What is Secret Scanning?

Secret Scanning ist ein automatisierter Prozess zur Analyse von Datenquellen wie Konfigurationsdateien, Bereitstellungs- oder Build-Skripten, Code-Repositories, Commits und Pipelines, um das versehentliche Einbeziehen sensibler Informationen zu erkennen und Bedrohungen vorzubeugen, die durch die Offenlegung von Geheimnissen entstehen könnten.

Whitepaper herunterladen Weitere Informationen

Geheimnisse vs. sensible Daten verstehen

Geheimnisse und sensible Daten sind zwar ihrem Wesen nach ähnlich, unterscheiden sich aber in ihrem Umfang. Alle Geheimnisse können als sensible Daten betrachtet werden, jedoch sind nicht alle sensiblen Daten Geheimnisse.

Geheimnisse sind alle Arten von Informationen, die vertraulich behandelt werden müssen, um die Integrität und Sicherheit der Daten zu gewährleisten. Geheimnisse sind vertrauliche Informationen und dienen dazu, Zugang zu den geschützten Systemen oder Diensten einer Organisation zu gewähren. Die gebräuchlichste Form von Geheimnissen sind Zugangsdaten – Benutzernamen und Passwörter. Zu den anderen Arten von Geheimnissen gehören Verschlüsselungsschlüssel, Sicherheitszertifikate oder API Token.

Sensible Daten hingegen gehören in der Regel Endnutzern oder Kunden. Diese Daten umfassen beispielsweise Sozialversicherungsnummern, Arbeitgeberidentifikationsnummern, personenbezogene Daten (PII) oder Kreditkartennummern. Die Speicherung sensibler Informationen erfordert in der Regel, dass Organisationen bestimmte Datenschutzgesetze oder Branchenstandards einhalten.

Das folgende Beispiel verdeutlicht die Unterschiede zwischen diesen beiden Arten von Informationen: Datenbankzugangsdaten werden durch eine Sicherheitslücke einem Hacker zugänglich gemacht und zur Durchführung eines umfassenderen Angriffs innerhalb der Organisation verwendet. Der Angreifer nutzt das Geheimnis, um Zugang zur Datenbank zu erlangen und sensible, darin gespeicherte Daten wie Kreditkartennummern von Kunden und andere personenbezogene Daten zu exfiltrieren.

Wie geheimes Scannen funktioniert

Das Scannen geheimer Objekte lässt sich in mehrere klar definierte Schritte unterteilen:

  1. Scanphase: Der Scanner führt Scans gegen alle relevanten Ziele innerhalb des IT-Stacks durch. Die Scanfunktionen lassen sich in zwei Kategorien einteilen: Echtzeit-Scans überwachen Ereignisse wie Pull-Anfragen, Codeänderungen und Modifikationen an Konfigurationsdateien. Sie können auch dazu beitragen, die Containersicherheit in Bezug auf Geheimnisse zu gewährleisten, Build-Systeme, Protokolle und Datenspeicher zu analysieren. Andererseits werden Scans im Ruhezustand so geplant, dass sie regelmäßig historische, statische oder selten aktualisierte Elemente wie Dokumentationen, Archivdateien, Artefakt-Repositories und Langzeit-Blob-Speichercontainer auf Geheimnisse überprüfen.
  2. Geheimnisidentifizierung: Sobald ein potenzielles Geheimnis erkannt wird, wird das Muster überprüft, indem Metadaten aus der Umgebung extrahiert und verglichen werden, oder es wird eine Verbindung zu einem Dienstanbieter hergestellt, um den Dienst zu ermitteln, der dem Geheimnis entspricht. Es werden zusätzliche Tests durchgeführt, um zu bestätigen, ob das Geheimnis noch gültig und aktiv ist.
  3. Automatisierte Behebung: Falls zutreffend, wird eine automatisierte Behebung oder Schwärzung des offengelegten Geheimnisses versucht. Prozesse kommunizieren mit allen betroffenen Komponenten oder Systemen, um das Geheimnis aus dem Verkehr zu ziehen.
  4. Berichterstattung und Alarmierung: Nach Bestätigung der Übereinstimmung und Ausführung etwaiger automatisierter Korrekturmaßnahmen benachrichtigt der Scanner autorisierte Mitarbeiter über den Vorfall, und es wird ein Bericht erstellt, der das identifizierte Geheimnis und die ergriffenen Maßnahmen detailliert beschreibt.
  5. Manuelle Korrektur: Falls eine automatisierte Überprüfung nicht möglich ist oder aus irgendeinem Grund fehlschlägt, ist ein manuelles Eingreifen autorisierter Mitarbeiter erforderlich, um das offengelegte Geheimnis zu schwärzen oder zu entfernen. Stellen Sie sicher, dass das Scangerät die Suche nach dem Geheimnis so lange fortsetzt, bis die Situation erfolgreich gelöst ist.

Wichtige Überlegungen bei der Auswahl eines Scanners

Die Suche nach Geheimnissen erfolgt mithilfe automatisierter Tools, die die Infrastruktur nach unangemessen gespeicherten Geheimnissen durchsuchen können. Berücksichtigen Sie bei der Auswahl eines Tools zum Scannen geheimer Informationen folgende Faktoren:

  • CI/CD-Integration: Tools zum Scannen geheimer Informationen sollten in bestehende CI/CD-Pipelines (Continuous Integration / Continuous Delivery) integriert werden können und sich in den Workflow einfügen, um das Scannen von Code und anderen Artefakten im Rahmen des Entwicklungsprozesses zu automatisieren. Das Tool sollte die gängigsten CI/CD-Plattformen unterstützen. Darüber hinaus sollte es generell mit den Praktiken von Security as Code (SaC) kompatibel sein und keine wesentlichen Änderungen erfordern oder die Entwicklererfahrung beeinträchtigen.
  • Scangenauigkeit: Das Tool sollte eine hohe Genauigkeit aufweisen, um zeitraubende falsch positive Ergebnisse und übersehene Schwachstellen bei falsch negativen Ergebnissen zu minimieren. Die meisten Tools arbeiten auf Basis von Mustererkennungsfunktionen, während einige fortschrittliche Angebote künstliche Intelligenz oder maschinelles Lernen nutzen, um die Genauigkeit der Geheimniserkennung zu verbessern.
  • Scanabdeckung: Der Secret Scanner sollte alle relevanten Assets abdecken, einschließlich Code-Repositories, Container-Image-Scans, Dateisysteme, Konfigurationen, Datenspeicher und Backups. Dadurch wird sichergestellt, dass aufgedeckte Geheimnisse in allen Bereichen der Organisation gefunden und behoben werden.
  • Überwachung und Alarmierung: Wählen Sie Tools zum Scannen geheimer Informationen, die in der Lage sind, bei der Erkennung geheimer Informationen Echtzeitwarnungen und Benachrichtigungen bereitzustellen. Die Tools sollten sich gut in bestehende Prozesse integrieren lassen, wie z. B. die Kompatibilität mit SIEM-Systemen (Security Information and Event Management) und die Verfahren zur Reaktion auf Sicherheitsvorfälle.

Bei der Auswahl eines Tools zum Scannen geheimer Informationen haben die reibungslose Integration in bestehende Prozesse, eine hohe Erkennungsgenauigkeit und die Scanfunktionen höchste Priorität.

Bewährte Verfahren für das Geheimnismanagement

Setzen Sie die folgenden bewährten Verfahren für ein sicheres Geheimnismanagement um:

  • Sichere Speicherung: Das Scannen von Geheimnissen ist ein Bestandteil des Geheimnismanagements, eines Ansatzes, der die sichere Speicherung und den sicheren Zugriff auf Geheimnisse durch Benutzer und Administratoren gleichermaßen gewährleistet. Stellen Sie sicher, dass Geheimnisse sicher gespeichert und in einem speziellen Geheimnisverwaltungstool verschlüsselt werden, um unbefugten Zugriff zu verhindern.
  • Zugriff einschränken: Das Prinzip der minimalen Berechtigungen (PoLP) besagt, dass Benutzer (und Dienste) nur über die minimalen Zugriffsrechte verfügen sollten, die zur Erledigung von Arbeitsaufgaben erforderlich sind. Das PoLP gilt unmittelbar für Geheimnisse. Der Zugriff von Benutzern und Anwendungen auf Geheimnisse sollte auf das Notwendigste beschränkt und die Mitarbeiter in sicheren Verfahren zum Umgang mit Geheimnissen geschult werden.
  • Geheimnisrotation: Implementieren Sie automatisierte Geheimnisrotationsverfahren, die die Geheimnisse nach einem vordefinierten Zeitplan oder manuell auf Anfrage ändern. Durch den regelmäßigen Austausch von Geheimnissen wird sichergestellt, dass diese ein Verfallsdatum haben und dass Schäden durch versehentliche Offenlegung begrenzt werden.
  • Dynamische Geheimnisse: Anstatt Geheimnisse fest zu codieren, verwenden Sie Umgebungsvariablen oder ein Geheimnisverwaltungssystem, um Geheimnisse dynamisch auszutauschen. Dies ist ein Aspekt sicherer Programmierpraktiken. Die Anwendung kann so konfiguriert werden, dass sie Geheimnisse aus einem sicheren Tresor über einen API Aufruf anfordert, und das Geheimnis wird zur Laufzeit in die Umgebung oder Konfigurationsdatei eingefügt.
  • Geheimnislebenszykluskontrolle: Verfolgen Sie den Lebenszyklus aller innerhalb der Organisation verwendeten Geheimnisse und widerrufen Sie diese, wenn sie nicht mehr benötigt werden oder kompromittiert wurden. Protokollieren Sie geheime Zugriffsereignisse und verfügen Sie über ein leicht zugängliches Protokoll für Audits.

Sorgfältige Management-, Zugriffs- und Kontrollpraktiken sind Beispiele für einen effektiven Ansatz zur Sicherung von Geheimnissen in der Organisation.

Maximize Security with Check Point

Secret Scanning automatisiert die Identifizierung, Klassifizierung und den Schutz von Geheimnissen in den Codebasen, der Infrastruktur und den Assets der Organisation. Geheime Scanner werden eingesetzt, um sicherzustellen, dass Organisationen ein Gleichgewicht zwischen starken Sicherheitsmaßnahmen und der Beeinträchtigung der Arbeitsabläufe von Entwicklern oder des Geschäftsbetriebs finden.

Check Point Code Security schützt Code, Assets und Infrastruktur von der Vorproduktion bis zur Bereitstellung. Es lässt sich problemlos in bestehende Entwicklungswerkzeuge integrieren und ermöglicht so die kontinuierliche Überwachung und Analyse Ihrer Codebasis auf Schwachstellen, Fehlkonfigurationen und offengelegte Geheimnisse. Erfahren Sie, wie Check Point Ihr Unternehmen schützen kann: Fordern Sie noch heute eine kostenlose Demo an .

Darüber hinaus ermöglicht Check Point Spectral einen einfachen Schutz des Codes vor versehentlicher Offenlegung von Geheimnissen. Die fortschrittliche Scantechnologie von Spectral verhindert Sicherheitslücken, indem sie fest codierte API-Schlüssel, Token und Anmeldeinformationen identifiziert. Um mehr zu erfahren, laden Sie noch heute das Whitepaper „Spectral Product Brief“ herunter .

Loslegen

Whitepaper zur Codesicherheit

GigaOm Radar for Security Policy as Code

Check Point Code Security

Verwandte Themen

Was ist Codesicherheit?

Sicherheit nach links verschieben

Was ist Security as Code (SaC)?

Developer Security