What is Secret Scanning?

La scansione segreta è un processo automatizzato per analizzare fonti di dati come file di configurazione, script di Implementazione o build, repository di codice, commit e pipeline, al fine di rilevare l'inclusione accidentale di informazioni sensibili e prevenire minacce che potrebbero derivare dall'esposizione segreta.

Scarica il whitepaper Scopri di più

Comprendere i segreti vs. i dati sensibili

I segreti e i dati sensibili sono simili per natura, ma differiscono per ambito. Tutti i segreti possono essere considerati dati sensibili, tuttavia non tutti i dati sensibili sono segreti.

I segreti sono qualsiasi tipo di informazione che deve essere mantenuta riservata per proteggere l'integrità e la sicurezza dei dati. I segreti sono informazioni privilegiate e vengono utilizzate per concedere l'accesso ai sistemi o servizi limitati di un'organizzazione. La forma più comune di segreti sono le credenziali – nomi utente e password. Altri tipi di segreti includono le chiavi Crittografia, i certificati di sicurezza o i token API .

I dati sensibili, invece, di solito appartengono agli utenti finali o ai clienti. Questi dati includono elementi come numeri di previdenza sociale, numeri di identificazione lavorativa, informazioni personali identificabili (PII) o numeri di carte di credito. L'archiviazione di informazioni sensibili richiede comunemente che le organizzazioni mantengano la conformità con alcune leggi sulla privacy dei dati o standard di settore.

L'esempio seguente dimostra le differenze tra questi due tipi di informazioni: una credenziale di database viene esposta a un hacker tramite una violazione e viene utilizzata per eseguire un attacco più ampio all'interno dell'organizzazione. L'attore malintenzionato utilizza il segreto per accedere al database ed esfiltrare dati sensibili al suo interno, come numeri di carte di credito dei clienti e altre informazioni personali (PII).

Come funziona la scansione segreta

La scansione segreta può essere suddivisa in diversi passaggi chiaramente definiti:

  1. Fase di scansione: Lo scanner esegue scansioni su tutti i target rilevanti all'interno dello stack IT. Le capacità di scansione si dividono in due categorie: le scansioni in tempo reale monitorano eventi come pull request, modifiche al codice e modifiche ai file di configurazione. Possono anche aiutare a garantire la sicurezza dei container rispetto ai segreti, analizzare sistemi di build, log e archivi dati. D'altra parte, le scansioni a riposo sono programmate per controllare periodicamente elementi storici, statici o aggiornati raramente come documentazione, file d'archivio, depositi di artefatti e contenitori di stoccaggio a lungo termine per la ricerca di segreti.
  2. Identificazione segreta: Una volta rilevato un potenziale segreto, il modello viene verificato estraendo e confrontando i metadati dall'ambiente, oppure viene stabilita una comunicazione con un fornitore di servizi per individuare il servizio che corrisponde al segreto. Vengono eseguiti ulteriori test per confermare se il segreto sia ancora valido e attivo.
  3. Correzione automatica: se applicabile, viene tentata la correzione automatica o la redazione del segreto esposto. I processi comunicano con tutti i componenti o sistemi interessati per rimuovere il segreto dalla circolazione.
  4. Segnalazione e Avviso: Dopo che la corrispondenza è stata confermata e l'esecuzione di eventuali interventi automatici, lo scanner notifica il personale autorizzato dell'incidente e viene generato un rapporto che dettaglia il segreto identificato e le misure adottate.
  5. Bonifica manuale: Se la scansione automatica non è fattibile o fallisce per qualche motivo, è necessario intervenire manualmente da parte del personale autorizzato per oscurare o rimuovere il segreto esposto. Assicurati che i Dispositivi di scansione continuino a monitorare il segreto finché la situazione non viene risolta con successo.

Considerazioni chiave nella scelta di uno strumento di scansione

La scansione dei segreti viene effettuata tramite strumenti automatizzati che possono scansionare l'infrastruttura alla ricerca di segreti memorizzati in modo inappropriato. Considera questi fattori nella scelta di uno strumento di scansione segreta:

  • Integrazione CI/CD: Gli strumenti di scansione segreta dovrebbero funzionare all'interno delle pipeline CI/CD (integrazione continua / consegna continua) esistenti, integrandosi nel flusso di lavoro per automatizzare la scansione di codice e altri artefatti come parte del processo di sviluppo. Lo strumento dovrebbe supportare le piattaforme CI/CD più popolari. Inoltre, dovrebbe essere generalmente compatibile con le pratiche di Security as Code (SaC ) e non dovrebbe richiedere cambiamenti significativi né causare interruzioni all'esperienza degli sviluppatori.
  • Precisione della scansione: lo strumento deve avere un elevato grado di precisione, riducendo al minimo i casi di falsi positivi che fanno perdere tempo e le vulnerabilità trascurate nei falsi negativi. Gli strumenti solitamente operano sulla base di capacità di pattern-matching, mentre alcune soluzioni avanzate sfruttano l'intelligenza artificiale o algoritmi di apprendimento automatico per migliorare la precisione del rilevamento dei segreti.
  • Copertura della scansione: lo scanner segreto dovrebbe fornire copertura su tutte le risorse rilevanti, inclusi repository di codice, scansione delle immagini dei container, file system, configurazioni, archivi dati e backup. Ciò garantisce che i segreti esposti vengano individuati e risolti in tutte le aree dell'organizzazione.
  • Monitoraggio e avvisi: scegli strumenti di scansione segreti in grado di fornire avvisi e notifiche in tempo reale al rilevamento di informazioni segrete. Gli strumenti dovrebbero integrarsi bene con i processi esistenti, come la compatibilità del sistema SIEM (Security Information and Event Management) e le procedure di risposta agli incidenti.

Quando si seleziona uno strumento di scansione segreta, le priorità più alte sono una integrazione fluida con i processi esistenti, una forte accuratezza nel rilevamento e capacità di scansione.

Migliori pratiche per la gestione dei segreti

Implementare le seguenti migliori pratiche per la gestione sicura dei segreti:

  • Archiviazione sicura: la scansione dei segreti è una componente della gestione dei segreti, un approccio che garantisce l'archiviazione sicura e l'accesso ai segreti da parte di utenti e amministratori. Assicurati che i segreti siano memorizzati in modo sicuro e criptati in uno strumento dedicato alla gestione dei segreti per prevenire accessi non autorizzati.
  • Limita l'accesso: Il principio del privilegio minimo (PoLP) stabilisce che gli utenti (e i servizi) debbano avere solo l'accesso minimo necessario per completare i compiti lavorativi. Il PoLP si applica direttamente ai segreti. Limitare l'accesso degli utenti e delle Applicazioni ai segreti in base alle necessità e istruire il personale sulle procedure di gestione sicura dei segreti.
  • Rotazione segreta: Implementare procedure automatizzate di rotazione dei segreti che modificano i segreti secondo un programma predefinito o manualmente su richiesta. Ruotare i segreti garantisce una data di scadenza e che i danni siano limitati da esposizioni accidentali.
  • Segreti dinamici: Invece di codificare i segreti, usa variabili di ambiente o un sistema di gestione dei segreti per sostituirli dinamicamente. Questo è un aspetto delle pratiche di codifica sicura . Applicazione può essere configurata per richiedere segreti da un vault sicuro tramite una chiamata API e il segreto viene inserito nell'ambiente o nel file di configurazione in fase di esecuzione.
  • Controllo del ciclo di vita dei segreti: monitora il ciclo di vita di tutti i segreti utilizzati all'interno dell'organizzazione, revocandoli quando non sono più necessari o se compromessi. Registrare gli eventi di accesso segreti e disporre di un registro facilmente accessibile per gli audit.

Pratiche meticolose di gestione, accesso e controllo sono esempi di approccio efficace per proteggere i segreti nell'organizzazione.

Maximize Security with Check Point

La scansione dei segreti automatizza l'identificazione, la classificazione e la protezione dei segreti attraverso le basi di codice, l'infrastruttura e le risorse dell'organizzazione. Gli scanner segreti sono utilizzati per garantire che le organizzazioni bilancino misure di sicurezza solide senza interferire con i flussi di lavoro degli sviluppatori o le operazioni aziendali.

CloudGuard Code Security protegge codice, asset e infrastrutture dalla pre-produzione all'Implementazione. Si integra facilmente con gli strumenti di sviluppo esistenti, permettendo un monitoraggio e un'analisi continui del tuo codice per vulnerabilità, configurazioni errate e segreti esposti. Scopri come CloudGuard puoi proteggere la tua organizzazione: richiedi oggi stesso una Demo gratuita .

Inoltre, Check Point Spectral rende facile proteggere il codice da esposizioni segrete accidentali. La tecnologia avanzata di scansione di Spectral previene violazioni identificando chiavi API, token e credenziali codificate rigidamente. Per saperne di più, scarica oggi stesso il white paper del Spectral Product Brief .

Per iniziare

Whitepaper sulla sicurezza del codice

GigaOm Radar for Security Policy as Code

CloudGuard Code Security

Argomenti correlati

Cos'è la sicurezza del codice?

Sicurezza Shift Left

Cos'è la Sicurezza come Codice (SaC)?

Developer Security