Skydda hemligheter för kodlagringsplats

Defender för molnet meddelar organisationer om exponerade hemligheter i kodlagringsplatser från GitHub och Azure DevOps. Hemlighetsidentifiering hjälper dig att snabbt identifiera, prioritera och åtgärda exponerade hemligheter, till exempel token, lösenord, nycklar eller autentiseringsuppgifter som lagras i en fil i kodlagringsplatsen.

Om hemligheter identifieras kan Defender för molnet hjälpa säkerhetsteamet att prioritera och vidta åtgärdsbara åtgärder för att minimera risken för lateral förflyttning genom att identifiera målresursen som hemligheten kan komma åt.

Hur fungerar hemlig genomsökning av kodlagringsplats?

Hemligheter som söker efter kodlagringsplatser förlitar sig på GitHub Advanced Security för GitHub och Azure DevOps. GitHub Advanced Security söker igenom hela Git-historiken på alla grenar som finns på lagringsplatsen efter hemligheter, även om lagringsplatsen är arkiverad.

Mer information finns i GitHub Advanced Security-dokumentationen för GitHub och Azure DevOps.

Vad stöds?

Hemlig genomsökning av kodlagringsplats är tillgänglig med den nödvändiga GitHub Advanced Security-licensen. Att visa resultaten i Defender för molnet tillhandahålls som en del av Foundational Cloud Security Posture Management. För att identifiera möjligheter till lateral förflyttning av körningsresurser krävs Defender Cloud Security Posture Management.

För närvarande är attackvägar för exponerade hemligheter endast tillgängliga för Azure DevOps-lagringsplatser.

Hur minskar genomsökningen av kodlagringsplatsen risker?

Genomsökning av hemligheter hjälper till att minska risken med följande åtgärder:

• Förhindra lateral förflyttning: Identifiering av exponerade hemligheter i kodlagringsplatser utgör en betydande risk för obehörig åtkomst eftersom hotaktörer kan utnyttja dessa hemligheter för att kompromettera kritiska resurser.
• Eliminera hemligheter som inte behövs: Genom att veta att specifika hemligheter inte har åtkomst till några resurser i din klientorganisation kan du på ett säkert sätt arbeta med utvecklare för att ta bort dessa hemligheter. Dessutom vet du när hemligheter har upphört att gälla.
• Stärka säkerheten för hemligheter: Få rekommendationer för att använda hemliga hanteringssystem som Azure Key Vault.

Hur gör jag för att identifiera och åtgärda problem med hemligheter?

Det finns flera sätt att identifiera och åtgärda exponerade hemligheter. Alla metoder som anges nedan stöds dock inte för varje hemlighet.

• Granska rekommendationerna om hemligheter: När hemligheter hittas på tillgångar utlöses en rekommendation för den relevanta kodlagringsplatsen på sidan Defender för molnet Rekommendationer.
• Granska hemligheter med Cloud Security Explorer: Använd Cloud Security Explorer för att fråga molnsäkerhetsdiagrammet om kodlagringsplatser som innehåller hemligheter.
• Granska attackvägar: Analys av attackvägar söker igenom molnsäkerhetsdiagrammet för att exponera exploaterbara sökvägar som attacker kan använda för att bryta mot din miljö och nå tillgångar med hög påverkan.

Säkerhetsrekommendationer

Följande säkerhetsrekommendationer för hemligheter är tillgängliga:

• Azure DevOps-lagringsplatser: Azure DevOps-lagringsplatser bör ha hemliga genomsökningsresultat lösta
• GitHub-lagringsplatser: GitHub-lagringsplatser bör ha hemliga genomsökningsresultat lösta

Scenarier för attackväg

Analys av attackvägar är en grafbaserad algoritm som genomsöker ditt molnsäkerhetsdiagram för att exponera exploaterbara sökvägar som angripare kan använda för att nå tillgångar med hög påverkan. Potentiella attackvägar är:

• Azure DevOps-lagringsplatsen innehåller en exponerad hemlighet med lateral förflyttning till en SQL-databas.
• Offentligt tillgänglig Azure DevOps-lagringsplats innehåller en exponerad hemlighet med lateral förflyttning till ett lagringskonto.

Frågor för Cloud Security Explorer

Om du vill undersöka exponerade hemligheter och möjligheter till lateral förflyttning kan du använda följande frågor:

• Kodlagringsplatser innehåller hemligheter
• Azure DevOps-lagringsplatser innehåller hemligheter som kan autentiseras mot Object Storage eller hanterade databaser

Hur gör jag för att effektivt åtgärda hemligheter?

Det är viktigt att kunna prioritera hemligheter och identifiera vilka som behöver omedelbar uppmärksamhet. För att hjälpa dig med detta tillhandahåller Defender för molnet:

• Omfattande metadata för varje hemlighet, till exempel filsökväg, radnummer, kolumn, incheckningshash, fil-URL, GitHub Advanced Security-aviserings-URL och en indikation på om målresursen som hemligheterna ger åtkomst till finns.
• Metadata för hemligheter i kombination med kontexten för molntillgångar. Detta hjälper dig att börja med tillgångar som exponeras för Internet eller innehåller hemligheter som kan äventyra andra känsliga tillgångar. Genomsökningsresultat för hemligheter införlivas i riskbaserad rekommendationsprioritering.

Relaterat innehåll

Molndistributionshemligheter genomsökerVM-hemligheter genom att skannaSäkerhetsöversikt för DevOps