What is Secret Scanning?

秘密掃描是一種自動化程序，用來分析資料來源，例如組態檔案、部署或建置腳本、程式碼儲存庫、提交和管道，以偵測意外包含的敏感資訊，並防止秘密暴露可能產生的威脅。

瞭解機密資料與敏感資料

機密和敏感資料的性質相似，但範圍不同。所有機密都可視為敏感資料，但並非所有敏感資料都是機密。

秘密是為了保護資料完整性和安全性而必須保密的任何資訊。機密是特權資訊，用於授權存取組織的受限系統或服務。最常見的秘密形式是憑證 - 用戶名和密碼。其他類型的秘密包括加密金鑰、安全憑證或應用程式開發介面令牌。

另一方面，敏感資料通常屬於終端使用者或客戶。這些資料包括社會安全號碼、工作識別號碼、個人識別資訊 (PII) 或信用卡號碼等項目。儲存敏感資訊時，組織通常必須遵守特定的資料隱私權法律或產業標準。

以下範例展示了這兩種資訊之間的差異：資料庫憑證透過漏洞暴露給駭客，並用於在組織內執行更廣泛的攻擊。惡意行為者利用此秘密存取資料庫，並將儲存於其中的敏感資料（如客戶信用卡號碼和其他 PII）外洩。

秘密掃描可以分成數個明確的步驟：

掃描階段： 掃描器針對 IT 堆疊中的所有相關目標執行掃描。掃描功能分為兩大類：即時掃描 監控事件，例如拉取請求、程式碼變更和組態檔案修改。他們也可以協助確保容器在機密、分析建置系統、日誌和資料儲存方面的安全性。另一方面，定時掃描的排程是為了定期檢查歷史、靜態或不常更新的項目，例如文件、歸檔檔案、製成品儲存庫和長期 blob 儲存容器中的機密。
秘密識別：一旦偵測到潛在的秘密，就會從環境中抽取並比較元資料來檢查該模式，或與服務供應商建立通訊，以找出符合該秘密的服務。額外的測試會被執行，以確認密碼是否仍然有效。
自動補救：如果適用，會嘗試自動修復或刪除已曝光的機密。處理過程與所有受影響的元件或系統溝通，從流通中移除秘密。
報告與警示：在確認匹配並執行任何自動補救措施後，掃描器會將事件通知授權人員，並產生報告，詳細說明已識別的機密和採取的措施。
手動補救：如果自動掃描不可行或因某些原因失敗，則必須由授權人員進行手動操作，以刪除或移除暴露的秘密。確保掃瞄裝置持續監控秘密，直到情況成功解決為止。

秘密掃描由自動化工具執行，這些工具可以掃描基礎結構，找出儲存不當的秘密。選擇秘密掃描工具時，請考慮這些因素：

CI/CD 整合： 秘密掃描工具應在現有的 CI/CD（持續整合/持續交付）管道中運作，整合在工作流程中以自動掃描代碼和其他工件，作為開發流程的一部分。該工具應支援最流行的 CI/CD 平台。此外，一般而言，它應該與安全即程式碼 (SaC)的實作相容，並且不需要大幅變更或造成開發人員經驗的中斷。
掃描準確性：該工具應具有高度的準確性，將浪費時間的假陽性事件降至最低，並忽略假陰性中的弱性。工具通常以模式匹配功能為基礎，而某些先進的產品則利用人工智慧或機器學習演算法來提高秘密偵測的準確度。
掃描範圍：秘密掃描器應涵蓋所有相關資產，包括程式碼儲存庫、容器影像掃描、檔案系統、組態、資料儲存和備份。這可確保在組織的所有區域都能發現並修復暴露的機密。
監控與警示： 選擇能夠在偵測到機密時提供即時警示和通知的機密掃描工具。這些工具應該與現有的程序整合，例如安全性資訊與事件管理 (Security Information and Event Management) 系統相容性與事件回應程序。

在選擇秘密掃描工具時，最優先的項目是與現有程序的順暢整合、強大的偵測準確性以及掃描能力。

實施下列安全秘密管理的最佳作法：

安全儲存：秘密掃描是秘密管理的一個組成部分，這種方法可確保使用者和管理員安全儲存和存取秘密。確保在專用的機密管理工具中安全儲存和加密機密，以防止未經授權的存取。
限制存取：最小權限原則 (PoLP) 規定使用者（和服務）只應擁有完成工作任務所需的最小存取權限。PoLP 直接適用於機密。限制使用者和應用程式在需要使用的情況下存取機密，並教育員工安全處理機密的程序。
秘密輪換：實施自動化的秘密輪換程序，依據預先定義的排程變更秘密，或依據要求手動變更秘密。輪換秘密可確保其有效期限，並限制意外接觸造成的損害。
動態機密：使用環境變數或機密管理系統來動態交換機密，而非硬性編碼機密。這是安全編碼實務的一個方面。應用程式可設定為透過應用程式開發介面呼叫，從安全儲存庫中請求秘密，並在執行時將秘密注入環境或設定檔中。
機密生命週期控制：追蹤組織內使用的所有機密的生命週期，在不再需要或機密遭到洩露時將其撤銷。記錄秘密存取事件，並備有容易存取的日誌以供稽核。

謹慎的管理、存取和控制實務是有效保護組織內機密的範例。