Melindungi rahasia di Defender untuk Cloud
Microsoft Defender untuk Cloud membantu tim keamanan untuk meminimalkan risiko penyerang mengeksploitasi rahasia keamanan.
Setelah mendapatkan akses awal, penyerang mencoba bergerak secara lateral di seluruh jaringan, mengakses sumber daya untuk mengeksploitasi kerentanan dan merusak sistem informasi penting. Gerakan lateral sering melibatkan ancaman info masuk yang biasanya mengeksploitasi data sensitif seperti kredensial dan rahasia yang terekspos seperti kata sandi, kunci, token, dan string koneksi untuk mendapatkan akses ke aset tambahan.
Rahasia sering ditemukan di seluruh penyebaran multicloud dalam file, pada disk VM, atau pada kontainer. Rahasia yang diekspos terjadi karena sejumlah alasan:
- Kurangnya kesadaran: Organisasi mungkin tidak menyadari risiko dan konsekuensi dari paparan rahasia.
- Kurangnya kebijakan: Mungkin tidak ada kebijakan perusahaan yang jelas tentang penanganan dan perlindungan rahasia dalam file kode dan konfigurasi.
- Kurangnya alat penemuan: Alat mungkin tidak tersedia untuk mendeteksi dan memulihkan kebocoran rahasia.
- Kompleksitas dan kecepatan: Lingkungan kompleks yang mungkin mencakup beberapa platform cloud, perangkat lunak sumber terbuka, dan kode pihak ketiga. Pengembang mungkin menggunakan rahasia untuk mengakses dan mengintegrasikan sumber daya dan layanan, dan menyimpan rahasia di repositori kode sumber untuk kenyamanan dan penggunaan kembali. Ini dapat menyebabkan paparan rahasia yang tidak disengaja di repositori publik atau privat, atau selama transfer atau pemrosesan data.
- Trade-off antara keamanan dan kegunaan: Organisasi mungkin menyimpan rahasia yang terekspos di lingkungan cloud untuk kemudahan penggunaan, untuk menghindari kompleksitas dan latensi mengenkripsi dan mendekripsi data saat tidak aktif dan dalam transit. Ini dapat membahayakan keamanan dan privasi data dan kredensial.
Jenis dan paket pemindaian
Defender untuk Cloud menyediakan berbagai jenis pemindaian rahasia.
| Jenis pemindaian | Rincian | Merencanakan dukungan |
|---|---|---|
| Pemindaian mesin | Pemindaian rahasia tanpa agen pada VM multicloud. | Defender untuk Cloud paket Security Posture Management (CSPM), atau Defender untuk Server Paket 2. |
| Pemindaian sumber daya penyebaran cloud | Rahasia tanpa agen yang memindai di seluruh sumber daya penyebaran infrastruktur sebagai kode multicloud. | Rencana Defender CSPM. |
| Pemindaian repositori kode | Pemindaian untuk menemukan rahasia yang diekspos di Azure DevOps. | Rencana Defender CSPM. |
Memindai izin
Untuk menggunakan pemindaian rahasia, diperlukan izin berikut:
Pembaca Keamanan
Admin Keamanan
Pembaca
Kontributor
- Pemilik
Meninjau temuan rahasia
Ada sejumlah metode yang tersedia untuk mengidentifikasi dan mengurangi masalah rahasia. Tidak setiap metode didukung untuk setiap rahasia.
- Tinjau rahasia dalam inventaris aset: Inventori menunjukkan status keamanan sumber daya yang terhubung ke Defender untuk Cloud. Dari inventori, Anda dapat melihat rahasia yang ditemukan pada komputer tertentu.
- Tinjau rekomendasi rahasia: Ketika rahasia ditemukan pada aset, rekomendasi dipicu di bawah kontrol keamanan Kerentanan Remediasi di halaman Rekomendasi Defender untuk Cloud. Rekomendasi dipicu sebagai berikut:
- Tinjau rahasia dengan penjelajah keamanan cloud. Gunakan penjelajah keamanan cloud untuk mengkueri grafik keamanan cloud untuk wawasan rahasia. Anda dapat membuat kueri Anda sendiri, atau menggunakan salah satu templat bawaan untuk mengkueri rahasia VM di seluruh lingkungan Anda.
- Tinjau jalur serangan: Analisis jalur serangan memindai grafik keamanan cloud untuk mengekspos jalur yang dapat dieksploitasi yang mungkin digunakan serangan untuk melanggar lingkungan Anda dan mencapai aset berdampak tinggi. Pemindaian rahasia VM mendukung sejumlah skenario jalur serangan.
Dukungan rahasia
Defender untuk Cloud mendukung penemuan jenis rahasia yang dirangkum dalam tabel. Kolom Tinjau menggunakan menunjukkan metode yang dapat Anda gunakan untuk menyelidiki dan memulihkan rekomendasi rahasia.
| Jenis rahasia | Penemuan rahasia VM | Penemuan rahasia penyebaran cloud | Tinjau menggunakan |
|---|---|---|---|
| Kunci privat SSH tidak aman Mendukung algoritma RSA untuk file PuTTy. Standar PKCS#8 dan PKCS#1 Standar OpenSSH |
Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext Azure SQL string koneksi s mendukung SQL PAAS. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext Azure database for PostgreSQL. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Database Azure teks biasa untuk MySQL. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Database Azure plaintext untuk MariaDB. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext Azure Cosmos DB, termasuk PostgreSQL, MySQL, dan MariaDB. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext AWS RDS string koneksi mendukung SQL PAAS: Plaintext Amazon Aurora dengan rasa Postgres dan MySQL. RDS kustom Plaintext Amazon dengan rasa Oracle dan SQL Server. |
Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| String koneksi akun penyimpanan Azure Plaintext | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| String koneksi akun penyimpanan Plaintext Azure. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Token SAS akun penyimpanan Azure Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Kunci akses AWS teks biasa. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| URL yang ditandatangani AWS S3 plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| URL yang ditandatangani penyimpanan Google Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Rahasia Klien Azure AD Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Pribadi Plaintext Azure DevOps. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Pribadi GitHub Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure App Configuration Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Azure Cognitive Service Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kredensial Pengguna Azure AD Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure Container Registry Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kata Sandi Penyebaran Plaintext Azure App Service. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Pribadi Plaintext Azure Databricks. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure SignalR Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Langganan Plaintext Azure API Management. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Rahasia Kerangka Kerja Azure Bot Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API Layanan Web Pembelajaran Mesin Azure Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure Communication Services Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Plaintext Azure Event Grid. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Plaintext Amazon Marketplace Web Service (MWS). | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Langganan Plaintext Azure Maps. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure Web PubSub Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API OpenAI Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Bersama Azure Batch Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Penulis NPM Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Sertifikat Manajemen Langganan Azure Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API GCP Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kredensial AWS Redshift Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Privat Teks Biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| String koneksi ODBC teks biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kata sandi Umum teks biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kredensial masuk Pengguna Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Token pribadi Plaintext Travis. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Token akses Plaintext Slack. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Plaintext ASP.NET Machine Key. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Header Otorisasi HTTP Teks Biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kata sandi Plaintext Azure Redis Cache. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Bersama Plaintext Azure IoT. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Rahasia Aplikasi Azure DevOps Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API Fungsi Azure Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Bersama Azure Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Tanda Tangan Akses Bersama Aplikasi Logika Azure Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Azure Active Directory Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Plaintext Azure Bus Layanan Tanda Tangan Akses Bersama. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |