Protegendo segredos no Defender para Nuvem
O Microsoft Defender para Nuvem ajuda as equipes de segurança a minimizar o risco de invasores explorarem segredos de segurança.
Depois de obter acesso inicial, os invasores tentam se mover lateralmente entre redes, acessando recursos para explorar vulnerabilidades e danificar sistemas de informações críticos. A movimentação lateral geralmente envolve ameaças de credenciais que normalmente exploram dados confidenciais, como credenciais expostas e segredos, como senhas, chaves, tokens e cadeias de conexão para obter acesso a ativos adicionais.
Os segredos geralmente são encontrados em implantações multinuvem em arquivos, em discos de VM ou em contêineres. Os segredos expostos ocorrem por vários motivos:
- Falta de conscientização: as organizações podem não estar cientes do risco e das consequências da exposição de segredos.
- Falta de política: pode não haver uma política empresarial clara sobre como lidar e proteger segredos em arquivos de código e configuração.
- Falta de ferramentas de descoberta: as ferramentas podem não estar em vigor para detectar e corrigir vazamentos de segredos.
- Complexidade e velocidade: ambientes complexos que podem incluir várias plataformas de nuvem, software de código aberto e código de terceiros. Os desenvolvedores podem usar segredos para acessar e integrar recursos e serviços e armazenar segredos em repositórios de código-fonte para conveniência e reutilização. Isso pode levar à exposição acidental de segredos em repositórios públicos ou privados ou durante a transferência ou processamento de dados.
- Troca entre segurança e usabilidade: as organizações podem manter segredos expostos em ambientes de nuvem para facilitar o uso, para evitar a complexidade e a latência de criptografar e descriptografar dados inativos e em trânsito. Isso pode comprometer a segurança e a privacidade de dados e credenciais.
Tipos e planos de verificação
O Defender para Nuvem fornece diferentes tipos de verificação de segredos.
| Tipos de verificação | Detalhes | Planejar suporte |
|---|---|---|
| Verificação de computador | Verificação de segredos sem agente em VMs multinuvem. | Plano de Gerenciamento de Postura do Defender para Segurança de Nuvem (CSPM) ou com o Plano 2 do Defender para servidores. |
| Verificação de recursos de implantação em nuvem | Verificação de segredos sem agente em recursos de implantação de infraestrutura como código multinuvem. | Plano do CSPM do Defender. |
| Verificação do repositório de códigos | Verificação para descobrir segredos expostos no Azure DevOps. | Plano do CSPM do Defender. |
Permissões de verificação
É necessário ter as seguintes permissões para usar a verificação de segredos:
Leitor de segurança
Administrador de Segurança
Leitor
Colaborador
- Proprietário
Revisão de descobertas de segredos
Existe uma variedade de métodos disponíveis para identificar e atenuar problemas com segredos. Nem todos os métodos são compatíveis com cada segredo.
- Examinar segredos no inventário de ativos: o inventário mostra o estado de segurança dos recursos conectados ao Defender para Nuvem. No inventário, é possível exibir os segredos descobertos em um computador específico.
- Examinar as recomendações de segredos: quando os segredos são encontrados em ativos, uma recomendação é disparada no controle de segurança Corrigir vulnerabilidades na página Recomendações do Defender para Nuvem. As recomendações são disparadas da seguinte maneira:
- Examine segredos com o Cloud Security Explorer. Use o Cloud Security Explorer para consultar o grafo de segurança da nuvem e obter insights de segredos. É possível criar suas próprias consultas ou usar um dos modelos internos para consultar segredos de VM em seu ambiente.
- Examinar caminhos de ataque: a análise do caminho de ataque verifica o grafo de segurança da nuvem para expor caminhos exploráveis que os ataques podem usar para violar seu ambiente e alcançar ativos de alto impacto. A verificação de segredos de VM dá suporte a um número de cenários de caminho de ataque.
Suporte a segredos
O Defender para Nuvem dá suporte à descoberta dos tipos de segredos resumidos na tabela. A Revisão usando a coluna indica os métodos que você pode usar para investigar e corrigir recomendações de segredos.
| Tipo de segredos | Descoberta de segredos de VM | Descoberta de segredos de implantação na nuvem | Revisão usando |
|---|---|---|---|
| Chaves privadas SSH não seguras Compatível com o algoritmo RSA para arquivos PuTTy. Padrões PKCS#8 e PKCS#1 Padrão OpenSSH |
Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão SQL do Azure sem texto dão suporte a PAAS do SQL. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure em texto não criptografado para PostgreSQL. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure em texto não criptografado para MySQL. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure em texto não criptografado para MariaDB. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Azure Cosmos DB em texto não criptografado, incluindo PostgreSQL, MySQL e MariaDB. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeia de conexão do RDS da AWS em texto não criptografado compatível com o PAAS do SQL: Amazon Aurora em texto não criptografado com variantes do Postgres e MySQL. RDS personalizado da Amazon em texto não criptografado com variantes do Oracle e do SQL Server. |
Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão de contas de armazenamento do Azure em texto não criptografado | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão de contas de armazenamento do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Tokens SAS de contas de armazenamento do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| Chaves de acesso da AWS em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| URL pré-atribuída do AWS S3 de texto sem formatação. | Sim | Yes | Inventário, gerenciador de segurança de nuvem, recomendações, caminhos de ataque |
| URL assinada do armazenamento do Google em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Segredo do cliente do Azure AD em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso pessoal do Azure DevOps em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso pessoal do GitHub em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso da Configuração de Aplicativos do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave do Serviço Cognitivo do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Credenciais de usuário do Azure AD em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do Registro de Contêiner do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Senha de implantação do Serviço de Aplicativo do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso pessoal do Azure Databricks em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do Azure SignalR em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de assinatura do Gerenciamento de API do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave secreta do Bot Framework do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de API do serviço Web do Azure Machine Learning em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso dos Serviços de Comunicação do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de Acesso à Grade de Eventos do Azure sem texto. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do MWS (Serviço Web do Marketplace) da Amazon em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de assinatura do Azure Mapas em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso do Azure Web PubSub em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de API do OpenAI em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso compartilhado do Lote do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Token de autenticação do NPM em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Certificado de gerenciamento da assinatura do Azure em texto não criptografado. | Sim | Yes | Inventário, gerenciador de segurança de nuvem. |
| Chave de API GCP de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Credenciais do Redshift do AWS de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave privada de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Cadeia de conexão ODBC de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Senha geral de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Credenciais de logon do usuário de texto não criptografado. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Token pessoal do Travis de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso do Slack de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Texto ASP.NET chave de máquina sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Cabeçalho de autorização HTTP de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Senha do Cache Redis do Azure sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave de acesso compartilhado do Azure IoT sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Segredo do aplicativo Azure DevOps de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave de API de Função do Azure de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Chave de Acesso Compartilhado do Azure de texto sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Assinatura de Acesso Compartilhado do Aplicativo Lógico do Azure de texto não criptografado. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Token de acesso do Azure Active Directory sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |
| Assinatura de acesso compartilhado do Barramento de Serviço do Azure sem formatação. | Não | Sim | Inventário, gerenciador de segurança de nuvem. |