Proteção de segredos no Defender para a Cloud
O Microsoft Defender for Cloud ajuda as equipas de segurança a minimizar o risco de os atacantes explorarem segredos de segurança.
Depois de obter acesso inicial, os atacantes tentam mover-se lateralmente através das redes, acedendo a recursos para explorar vulnerabilidades e danificar sistemas de informação críticos. O movimento lateral geralmente envolve ameaças de credenciais que normalmente exploram dados confidenciais, como credenciais expostas e segredos, como senhas, chaves, tokens e cadeias de conexão para obter acesso a ativos adicionais.
Os segredos geralmente são encontrados em implantações multicloud em arquivos, em discos de VM ou em contêineres. Os segredos expostos acontecem por uma série de razões:
- Falta de consciencialização: As organizações podem não estar cientes do risco e das consequências da exposição de segredos.
- Falta de política: pode não haver uma política clara da empresa sobre manipulação e proteção de segredos em arquivos de código e configuração.
- Falta de ferramentas de descoberta: as ferramentas podem não estar disponíveis para detetar e remediar vazamentos de segredos.
- Complexidade e velocidade: ambientes complexos que podem incluir várias plataformas de nuvem, software de código aberto e código de terceiros. Os desenvolvedores podem usar segredos para acessar e integrar recursos e serviços, e armazenar segredos em repositórios de código-fonte para conveniência e reutilização. Isso pode levar à exposição acidental de segredos em repositórios públicos ou privados, ou durante a transferência ou processamento de dados.
- Compromisso entre segurança e usabilidade: as organizações podem manter segredos expostos em ambientes de nuvem para facilitar o uso, para evitar a complexidade e a latência de criptografar e descriptografar dados em repouso e em trânsito. Isso pode comprometer a segurança e a privacidade dos dados e credenciais.
Tipos e planos de digitalização
O Defender for Cloud fornece diferentes tipos de verificação de segredos.
| Tipo de digitalização | Detalhes | Suporte ao plano |
|---|---|---|
| Digitalização de máquinas | Varredura de segredos sem agente em VMs multicloud. | Plano Defender for Cloud Security Posture Management (CSPM) ou Defender for Servers Plan 2. |
| Análise de recursos de implementação na nuvem | Verificação de segredos sem agente em recursos de implantação de infraestrutura como código multicloud. | Plano Defender CSPM. |
| Varredura do repositório de código | Verificação para descobrir segredos expostos no Azure DevOps. | Plano Defender CSPM. |
Permissões de varredura
Para usar a verificação de segredos, as seguintes permissões são necessárias:
Leitor de Segurança
Administrador de Segurança
Leitor
Contribuinte
- Proprietário
Revisão de descobertas secretas
Há uma série de métodos disponíveis para identificar e mitigar problemas de segredos. Nem todos os métodos são suportados para todos os segredos.
- Revise segredos no inventário de ativos: o inventário mostra o estado de segurança dos recursos conectados ao Defender for Cloud. A partir do inventário, você pode visualizar os segredos descobertos em uma máquina específica.
- Recomendações de segredos de revisão: quando segredos são encontrados em ativos, uma recomendação é acionada sob o controle de segurança Remediar vulnerabilidades na página Recomendações do Defender for Cloud. As recomendações são desencadeadas da seguinte forma:
- Analise segredos com o explorador de segurança na nuvem. Use o explorador de segurança na nuvem para consultar o gráfico de segurança na nuvem para obter informações sobre segredos. Você pode criar suas próprias consultas ou usar um dos modelos internos para consultar segredos de VM em seu ambiente.
- Rever caminhos de ataque: a análise de caminhos de ataque analisa o gráfico de segurança na nuvem para expor caminhos exploráveis que os ataques podem utilizar para violar o seu ambiente e alcançar ativos de alto impacto. A verificação de segredos de VM oferece suporte a vários cenários de caminho de ataque.
Suporte de segredos
O Defender for Cloud suporta a descoberta dos tipos de segredos resumidos na tabela. A coluna Revisar usando indica os métodos que você pode usar para investigar e corrigir recomendações de segredos.
| Tipo de segredos | Descoberta de segredos de VM | Descoberta de segredos de implantação na nuvem | Rever utilizando |
|---|---|---|---|
| Chaves privadas SSH inseguras Suporta algoritmo RSA para ficheiros PuTTy. Padrões PKCS#8 e PKCS#1 Padrão OpenSSH |
Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| As cadeias de conexão SQL do Azure de texto simples dão suporte ao SQL PAAS. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure de texto simples para PostgreSQL. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure de texto simples para MySQL. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Banco de dados do Azure de texto sem formatação para MariaDB. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Texto simples do Azure Cosmos DB, incluindo PostgreSQL, MySQL e MariaDB. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| A cadeia de conexão de texto simples do AWS RDS oferece suporte a SQL PAAS: Amazon Aurora de texto simples com sabores Postgres e MySQL. RDS personalizado da Amazon em texto simples com os sabores Oracle e SQL Server. |
Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão de conta de armazenamento do Azure de texto sem formatação | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Cadeias de conexão de conta de armazenamento do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Tokens SAS da conta de armazenamento do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| Chaves de acesso da AWS em texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| URL pré-assinado do AWS S3 de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
| URL assinado de armazenamento do Google em texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Segredo do Cliente do Azure AD de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Token de Acesso Pessoal do Azure DevOps de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Token de acesso pessoal do GitHub de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de acesso de configuração do aplicativo Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de Serviço Cognitivo do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Credenciais de usuário do Azure AD de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de Acesso ao Registo de Contentor do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Senha de Implantação do Serviço de Aplicativo do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Token de Acesso Pessoal do Azure Databricks de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de acesso do Azure SignalR de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de Subscrição de Gestão da API do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave secreta do Azure Bot Framework de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de API do Serviço Web do Azure Machine Learning de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de acesso dos Serviços de Comunicação do Azure em texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de acesso da grade de eventos do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de acesso de texto simples do Amazon Marketplace Web Service (MWS). | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de Subscrição do Azure Maps de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de acesso do Azure Web PubSub de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de API OpenAI de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de Acesso Compartilhado do Azure Batch de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Token de autor NPM de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Certificado de Gerenciamento de Assinatura do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de API GCP de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Credenciais de texto simples do AWS Redshift. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Chave privada de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Cadeia de conexão ODBC de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Texto simples Palavra-passe geral. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Credenciais de login de usuário de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Token pessoal Travis de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Token de acesso do Slack de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Texto simples ASP.NET Chave da máquina. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Cabeçalho de autorização HTTP de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Senha de texto simples do Cache Redis do Azure. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de Acesso Compartilhado do Azure IoT de texto sem formatação. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Segredo do aplicativo Azure DevOps de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Chave da API de Função do Azure de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Chave de Acesso Compartilhado do Azure de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Assinatura de Acesso Compartilhado do Aplicativo Lógico do Azure de texto sem formatação. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Token de acesso do Azure Ative Directory de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
| Assinatura de Acesso Compartilhado do Barramento de Serviço do Azure de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |