What is Secret Scanning?

A varredura de segredos é um processo automatizado para analisar fontes de dados como arquivos de configuração, scripts de implantação ou compilação, repositórios de código, commits e pipelines, a fim de detectar a inclusão acidental de informações confidenciais e prevenir ameaças que possam surgir da exposição de segredos.

Download da ficha técnica Saiba mais

Entendendo a diferença entre segredos e dados sensíveis.

Segredos e dados sensíveis são semelhantes em natureza, mas diferem em seu alcance. Todos os segredos podem ser considerados dados sensíveis, porém nem todos os dados sensíveis são segredos.

Segredos são qualquer tipo de informação que deve ser mantida em sigilo para proteger a integridade e a segurança dos dados. Os segredos são informações privilegiadas e são usados para conceder acesso aos sistemas ou serviços restritos de uma organização. A forma mais comum de segredos são as credenciais – nomes de usuário e senhas. Outros tipos de segredos incluem chaves de criptografia, certificados de segurança ou tokens de API.

Por outro lado, os dados sensíveis geralmente pertencem aos usuários finais ou clientes. Esses dados incluem itens como números de segurança social, números de identificação de emprego, informações de identificação pessoal (PII) ou números de cartão de crédito. O armazenamento de informações sensíveis geralmente exige que as organizações mantenham a conformidade com determinadas leis de privacidade de dados ou padrões da indústria.

O exemplo a seguir demonstra as diferenças entre esses dois tipos de informação: uma credencial de banco de dados é exposta a um hacker por meio de uma violação de segurança e é usada para executar um ataque mais amplo dentro da organização. O agente malicioso usa a chave secreta para obter acesso ao banco de dados e extrair dados sensíveis armazenados nele, como números de cartão de crédito de clientes e outras informações pessoais identificáveis.

Como funciona a digitalização secreta

A varredura secreta pode ser dividida em várias etapas claramente definidas:

  1. Fase de Varredura: O scanner realiza varreduras em todos os alvos relevantes dentro da infraestrutura de TI. As funcionalidades de varredura se dividem em duas categorias: varreduras em tempo real monitoram eventos como solicitações de pull, alterações de código e modificações em arquivos de configuração. Eles também podem ajudar a garantir a segurança dos contêineres em relação a segredos, analisar sistemas de compilação, registros e armazenamentos de dados. Por outro lado, as verificações em repouso são programadas para verificar periodicamente itens históricos, estáticos ou atualizados com pouca frequência, como documentação, arquivos compactados, repositórios de artefatos e contêineres de armazenamento de blobs de longo prazo, em busca de segredos.
  2. Identificação de segredos: Uma vez detectado um possível segredo, o padrão é verificado através da extração e comparação de metadados do ambiente, ou é estabelecida uma comunicação com um provedor de serviços para identificar o serviço que corresponde ao segredo. Testes adicionais são executados para confirmar se o segredo ainda é válido e está ativo.
  3. Remediação automatizada: Se aplicável, é feita uma tentativa de remediação ou redação automatizada do segredo exposto. Os processos comunicam-se com todos os componentes ou sistemas afetados para remover o segredo de circulação.
  4. Relatórios e alertas: Após a confirmação da correspondência e a execução de qualquer correção automatizada, o scanner notifica a equipe autorizada sobre o incidente e um relatório é gerado, detalhando o segredo identificado e as medidas tomadas.
  5. Remediação manual: Se a varredura automatizada não for viável ou falhar por algum motivo, a ação manual por parte de funcionários autorizados é necessária para redigir ou remover o segredo exposto. Certifique-se de que o dispositivo de escaneamento continue monitorando a busca pelo segredo até que a situação seja resolvida com sucesso.

Principais considerações ao escolher uma ferramenta de digitalização

A varredura de segredos é realizada por ferramentas automatizadas que podem analisar a infraestrutura em busca de segredos armazenados de forma inadequada. Considere estes fatores ao escolher uma ferramenta de escaneamento secreta:

  • Integração CI/CD: As ferramentas de varredura de segredos devem funcionar dentro dos pipelines CI/CD (integração contínua/entrega contínua) existentes, integrando-se ao fluxo de trabalho para automatizar a varredura de código e outros artefatos como parte do processo de desenvolvimento. A ferramenta deve ser compatível com as plataformas de CI/CD mais populares. Além disso, deve ser geralmente compatível com as práticas de segurança como código (SaC) e não deve exigir alterações significativas nem causar interrupções na experiência do desenvolvedor.
  • Precisão da verificação: A ferramenta deve ter um alto grau de precisão, minimizando a ocorrência de falsos positivos que desperdiçam tempo e a vulnerabilidade despercebida em falsos negativos. As ferramentas normalmente operam com base em capacidades de reconhecimento de padrões, enquanto algumas ofertas avançadas utilizam inteligência artificial ou algoritmos de aprendizado de máquina (machine learning, ML) para aprimorar a precisão da detecção de segredos.
  • Abrangência da varredura: O scanner secreto deve fornecer cobertura para todos os ativos relevantes, incluindo repositórios de código, varredura de imagens de contêiner, sistemas de arquivos, configurações, armazenamentos de dados e backups. Isso garante que os segredos expostos sejam encontrados e corrigidos em todas as áreas da organização.
  • Monitoramento e alertas: escolha ferramentas de varredura de segredos que sejam capazes de fornecer alertas e notificações em tempo real assim que um segredo for detectado. As ferramentas devem integrar-se bem aos processos existentes, como a compatibilidade com o sistema de Gestão de Informações e Eventos de Segurança (SIEM) e os procedimentos de resposta a incidentes.

Ao selecionar uma ferramenta de escaneamento secreto, os itens de maior prioridade são a integração perfeita com os processos existentes, alta precisão de detecção e recursos de escaneamento.

Melhores Práticas para Gerenciamento de Segredos

Implemente as seguintes boas práticas para o gerenciamento seguro de segredos:

  • Armazenamento seguro: A verificação de segredos é um componente do gerenciamento de segredos, uma abordagem que garante o armazenamento e o acesso seguros a segredos tanto por usuários quanto por administradores. Garanta que os segredos sejam armazenados e criptografados com segurança em uma ferramenta dedicada de gerenciamento de segredos para evitar acesso não autorizado.
  • Restringir o acesso: O princípio do menor privilégio (PoLP) determina que os usuários (e serviços) devem ter apenas o acesso mínimo necessário para concluir as tarefas de trabalho. O PoLP aplica-se diretamente a segredos. Limite o acesso de usuários e aplicativos a informações confidenciais apenas quando necessário e treine a equipe sobre os procedimentos de manuseio seguro de informações confidenciais.
  • Rotação de segredos: Implementar procedimentos automatizados de rotação de segredos que alterem os segredos em um cronograma predefinido ou manualmente, mediante solicitação. A rotação de segredos garante que eles tenham um prazo de validade e que os danos causados por exposição acidental sejam limitados.
  • Segredos dinâmicos: em vez de codificar segredos diretamente no código, use variáveis de ambiente ou um sistema de gerenciamento de segredos para inserir segredos dinamicamente. Este é um aspecto das práticas de programação segura . O aplicativo pode ser configurado para solicitar segredos de um cofre seguro por meio de uma chamada API , e o segredo é inserido no ambiente ou arquivo de configuração em tempo de execução.
  • Controle do Ciclo de Vida de Segredos: Monitore o ciclo de vida de todos os segredos utilizados na organização, revogando-os quando não forem mais necessários ou se forem comprometidos. Registre eventos de acesso secreto e mantenha um registro de fácil acesso para auditorias.

Práticas meticulosas de gestão, acesso e controle são exemplos de uma abordagem eficaz para proteger segredos na organização.

Maximize Security with Check Point

A varredura de segredos automatiza a identificação, classificação e proteção de segredos em todas as bases de código, infraestrutura e ativos da organização. Os scanners secretos são usados para garantir que as organizações consigam equilibrar medidas de segurança robustas sem interferir nos fluxos de trabalho dos desenvolvedores ou nas operações comerciais.

O Check Point Code Security protege código, ativos e infraestrutura desde a pré-produção até a implantação. Ele se integra facilmente às ferramentas de desenvolvimento existentes, permitindo o monitoramento e a análise contínuos do seu código-fonte em busca de vulnerabilidades, configurações incorretas e segredos expostos. Veja como Check Point pode proteger sua organização: solicite uma demogratuita hoje mesmo.

Além disso, o Check Point Spectral facilita a proteção do código contra a exposição acidental de segredos. A tecnologia avançada de varredura da Spectral impede violações ao identificar chaves de API, tokens e credenciais embutidas no código. Para saber mais , baixe hoje mesmo o white paper "Resumo do Produto Spectral" .

Iniciar

Documento técnico sobre segurança de código

GigaOm Radar for Security Policy as Code

Check Point Code Security

Tópicos relacionados

O que é segurança de código?

Mudar segurança para a esquerda

O que é Segurança como Código (SaC)?

Developer Security