Proteggere i segreti del repository di codice

Defender per il cloud notifica alle organizzazioni i segreti esposti nei repository di codice da GitHub e Azure DevOps. Il rilevamento dei segreti consente di rilevare, classificare in ordine di priorità e correggere rapidamente segreti esposti, ad esempio token, password, chiavi o credenziali archiviati in qualsiasi file all'interno del repository di codice.

Se vengono rilevati segreti, Defender per il cloud può aiutare il team di sicurezza a classificare in ordine di priorità ed eseguire passaggi di correzione eseguibili per ridurre al minimo il rischio di spostamento laterale identificando la risorsa di destinazione a cui il segreto può accedere.

Come funziona l'analisi dei segreti del repository di codice?

L'analisi dei segreti per i repository di codice si basa su GitHub Advanced Security per GitHub e Azure DevOps. GitHub Advanced Security analizza l'intera cronologia Git in tutti i rami presenti nel repository per individuare i segreti, anche se il repository è archiviato.

Per altre informazioni, vedere la documentazione sulla sicurezza avanzata di GitHub per GitHub e Azure DevOps.

Che cosa è supportato?

L'analisi dei segreti del repository di codice è disponibile con la licenza di Sicurezza avanzata gitHub necessaria. La visualizzazione dei risultati in Defender per il cloud viene fornita come parte di Foundational Cloud Security Posture Management. Per rilevare le possibilità di spostamento laterale per le risorse di runtime, è necessario Defender Cloud Security Posture Management.

Al momento, i percorsi di attacco per i segreti esposti sono disponibili solo per i repository Di Azure DevOps.

In che modo l'analisi del repository di codice riduce i rischi?

L'analisi dei segreti consente di ridurre i rischi con le mitigazioni seguenti:

• Prevenzione dello spostamento laterale: l'individuazione di segreti esposti all'interno dei repository di codice rappresenta un rischio significativo di accesso non autorizzato perché gli attori delle minacce possono sfruttare questi segreti per compromettere le risorse critiche.
• Eliminazione dei segreti non necessari: sapendo che i segreti specifici non hanno accesso ad alcuna risorsa nel tenant, è possibile collaborare in modo sicuro con gli sviluppatori per rimuovere questi segreti. Inoltre, si saprà quando i segreti sono scaduti.
• Rafforzamento della sicurezza dei segreti: ottenere raccomandazioni per l'uso di sistemi di gestione dei segreti, ad esempio Azure Key Vault.

Ricerca per categorie identificare e correggere i problemi relativi ai segreti?

Esistono diversi modi per identificare e correggere i segreti esposti. Tuttavia, non tutti i metodi elencati di seguito sono supportati per ogni segreto.

• Esaminare le raccomandazioni sui segreti: quando i segreti vengono trovati negli asset, viene attivata una raccomandazione per il repository di codice pertinente nella pagina Raccomandazioni Defender per il cloud.
• Esaminare i segreti con Cloud Security Explorer: usare Cloud Security Explorer per eseguire query sul grafico della sicurezza cloud per i repository di codice che contengono segreti.
• Esaminare i percorsi di attacco: l'analisi del percorso di attacco analizza il grafico della sicurezza cloud per esporre percorsi sfruttabili che possono essere usati dagli attacchi per violare l'ambiente e raggiungere asset ad alto impatto.

Suggerimenti per la sicurezza

Sono disponibili le raccomandazioni per la sicurezza dei segreti seguenti:

• Repository Di Azure DevOps: i repository Di Azure DevOps devono avere i risultati dell'analisi dei segreti risolti
• Repository GitHub: i repository GitHub devono avere i risultati dell'analisi dei segreti risolti

Scenari di percorsi di attacco

L'analisi del percorso di attacco è un algoritmo basato su grafo che analizza il grafico della sicurezza cloud per esporre percorsi sfruttabili che gli utenti malintenzionati possono usare per raggiungere asset ad alto impatto. I possibili percorsi di attacco includono:

• Il repository Azure DevOps contiene un segreto esposto con lo spostamento laterale a un database SQL.
• Il repository Azure DevOps accessibile pubblicamente contiene un segreto esposto con lo spostamento laterale a un account di archiviazione.

Query di Cloud Security Explorer

Per analizzare i segreti esposti e le possibilità di spostamento laterale, è possibile usare le query seguenti:

• I repository di codice contengono segreti
• I repository DevOps di Azure contengono segreti che possono eseguire l'autenticazione in Archiviazione oggetti o database gestiti

Ricerca per categorie attenuare efficacemente i problemi relativi ai segreti?

È importante essere in grado di classificare in ordine di priorità i segreti e identificare quelli che necessitano di attenzione immediata. Per eseguire questa operazione, Defender per il cloud fornisce:

• Metadati avanzati per ogni segreto, ad esempio il percorso del file, il numero di riga, la colonna, l'hash commit, l'URL del file, l'URL dell'avviso di sicurezza avanzata di GitHub e un'indicazione dell'esistenza della risorsa di destinazione a cui i segreti forniscono l'accesso.
• Metadati dei segreti combinati con il contesto degli asset cloud. Ciò consente di iniziare con gli asset esposti a Internet o di contenere segreti che potrebbero compromettere altri asset sensibili. I risultati dell'analisi dei segreti vengono incorporati nella definizione delle priorità delle raccomandazioni basate sul rischio.

Contenuto correlato

Panoramica della sicurezza devOps per l'analisi dei segreti delle distribuzioni cloud che analizzanoi segreti dellemacchine virtuali