Защита секретов в Defender для облака
Microsoft Defender для облака помогает группам безопасности свести к минимуму риск использования секретов безопасности злоумышленниками.
После получения первоначального доступа злоумышленники пытаются перемещаться по сетям, получая доступ к ресурсам для использования уязвимостей и повреждения критически важных информационных систем. Боковое перемещение часто включает угрозы учетных данных, которые обычно используют конфиденциальные данные, такие как предоставленные учетные данные и секреты, такие как пароли, ключи, маркеры и строка подключения для получения доступа к дополнительным ресурсам.
Секреты часто находятся в многооблачных развертываниях в файлах, на дисках виртуальных машин или в контейнерах. Открытые секреты происходят по ряду причин:
- Отсутствие осведомленности: организации могут не знать о риске и последствиях воздействия секретов.
- Отсутствие политики. Возможно, не существует четкой политики компании по обработке и защите секретов в файлах кода и конфигурации.
- Отсутствие средств обнаружения: средства могут не находить и устранять утечки секретов.
- Сложность и скорость. Сложные среды, которые могут включать несколько облачных платформ, программное обеспечение с открытым кодом и сторонний код. Разработчики могут использовать секреты для доступа к ресурсам и службам, а также хранить секреты в репозиториях исходного кода для удобства и повторного использования. Это может привести к случайному раскрытию секретов в общедоступных или частных репозиториях или во время передачи или обработки данных.
- Компромисс между безопасностью и удобством использования. Организации могут хранить секреты в облачных средах для простоты использования, чтобы избежать сложности и задержки шифрования и расшифровки неактивных и передаваемых данных. Это может скомпрометирует безопасность и конфиденциальность данных и учетных данных.
Сканирование типов и планов
Defender для облака предоставляет различные типы сканирования секретов.
| Тип сканирования | Сведения | Поддержка планов |
|---|---|---|
| Сканирование компьютера | Сканирование секретов без агента на виртуальных машинах с несколькими облаками. | Defender для облака план управления безопасностью (CSPM) или Defender для серверов плана 2. |
| Сканирование ресурсов облачного развертывания | Бессерверные секреты, сканирующиеся в ресурсах развертывания инфраструктуры в виде кода в нескольких облаках. | План CSPM в Защитнике. |
| Сканирование репозитория кода | Сканирование для обнаружения открытых секретов в Azure DevOps. | План CSPM в Защитнике. |
Сканирование разрешений
Чтобы использовать сканирование секретов, требуются следующие разрешения:
Читатель сведений о безопасности
администратор безопасности;
Читатель
Участник
- Владелец
Просмотр выводов секретов
Существует ряд методов для выявления и устранения проблем с секретами. Не каждый метод поддерживается для каждого секрета.
- Просмотрите секреты в инвентаризации активов: инвентаризация показывает состояние безопасности ресурсов, подключенных к Defender для облака. Из инвентаризации можно просмотреть секреты, обнаруженные на определенном компьютере.
- Ознакомьтесь с рекомендациями по секретам: когда секреты находятся в ресурсах, рекомендация активируется в разделе управления безопасностью исправлений уязвимостей на странице рекомендаций Defender для облака. Рекомендации активируются следующим образом:
- Просмотрите секреты с помощью облачного обозревателя безопасности. Используйте cloud security explorer для запроса графа облачной безопасности для получения аналитических сведений о секретах. Вы можете создавать собственные запросы или использовать один из встроенных шаблонов для запроса секретов виртуальных машин в вашей среде.
- Просмотрите пути атаки: анализ пути атаки сканирует граф облачной безопасности, чтобы предоставить доступ к эксплойтируемым путям, которые могут использоваться для нарушения среды и достижения ресурсов с высоким уровнем влияния. Сканирование секретов виртуальных машин поддерживает ряд сценариев пути атаки.
Поддержка секретов
Defender для облака поддерживает обнаружение типов секретов, приведенных в таблице. Проверка с помощью столбца указывает методы, которые можно использовать для изучения и устранения рекомендаций по секретам.
| Тип секретов | Обнаружение секретов виртуальных машин | Обнаружение секретов облачного развертывания | Проверка использования |
|---|---|---|---|
| Небезопасные закрытые ключи SSH Поддерживает алгоритм RSA для файлов PuTTy. Стандарты PKCS#8 и PKCS#1 Стандарт OpenSSH |
Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения SQL с открытым текстом поддерживают SQL PAAS. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| База данных Azure с открытым текстом для PostgreSQL. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| База данных Azure с открытым текстом для MySQL. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| База данных Azure с открытым текстом для MariaDB. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Обычный текст Azure Cosmos DB, включая PostgreSQL, MySQL и MariaDB. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения azure RDS с открытым текстом поддерживает SQL PAAS: Обычный текст Amazon Aurora с ароматами Postgres и MySQL. Пользовательский RDS в Виде обычного текста Amazon с ароматами Oracle и SQL Server. |
Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения учетной записи хранения Azure в Формате Обычного текста | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения учетной записи хранения Azure в виде обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Маркеры SAS учетной записи хранения Обычного текста Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Ключи доступа К AWS с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| СТАНДАРТНЫЙ URL-адрес AWS S3 с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Подписанный URL-адрес хранилища Plaintext Google. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Секрет клиента Azure AD с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер личного доступа Azure DevOps в Формате Обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Токен личного доступа GitHub с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа с открытым текстом Конфигурация приложений Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Открытый текст Azure Cognitive Service Key. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Учетные данные пользователя Azure AD в Формате Обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа с открытым текстом Реестр контейнеров Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Пароль развертывания службы с открытым текстом приложение Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер личного доступа Azure Databricks в формате Plaintext. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа Azure SignalR с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ подписки в Виде обычного текста Azure Управление API. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Секретный ключ Azure Bot Framework с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API веб-службы с открытым текстом Машинное обучение Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа в виде обычного текста Службы коммуникации Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа с открытым текстом Сетка событий Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа к веб-службе Amazon Marketplace (MWS). | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ подписки в Виде обычного текста Azure Maps. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа в Виде обычного текста в Azure Web PubSub. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API OpenAI с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Открытый текст пакетная служба Azure общий ключ доступа. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер авторов NPM в виде обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Сертификат управления подписками в Формате Обычного текста Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API GCP обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Учетные данные Redshift для Обычного текста AWS. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Закрытый ключ обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Строка подключения ODBC с открытым текстом. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Общий пароль обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Учетные данные для входа пользователя в Формате Обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Персональный токен Plaintext Travis. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер доступа Plaintext Slack. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Открытый текст ASP.NET ключ компьютера. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Заголовок авторизации HTTP в формате обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Пароль кэша Redis для Обычного текста Azure. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Общий ключ доступа к Azure IoT в Формате Обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Секрет приложения Plaintext Azure DevOps. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API функции Обычного текста Azure. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Общий ключ доступа к Azure в формате Plaintext. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Подписанный URL-адрес приложения логики Для Обычного текста Azure. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер доступа к Azure Active Directory в формате Plaintext. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Сигнатура обычного текста Служебная шина Azure подписанного URL-адреса. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
Связанный контент
- Сканирование секретов компьютера.
- Сканирование секретов облачного развертывания
- Сканирование секретов кода