What is Secret Scanning?

L'analyse des secrets est un processus automatisé d'analyse des sources de données telles que les fichiers de configuration, les scripts de déploiement ou de construction, les référentiels de code, les commits et les pipelines, afin de détecter l'inclusion accidentelle d'informations sensibles et de prévenir les menaces qui pourraient résulter de l'exposition des secrets.

Téléchargez le livre blanc En savoir plus

Comprendre les secrets et les données sensibles

Les secrets et les données sensibles sont de même nature, mais diffèrent dans leur portée. Tous les secrets peuvent être considérés comme des données sensibles, mais toutes les données sensibles ne sont pas des secrets.

Les secrets sont toutes sortes d'informations qui doivent rester confidentielles pour protéger l'intégrité et la sécurité des données. Les secrets sont des informations privilégiées et sont utilisés pour permettre l'accès aux systèmes ou services restreints d'une organisation. Les secrets les plus courants sont les informations d'identification - noms d'utilisateur et mots de passe. Les clés de chiffrement, les certificats de sécurité ou les jetons d'API sont d'autres types de secrets.

Les données sensibles, quant à elles, appartiennent généralement aux utilisateurs finaux ou aux clients. Ces données comprennent des éléments tels que les numéros de sécurité sociale, les numéros d'identification d'emploi, les informations personnelles identifiables (IPI) ou les numéros de carte de crédit. Le stockage d'informations sensibles nécessite généralement que les organisations se conforment à certaines lois sur la confidentialité des données ou à des normes industrielles.

L'exemple suivant illustre les différences entre ces deux types d'informations : un identifiant de base de données est exposé à un pirate à la suite d'une brèche, et il est utilisé pour exécuter une attaque plus large au sein de l'organisation. L'acteur malveillant utilise le secret pour accéder à la base de données et exfiltrer les données sensibles qui y sont stockées, telles que les numéros de carte de crédit des clients et d'autres informations confidentielles.

Comment fonctionne le balayage secret ?

La recherche de secrets peut être décomposée en plusieurs étapes clairement définies :

  1. Phase d'analyse : Le scanner effectue des analyses de toutes les cibles pertinentes au sein de la pile informatique. Les capacités d'analyse se divisent en deux catégories : les analyses en temps réel surveillent les événements tels que les demandes d'extraction, les changements de code et les modifications des fichiers de configuration. Ils peuvent également contribuer à assurer la sécurité des conteneurs en ce qui concerne les secrets, l'analyse des systèmes de construction, les journaux et les magasins de données. En revanche, les analyses au repos sont programmées pour vérifier périodiquement les éléments historiques, statiques ou rarement mis à jour, tels que la documentation, les fichiers d'archives, les référentiels d'artefacts et les conteneurs de stockage blob à long terme, à la recherche de secrets.
  2. Identification du secret : Lorsqu'un secret potentiel est détecté, le modèle est vérifié en extrayant et en comparant les métadonnées de l'environnement, ou une communication est établie avec un fournisseur de services pour identifier le service qui correspond au secret. Des tests supplémentaires sont effectués pour confirmer que le secret est toujours valide et actif.
  3. Remédiation automatisée : Le cas échéant, on tente de remédier automatiquement à la situation ou d'expurger le secret exposé. Les processus communiquent avec tous les composants ou systèmes concernés afin de retirer le secret de la circulation.
  4. Rapports et alertes : Une fois la correspondance confirmée et toute mesure corrective automatisée exécutée, le scanner notifie l'incident au personnel autorisé et un rapport est généré qui détaille le secret identifié et les mesures prises.
  5. Remédiation manuelle : Si l'analyse automatisée n'est pas possible ou échoue pour une raison quelconque, une action manuelle par le personnel autorisé est nécessaire pour expurger ou supprimer le secret exposé. Veillez à ce que l'appareil de balayage continue à surveiller le secret jusqu'à ce que la situation soit résolue avec succès.

Principaux éléments à prendre en compte lors du choix d'un outil d'analyse

L'analyse des secrets est effectuée par des outils automatisés qui peuvent analyser l'infrastructure à la recherche de secrets stockés de manière inappropriée. Tenez compte des facteurs suivants lors du choix d'un outil d'analyse secrète :

  • Intégration CI/CD : Les outils d'analyse secrète devraient fonctionner avec les pipelines CI/CD (intégration continue / livraison continue) existants, en s'intégrant dans le flux de travail pour automatiser l'analyse du code et d'autres artefacts dans le cadre du processus de développement. L'outil doit prendre en charge les plateformes CI/CD les plus courantes. En outre, il devrait généralement être compatible avec les pratiques de sécurité en tant que code (SaC) et ne devrait pas nécessiter de changements significatifs ni perturber l'expérience du développeur.
  • Précision de l'analyse : L'outil doit avoir un haut degré de précision, minimisant les incidents de faux positifs qui font perdre du temps, et la vulnérabilité négligée dans les faux négatifs. Les outils fonctionnent généralement sur la base de capacités de filtrage, tandis que certaines offres avancées exploitent l'intelligence artificielle ou des algorithmes de machine d'apprentissage pour améliorer la précision de la détection des secrets.
  • Couverture de l'analyse : L'analyseur secret doit couvrir tous les actifs pertinents, y compris les référentiels de code, l' analyse d'images de conteneurs, les systèmes de fichiers, les configurations, les magasins de données et les sauvegardes. Cela permet de s'assurer que les secrets exposés sont découverts et corrigés dans tous les domaines de l'organisation.
  • Surveillance et alerte : Choisissez des outils de recherche de secrets capables de fournir des alertes et des notifications en temps réel en cas de détection d'un secret. Les outils doivent bien s'intégrer aux processus existants, tels que la compatibilité des systèmes de gestion de l'information et des événements de sécurité (SIEM) et les procédures de réponse aux incidents.

Lors de la sélection d'un outil d'analyse secrète, les éléments les plus prioritaires sont une intégration harmonieuse avec les processus existants, une grande précision de détection et des capacités d'analyse.

Bonnes pratiques pour la gestion des secrets

Mettez en œuvre les meilleures pratiques suivantes pour une gestion sécurisée des secrets :

  • Stockage sécurisé : L'analyse des secrets est un élément de la gestion des secrets, une approche qui garantit le stockage et l'accès sécurisés des secrets par les utilisateurs et les administrateurs. Veillez à ce que les secrets soient stockés et cryptés en toute sécurité dans un outil de gestion des secrets dédié afin d'empêcher tout accès non autorisé.
  • Restreindre l'accès : Le principe du moindre privilège (PoLP) veut que les utilisateurs (et les services) n'aient que le minimum d'accès nécessaire à l'accomplissement de leurs tâches. Le programme de travail s'applique directement aux secrets. Limitez l'accès des utilisateurs et de application aux secrets en fonction des besoins, et formez le personnel aux procédures de traitement sécurisé des secrets.
  • Rotation des secrets : Mettez en œuvre des procédures automatisées de rotation des secrets qui modifient les secrets selon un calendrier prédéfini ou manuellement sur demande. La rotation des secrets permet de s'assurer qu'ils ont une date de péremption et de limiter les dommages causés par une exposition accidentelle.
  • Secrets dynamiques : au lieu de coder les secrets en dur, utilisez des variables d'environnement ou un système de gestion des secrets pour permuter dynamiquement les secrets. Il s'agit d'un aspect des pratiques de codage sécurisées. peut être configurée pour demander des secrets à un coffre-fort sécurisé par le biais d'un appel à API, et le secret est injecté dans l'environnement ou le fichier de configuration au moment de l'exécution.
  • Contrôle du cycle de vie des secrets : Suivez le cycle de vie de tous les secrets utilisés au sein de l'organisation, en les révoquant lorsqu'ils ne sont plus nécessaires ou s'ils sont compromis. Enregistrez les événements liés à l'accès secret et conservez un registre facilement accessible pour les audits.

Des pratiques méticuleuses de gestion, d'accès et de contrôle sont des exemples d'une approche efficace de la protection des secrets au sein de l'organisation.

Maximize Security with Check Point

L'analyse des secrets automatise l'identification, la classification et la protection des secrets dans les bases de code, l'infrastructure et les actifs de l'organisation. Les scanners secrets sont utilisés pour s'assurer que les organisations équilibrent des mesures de sécurité solides sans interférer avec les flux de travail des développeurs ou les opérations commerciales.

Check Point Code Security protège le code, les actifs et l'infrastructure de la pré-production au déploiement. Il s'intègre facilement aux outils de développement existants, ce qui permet de surveiller et d'analyser en continu votre base de code pour détecter les vulnérabilités, les mauvaises configurations et les secrets exposés. Découvrez comment Check Point peut protéger votre organisation : demandez une démo gratuite dès aujourd'hui.

En outre, Check Point Spectral facilite la protection du code contre l'exposition accidentelle de secrets. La technologie d'analyse avancée de Spectral prévient les brèches en identifiant les clés API, les jetons et les informations d'identification codées en dur. Pour en savoir plus, téléchargez dès aujourd'hui le livre blanc Spectral Product Brief.

Commencez

Livre blanc sur la sécurité du code

GigaOm Radar for Security Policy as Code

Check Point Code Security

Sujets connexes

Qu'est-ce que Code Security ?

Shift Left Security

Qu'est-ce que la sécurité sous forme de code (SaC) ?

Developer Security