Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Varonis bietet nun Erkennung von Geheimnissen in lokalen und Cloud-Datenspeichern an

Geschrieben von Michael Buckbee | Oct 10, 2022 7:30:00 AM

Wir alle haben es schon mal beobachtet. Ein Entwickler speichert versehentlich Anmeldedaten als Klartext in einer Quellcodedatei, auf die jeder Mitarbeiter zugreifen kann. Einige Wochen später dringt ein Angreifer in das Netzwerk ein, findet das geleakte Geheimnis und verwendet die Anmeldedaten, um auf das AWS-Konto des Unternehmens zuzugreifen. Dann treibt er die Infrastrukturkosten in die Höhe und exfiltriert wichtige Daten. Allein im Jahr 2021 kamen auf 400 Entwickler in einem Unternehmen etwa 1.050 geleakte Passwörter, API-Schlüssel und andere Geheimnisse.

Geheimnisse wie Passwörter und Token sind die Schlüssel zu Ihren wichtigsten Apps und zu Ihrer kritischen Infrastruktur. Sie schützen geistiges Eigentum, Quellcode und die Infrastruktur Ihres Unternehmens. In den falschen Händen können diese Informationen jedoch großen Schaden anrichten.

Varonis freut sich, ankündigen zu können, dass wir unsere Kapazitäten zur Datenklassifizierung erweitern und nun auch Geheimnisse erkennen können. Diese neue Funktion stärkt den Schutz Ihrer Unternehmensressourcen und aller darauf gespeicherten sensiblen Daten – beispielsweise Quellcode, geistiges Eigentum, personenbezogene Daten usw.

Wir können Ihre Datenspeicher kontinuierlich nach Dateien und Code durchsuchen, die inkorrekt gespeicherte Geheimnisse enthalten. Diese Funktion ist jetzt verfügbar.

Varonis kann Ihnen helfen, gefährdete Geheimnisse folgendermaßen zu schützen:

  • Klassifizierung von Geheimnissen mit einem hohen Maß an Genauigkeit
    • Wir gehen mit Proximity-Matching, negativen Schlüsselwörtern und algorithmischer Überprüfung über reguläre Ausdrücke hinaus, um hochpräzise Ergebnisse zu erzielen. Unser genauer Scanprozess klassifiziert und zeigt eine Vielzahl geheimer Typen auf und korreliert das Geheimnis mit dem möglichen Zugriff. So erhalten Sie ein vollständiges Bild Ihrer Risiken.
  • Erkennen von vielen gängigen Geheimnissen
    • Mit Regeln zur Erkennung von Geheimnissen für Hunderte gängiger Anwendungen/Datenbanken/Dienste, mit denen viele Unternehmen arbeiten, sowie kontextbezogenen Identifikatoren zur Verbesserung der Genauigkeit bieten wir einen umfassenden und weitreichenden Schutz der Geheimnisse, die Ihre kritischen Anwendungskomponenten und Ihre Infrastruktur schützen.
  • Überwachung von Quellcodedateien und anderen Dokumenttypen auf Geheimnisse
    • Geheimnisse können überall hingelangen! Varonis scannt nach Geheimnissen in den unterstützten lokalen und Cloud-Datenspeichern. Wir finden Geheimnisse, die als Klartext in Dokumenten und in Quellcodedateien, Skripten und Konfigurationsdateien gespeichert sind.
  • Reduktion des Risikos einer Datenexposition sowie von Angriffen auf Ihre Daten
    • Durch ständiges Scannen nach Geheimnissen, die in Ihrem Unternehmen übermäßig exponiert sind – oder schlimmer noch, öffentlich zugänglich sind – kann Varonis Ihr Risiko der Datenexposition reduzieren und so Ihre Anwendungen und Infrastruktur schützen.

Neue Funktionen zur Entdeckung von Geheimnissen 

Mit unseren neuen Klassifizierungsregelsätzen kann Varonis Ihnen helfen, Ihre Umgebungen nach unerkannten Geheimnissen zu durchsuchen. Diese Regeln scannen offene Geheimnisse in Dateien und Code, die lokal und in der Cloud gespeichert sind. Angesichts der ständig zunehmenden Komplexität moderner Umgebungen wissen wir, wie schwierig es sein kann, Geheimnisse in einer Cloud-Infrastruktur zu entdecken. Lesen Sie weiter, um zu erfahren, warum die Entdeckung exponierter Geheimnisse ein grundlegender Teil Ihrer Cloud-Sicherheit sein sollte.

Welche Art von Geheimnissen können wir finden?

Varonis-Datenklassifizierungsmodule können Hunderte von einzigartigen geheimen Mustern entdecken, die Sie wahrscheinlich in Ihrer eigenen Codebasis verwenden. Wir verwenden Muster und Proximity-Matching, um Ihre Umgebung nach Hunderten gängiger Geheimnistypen für Anwendungen und Dienste zu durchsuchen, mit denen Sie wahrscheinlich bereits arbeiten und die Sie in Ihrer Umgebung verwenden – beispielsweise Google OAuth2, Twitter, Atlassian, LinkedIn, kryptografische Schlüssel auf Grundlage elliptischer Kurven oder Anmeldedaten für Cloud-Datenbanken.

Zu den Kategorien von Geheimnissen, die wir erkennen, gehören:

  • Passwörter
  • Anmeldedaten für die Datenbank
  • Verbindungsstrings
  • Private Schlüssel
  • Verschlüsselungszertifikate
  • API-Schlüssel
  • Authentifizierungstoken
  • Verschlüsselungsschlüssel

 

DatAdvantage-Cloud-Benutzer können auswählen, welche Arten von exponierten Geheimnissen in ihren Cloud-Datenspeichern ermittelt werden sollen.

Was sind Geheimnisse?

Die explosionsartige Verbreitung von modernen Anwendungen und Cloud Computing hat dazu geführt, dass Unternehmen Infrastruktur verwalten, die von Tag zu Tag komplexer wird. Die Entwicklung moderner Anwendungen und die Migration in die Cloud führen zu einer Zunahme von Komponenten – mehr Cloud-Infrastruktur (vielleicht sogar von mehreren Cloud-Anbietern), mehr Datenbanken, mehr APIs, unabhängige Microservices usw. –, die alle sicher miteinander kommunizieren müssen. Jede dieser Komponenten verwendet ein Geheimnis, um sich gegenüber anderen Komponenten zu authentifizieren.

Während es sich beispielsweise bewährt hat, Geheimnisse sicher in einem Geheimnismanager zu speichern, führen andere Faktoren, etwa menschliches Versagen, manchmal dazu, dass Geheimnisse an Orten gespeichert werden, an die sie nicht gehören. Zum Beispiel kann ein Entwickler einen API-Schlüssel fest in den Code geschrieben, um ein Programm auf seinem lokalen Rechner zu testen. Diese Änderung hat er dann vielleicht versehentlich in Ihr Code-Repository geschrieben. Unabhängig davon, wie es zur Exposition kommt, können Angreifer auf Ihre sensiblen Daten zugreifen oder diese stehlen, Ihre Daten verschlüsseln und Lösegeld verlangen, Änderungen an Ihrem Produktionscode vornehmen, Ihre Cloud-Ressourcen für ihre eigenen Zwecke nutzen oder sogar Ihre API-Aufrufquote aufbrauchen. Die Optionen für Angreifer sind leider geradezu endlos.

Wo können wir Geheimnisse finden?

Varonis durchsucht Ihre Quellcodedateien und andere Orte, an denen Sie Daten speichern, um Geheimnisse automatisch zu klassifizieren und zu identifizieren. Wir entdecken Geheimnisse, die in Klartextdateien wie Word-Dokumenten, Excel-Tabellen und Google Docs übermäßig offengelegt werden. Außerdem ermitteln wir viele andere Orte, an denen Klartextgeheimnisse unsachgemäß gespeichert sein könnten. Durch das Scannen Ihrer Codedateien – etwa jenen in Ihren AWS S3-Buckets – kann Varonis Sicherheitsprobleme erkennen, z. B. in den Code geschriebene private Schlüssel oder Anmeldedaten bzw. unsachgemäß gespeicherte Geheimnisse, z. B. in einer Protokolldatei.

Unabhängig davon, ob Sie sich Sorgen um übermäßig exponierte Geheimnisse machen, ob lokal oder in der Cloud – Varonis kann Ihnen helfen. Informieren Sie sich über die Datenspeicher, die Sie mit der Varonis Data Security Platform und der DatAdvantage Cloud überwachen und schützen können.

In diesem Beispiel hat DatAdvantage Cloud Google-Klartextschlüssel gefunden, die in einem AWS-S3-Bucket gespeichert waren. 

Wie machen wir es?

Sie können zwar Ihre Codebasen und andere Datenspeicher mit einer einfachen RegEx-Suche nach offengelegten Geheimnissen durchsuchen, allerdings haben wir die Erfahrung gemacht, dass dieser Ansatz zu viele falsch-positive Ergebnisse liefert – etwa 60 bis 70 %. Und jedes einzelne Ergebnis zu prüfen, um potenziell exponierte Geheimnisse zu finden, ist Zeitverschwendung für Ihre Sicherheitsexperten. Bei RegEx-Suchen werden außerdem oft exponierte oder falsch gespeicherte Geheimnisse übersehen. Und auch das ist offensichtlich nicht ideal.

Varonis verwendet eine Vielzahl von Variablen zur Klassifizierung und Aufdeckung offenliegender Geheimnisse, einschließlich bereits bekannter Muster, Proximity-Matching, negativer Schlüsselwörter und algorithmischer Verifikation. Dadurch können wir Geheimnisse mit einer viel höheren Genauigkeit identifizieren, als dies manuell und nur mit regulären Ausdrücken möglich wäre.

Geheimnisse können jederzeit exponiert werden – deshalb überprüfen wir Ihre Daten automatisch, sobald Änderungen vorgenommen werden. Nehmen wir beispielsweise an, ein Entwickler erstellt eine Excel-Tabelle, in der im Klartext private Schlüssel aufgeführt sind, die derzeit in Ihrem Code verwendet werden. Schlimmer noch: Die Excel-Tabelle wird in SharePoint gespeichert und ist für die gesamte Organisation zugänglich. In diesem Fall entdeckt Varonis automatisch das exponierte Geheimnis und informiert Sie über das Sicherheitsrisiko. Da wir jedes Mal, wenn eine Datei geändert wird, automatisch nach sensiblen Daten suchen, können Sie gefährdete Geheimnisse in viel kürzerer Zeit entdecken und sperren.

Außerdem korrelieren wir entdeckte Geheimnisse mit Zugriffsaktivitäten und Verzeichnisdiensten, damit Sie potenzielle Risiken erkennen können. Beispielsweise benötigen Entwicklerteams Zugriff auf ordnungsgemäß gespeicherte Geheimnisse, um Ihre Software zu entwickeln und zu debuggen. Geheimnisse, die ordnungsgemäß gespeichert wurden und nur für diejenigen Entwickler zugänglich sind, die sie brauchen, stellen kein besonderes Risiko für Ihr Unternehmen dar. Was aber, wenn ein Geheimnis in Ihrem Produktionscode oder in einem Google-Dokument gespeichert wird, auf das jeder in Ihrem Unternehmen zugreifen kann? Wir korrelieren den Standort des Geheimnisses mit Informationen darüber, wer Zugang zu diesem Ort hat, um aussagekräftige Erkenntnisse über die Gefährdung eines Geheimnisses zu erhalten.

Zusammen mit anderen Varonis-Lösungen können Sie übermäßig exponierte Geheimnisse beheben, indem Sie sie manuell oder automatisch an einen sicheren Ort verschieben.

Schutz von Geheimnissen mit Varonis

Die Entwicklung moderner Anwendungen und die Bereitstellung Ihrer Apps in der Cloud führt zu exponentiell komplexeren Systemen. Dank der Erkennung von Geheimnissen können Sie Ihre allgemeine Cloud-Sicherheitslage stärken, indem Sie die Geheimnisse schützen, die Ihre Komponenten benötigen, um sich sicher zu authentifizieren und miteinander zu interagieren. Die Klassifizierung und Erkennung von Geheimnissen durch Varonis hilft Ihnen, sich vor dem Diebstahl oder der Offenlegung von Geheimnissen zu schützen und das Kompromittierungsrisiko von Anwendungen oder Infrastruktur zu reduzieren.