Bagikan melalui

Melindungi rahasia repositori kode

  • Artikel

Defender untuk Cloud memberi tahu organisasi tentang rahasia yang diekspos dalam repositori kode dari GitHub dan Azure DevOps. Deteksi rahasia membantu Anda mendeteksi, memprioritaskan, dan memulihkan rahasia yang terekspos dengan cepat seperti token, kata sandi, kunci, atau kredensial yang disimpan dalam file apa pun dalam repositori kode.

Jika rahasia terdeteksi, Defender untuk Cloud dapat membantu tim keamanan Anda untuk memprioritaskan dan mengambil langkah-langkah remediasi yang dapat ditindaklanjuti untuk meminimalkan risiko gerakan lateral dengan mengidentifikasi sumber daya target yang dapat diakses rahasia.

Bagaimana cara kerja pemindaian rahasia repositori kode?

Pemindaian rahasia untuk repositori kode bergantung pada GitHub Advanced Security untuk GitHub dan Azure DevOps. GitHub Advanced Security memindai seluruh riwayat Git di semua cabang yang ada di repositori Anda untuk rahasia, bahkan jika repositori diarsipkan.

Untuk mempelajari lebih lanjut, kunjungi dokumentasi GitHub Advanced Security untuk GitHub dan Azure DevOps.

Apa yang didukung?

Pemindaian rahasia repositori kode tersedia dengan lisensi GitHub Advanced Security yang diperlukan. Melihat temuan di Defender untuk Cloud disediakan sebagai bagian dari Foundational Cloud Security Posture Management. Untuk mendeteksi kemungkinan gerakan lateral ke sumber daya runtime, Defender Cloud Security Posture Management diperlukan.

Saat ini, jalur serangan untuk rahasia yang diekspos hanya tersedia untuk repositori Azure DevOps.

Bagaimana pemindaian repositori kode mengurangi risiko?

Pemindaian rahasia membantu mengurangi risiko dengan mitigasi berikut:

  • Mencegah gerakan lateral: Penemuan rahasia yang terekspos dalam repositori kode menimbulkan risiko signifikan dari akses yang tidak sah karena pelaku ancaman dapat memanfaatkan rahasia ini untuk membahayakan sumber daya penting.
  • Menghilangkan rahasia yang tidak diperlukan: Dengan mengetahui bahwa rahasia tertentu tidak memiliki akses ke sumber daya apa pun di penyewa Anda, Anda dapat bekerja dengan aman dengan pengembang untuk menghapus rahasia ini. Selain itu, Anda akan tahu kapan rahasia kedaluwarsa.
  • Memperkuat keamanan rahasia: Mendapatkan rekomendasi untuk menggunakan sistem manajemen rahasia seperti Azure Key Vault.

Bagaimana cara mengidentifikasi dan memulihkan masalah rahasia?

Ada beberapa cara untuk mengidentifikasi dan memulihkan rahasia yang terekspos. Namun, tidak setiap metode yang tercantum di bawah ini didukung untuk setiap rahasia.

  • Tinjau rekomendasi rahasia: Saat rahasia ditemukan di aset, rekomendasi dipicu untuk repositori kode yang relevan di halaman Rekomendasi Defender untuk Cloud.
  • Tinjau rahasia dengan penjelajah keamanan cloud: Gunakan penjelajah keamanan cloud untuk mengkueri grafik keamanan cloud untuk repositori kode yang berisi rahasia.
  • Tinjau jalur serangan: Analisis jalur serangan memindai grafik keamanan cloud untuk mengekspos jalur yang dapat dieksploitasi yang mungkin digunakan serangan untuk melanggar lingkungan Anda dan mencapai aset berdampak tinggi.

Rekomendasi keamanan

Rekomendasi keamanan rahasia berikut tersedia:

Skenario jalur serangan

Analisis jalur serangan adalah algoritma berbasis grafik yang memindai grafik keamanan cloud Anda untuk mengekspos jalur yang dapat dieksploitasi yang mungkin digunakan penyerang untuk mencapai aset berdampak tinggi. Jalur serangan potensial meliputi:

  • Repositori Azure DevOps berisi rahasia yang diekspos dengan gerakan lateral ke database SQL.
  • Repositori Azure DevOps yang dapat diakses publik berisi rahasia yang diekspos dengan gerakan lateral ke Akun Penyimpanan.

Kueri penjelajah keamanan cloud

Untuk menyelidiki rahasia yang terekspos dan kemungkinan gerakan lateral, Anda dapat menggunakan kueri berikut:

Bagaimana cara mengurangi masalah rahasia secara efektif?

Penting untuk dapat memprioritaskan rahasia dan mengidentifikasi rahasia mana yang membutuhkan perhatian segera. Untuk membantu Anda melakukan ini, Defender untuk Cloud menyediakan:

  • Metadata kaya untuk setiap rahasia, seperti jalur file, nomor baris, kolom, hash penerapan, URL file, URL pemberitahuan Keamanan Lanjutan GitHub, dan indikasi apakah sumber daya target yang disediakan rahasia akses ke ada.
  • Metadata rahasia dikombinasikan dengan konteks aset cloud. Ini membantu Anda memulai dengan aset yang terekspos ke internet atau berisi rahasia yang mungkin membahayakan aset sensitif lainnya. Temuan pemindaian rahasia dimasukkan ke dalam prioritas rekomendasi berbasis risiko.

Konten terkait

Rahasia penyebaran cloud yang memindairahasia VM yang memindaigambaran umum keamanan DevOps