette tâche, Defender pour le cloud fournit les éléments suivants :

• Les métadonnées enrichies pour chaque secret, telles que le chemin d’accès au fichier, le numéro de ligne, le code de hachage de validation, l’URL de fichier, l’URL d’alerte GitHub Advanced Security et une indication pour savoir si la ressource cible, à laquelle les secrets fournissent un accès, existe.
• Métadonnées de secrets combinées à un contexte de ressources cloud. Cela vous permet de commencer par des ressources exposées à Internet ou qui contiennent des secrets pouvant compromettre d’autres ressources sensibles. Les résultats de l’analyse des secrets sont incorporés dans la hiérarchisation des recommandations basées sur les risques.

Contenu connexe

Analyse des secrets des déploiements cloudAnalyse des secrets de machine virtuelleVue d’ensemble de la sécurité DevOps