Proteja os segredos do repositório de código

O Defender for Cloud notifica as organizações sobre segredos expostos em repositórios de código do GitHub e do Azure DevOps. A deteção de segredos ajuda você a detetar, priorizar e corrigir rapidamente segredos expostos, como tokens, senhas, chaves ou credenciais armazenadas em qualquer arquivo dentro do repositório de código.

Se forem detetados segredos, o Defender for Cloud pode ajudar sua equipe de segurança a priorizar e tomar medidas de correção acionáveis para minimizar o risco de movimento lateral, identificando o recurso de destino que o segredo pode acessar.

Como funciona a verificação secreta do repositório de código?

A verificação de segredos para repositórios de código depende da Segurança Avançada do GitHub para GitHub e Azure DevOps. O GitHub Advanced Security verifica todo o histórico do Git em todas as ramificações presentes em seu repositório em busca de segredos, mesmo que o repositório esteja arquivado.

Para saber mais, visite a documentação de Segurança Avançada do GitHub para GitHub e Azure DevOps.

O que é suportado?

A verificação secreta do repositório de código está disponível com a licença de Segurança Avançada do GitHub necessária. A visualização das descobertas no Defender for Cloud é fornecida como parte do Foundational Cloud Security Posture Management. Para detetar possibilidades de movimento lateral para recursos de tempo de execução, o Defender Cloud Security Posture Management é necessário.

No momento, os caminhos de ataque para segredos expostos só estão disponíveis para repositórios de DevOps do Azure.

Como a varredura do repositório de código reduz o risco?

A verificação de segredos ajuda a reduzir o risco com as seguintes atenuações:

• Prevenção de movimentos laterais: a descoberta de segredos expostos em repositórios de código representa um risco significativo de acesso não autorizado, pois os agentes de ameaças podem aproveitar esses segredos para comprometer recursos críticos.
• Eliminar segredos que não são necessários: sabendo que segredos específicos não têm acesso a nenhum recurso em seu locatário, você pode trabalhar com segurança com desenvolvedores para remover esses segredos. Além disso, você saberá quando os segredos expiraram.
• Reforçar a segurança dos segredos: obter recomendações para utilizar sistemas de gestão secretos, como o Azure Key Vault.

Como posso identificar e corrigir problemas de segredos?

Existem várias maneiras de identificar e remediar segredos expostos. No entanto, nem todos os métodos listados abaixo são suportados para todos os segredos.

• Recomendações de segredos de revisão: quando segredos são encontrados em ativos, uma recomendação é acionada para o repositório de código relevante na página Recomendações do Defender for Cloud.
• Rever segredos com o explorador de segurança na nuvem: utilize o explorador de segurança na nuvem para consultar o gráfico de segurança na nuvem em busca de repositórios de código que contenham segredos.
• Rever caminhos de ataque: a análise de caminhos de ataque analisa o gráfico de segurança na nuvem para expor caminhos exploráveis que os ataques podem utilizar para violar o seu ambiente e alcançar ativos de alto impacto.

Recomendações de segurança

Estão disponíveis as seguintes recomendações de segurança de segredos:

• Repositórios de DevOps do Azure: os repositórios de DevOps do Azure devem ter descobertas de verificação secretas resolvidas
• Repositórios do GitHub: os repositórios do GitHub devem ter descobertas de varredura secretas resolvidas

Cenários de caminho de ataque

A análise de caminho de ataque é um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem para expor caminhos exploráveis que os invasores podem usar para alcançar ativos de alto impacto. Os caminhos de ataque potenciais incluem:

• O repositório do Azure DevOps contém um segredo exposto com movimento lateral para um banco de dados SQL.
• O repositório do Azure DevOps acessível publicamente contém um segredo exposto com movimento lateral para uma Conta de Armazenamento.

Consultas do explorador de segurança na nuvem

Para investigar segredos expostos e possibilidades de movimento lateral, você pode usar as seguintes consultas:

• Os repositórios de código contêm segredos
• Os repositórios de DevOps do Azure contêm segredos que podem ser autenticados no Armazenamento de Objetos ou em Bancos de Dados Gerenciados

Como posso mitigar os problemas de segredos de forma eficaz?

É importante ser capaz de priorizar segredos e identificar quais precisam de atenção imediata. Para ajudá-lo a fazer isso, o Defender for Cloud fornece:

• Metadados avançados para cada segredo, como o caminho do arquivo, número da linha, coluna, hash de confirmação, URL do arquivo, URL de alerta do GitHub Advanced Security e uma indicação sobre se o recurso de destino ao qual os segredos fornecem acesso existe.
• Metadados secretos combinados com o contexto de ativos de nuvem. Isso ajuda você a começar com ativos que estão expostos à Internet ou contêm segredos que podem comprometer outros ativos confidenciais. Os resultados da varredura de segredos são incorporados à priorização de recomendações com base no risco.

Conteúdos relacionados

Verificações de segredos de implantações na nuvem Verificaçãode segredos de VM Visãogeral da segurança de DevOps