Inside Out - Blog CyberSécurité Blog   /     /     /  

Varonis ajoute la découverte des secrets pour les dépôts de données sur site et dans le cloud

Varonis ajoute la découverte des secrets pour les dépôts de données sur site et dans le cloud

Nous l'avons tous déjà vécu. Un développeur stocke accidentellement des identifiants en texte brut dans un fichier de code source accessible à tous les employés. Quelques semaines plus tard, un pirate pénètre dans le réseau, trouve le secret exposé et commence à utiliser les identifiants pour accéder au compte AWS de l'entreprise, en faisant grimper les factures d'infrastructure et en exfiltrant des données critiques. Rien qu'en 2021, pour 400 développeurs dans une entreprise, environ 1 050 mots de passe, clés d'API et autres codes secrets étaient divulgués.

Les secrets, tels que les mots de passe et les jetons, sont les clés permettant d’accéder à vos applications et votre infrastructure les plus importantes. Ils protègent la propriété intellectuelle, le code source et l’infrastructure de votre entreprise. Mais entre de mauvaises mains, ces informations peuvent faire des ravages.

Varonis a le plaisir d’annoncer que nous élargissons nos capacités de classification des données pour inclure la découverte des secrets. Cette nouvelle fonctionnalité renforce la défense de vos ressources organisationnelles et de toute information sensible stockée sur ces ressources, comme le code source, la propriété intellectuelle, les données à caractère personnel, etc.

Nous sommes en mesure d’analyser en permanence vos dépôts de données à la recherche de fichiers et de code contenant des secrets mal stockés. Cette fonctionnalité est disponible dès maintenant.

Varonis peut vous aider à protéger les secrets exposés en :

  • Classant les secrets avec un niveau de précision très élevé
    • Nous allons au-delà des règles RegEx avec la correspondance de proximité, les mots-clés négatifs et la vérification algorithmique pour générer des résultats de haute fidélité. Notre analyse précise permet de classer et de faire apparaître un large éventail de types de secrets et d’établir une corrélation entre le secret et l’accès pour vous donner une image complète de votre exposition.
  • Détectant une large gamme de secrets populaires
    • Grâce à des règles d’identification des secrets pour des centaines d’applications, de bases de données et de services courants avec lesquels vous êtes susceptibles de travailler et à des identificateurs contextuels permettant d’améliorer la précision, nous assurons une défense complète et étendue des secrets qui protègent les composants et l’infrastructure de vos applications critiques.
  • Surveillant les fichiers de code source et d’autres types de documents pour détecter les secrets
    • Les secrets peuvent se retrouver n’importe où ! Varonis recherche les secrets dans nos dépôts de données pris en charge sur site et dans le cloud. Nous découvrons des secrets stockés dans des documents en texte brut et dans des fichiers de code source, des scripts et des fichiers de configuration.
  • Réduisant le risque d’exposition des données ou d’attaques visant vos données
    • En recherchant en permanence les secrets qui sont surexposés au sein de votre entreprise - ou pire, exposés publiquement - Varonis peut réduire votre risque d’exposition des données et vous aider à défendre vos applications et votre infrastructure.

Présentation de la découverte de secrets

Grâce à nos nouveaux ensembles de règles de classification, Varonis peut vous aider à analyser vos environnements à la recherche de secrets mal stockés. Ces règles analysent les secrets exposés dans les fichiers et le code stockés sur site et dans le cloud. Avec la complexité toujours croissante des environnements modernes, nous savons à quel point la découverte de secrets peut devenir laborieuse lorsque vous utilisez une infrastructure cloud. Lisez la suite pour découvrir pourquoi la découverte des secrets exposés doit être l'un des piliers de votre stratégie de sécurité cloud.

Quel genre de secrets pouvons-nous trouver ?

Les modules de classification de données de Varonis peuvent découvrir des centaines de schémas de secrets uniques que vous utilisez probablement dans votre propre base de code. Nous utilisons des schémas et la correspondance de proximité pour analyser votre environnement à la recherche de centaines de types de secrets populaires, pour des apps et des services que vous utilisez probablement déjà dans votre environnement, comme Google OAuth2, Twitter, Atlassian, LinkedIn, des clés cryptographiques à courbe elliptique ou des identifiants de base de données cloud.

Voici quelques-unes des catégories de secrets que nous détectons :

  • Mots de passe :
  • Identifiants de base de données
  • Chaînes de connexion
  • Clés privées
  • Certificats de chiffrement
  • Clés API
  • Jetons d’authentification
  • Clés de chiffrement

 

DAC_classificationLes utilisateurs de DatAdvantage Cloud peuvent sélectionner les types de secrets exposés à découvrir dans leurs dépôts de données cloud.

Qu’entend-on par secrets ?

L’explosion des applications modernes et du cloud computing signifie que les entreprises gèrent une infrastructure qui devient chaque jour plus complexe. Le développement d’applications modernes et la migration vers le cloud impliquent un plus grand nombre de pièces mobiles - plus d’infrastructure cloud (peut-être même de plusieurs fournisseurs de cloud), plus de bases de données, plus d’API, des microservices indépendants, etc. qui doivent tous communiquer entre eux de manière sécurisée. Chacun de ces composants utilise un secret pour s’authentifier auprès d’autres composants.

Bien qu’il soit recommandé de stocker les secrets en toute sécurité dans un gestionnaire de secrets, par exemple, des facteurs comme l’erreur humaine entraînent parfois le stockage des secrets dans des endroits où ils ne devraient pas apparaître. Un développeur a peut-être codé en dur une clé API pour tester un programme sur sa machine locale, puis créé accidentellement un commit des changements dans votre dépôt de code. Quelle que soit la manière dont l’exposition s’est produite, si les secrets que vous possédez sont volés ou perdus, les pirates peuvent accéder à vos données sensibles ou les dérober, chiffrer vos données et demander une rançon, apporter des modifications à votre code de production, utiliser vos ressources cloud à leurs propres fins ou même utiliser votre quota d’appels API. Les options pour les pirates seraient malheureusement plutôt infinies.

Où pouvons-nous trouver des secrets ?

Varonis explore vos fichiers de code source et d’autres endroits où vous stockez des données pour classer et identifier automatiquement les secrets. Nous découvrons des secrets qui sont surexposés dans des fichiers en texte brut, tels que des documents Word, des feuilles de calcul Excel et des Google Docs, et trouvons de nombreux autres endroits où un secret pourrait être stocké de manière incorrecte en texte brut. Et en analysant vos fichiers de code - tels que ceux stockés dans les compartiments AWS S3 -, Varonis peut détecter des problèmes de sécurité tels que des clés privées ou des identifiants codés en dur, ou des secrets stockés de manière incorrecte, comme dans un fichier log.

Que vous soyez préoccupé par les secrets surexposés sur site ou dans le cloud, Varonis peut vous aider. Découvrez les dépôts de données que vous pouvez surveiller et protéger avec la plateforme Varonis de sécurité des données et DatAdvantage Cloud.

Classification_results_secrets_DACDans cet exemple, DatAdvantage Cloud a fait apparaître des clés Google en texte brut stockées dans un bucket AWS S3.

Comment faisons-nous ?

S’il est possible de rechercher les secrets exposés dans vos bases de code et autres dépôts de données à l’aide d’une simple recherche RegEx, notre expérience nous a appris que cette approche génère trop de faux positifs (environ 60 à 70 %). Et passer en revue chaque résultat pour vérifier qu’il n’y a pas de secret potentiellement exposé n’est pas très productif pour un expert en sécurité. Les recherches RegEx peuvent également passer à côté de certains secrets exposés ou mal stockés. Ce qui n’est pas idéal non plus.

Varonis utilise un large éventail de variables pour classer et mettre au jour les secrets exposés, y compris les modèles préexistants, la correspondance de proximité, les mots-clés négatifs et la vérification algorithmique. Cela nous permet d’identifier les secrets avec un niveau de précision beaucoup plus élevé que ce qui peut être manuellement obtenu avec un simple RegEx.

Les secrets peuvent être exposés à tout moment. C’est pourquoi nous prenons le parti d’analyser automatiquement vos données dès que des modifications sont apportées. Supposons par exemple qu’un développeur crée un fichier Excel répertoriant les clés privées en texte brut actuellement utilisées dans votre code. Pire encore, le fichier Excel est stocké sur SharePoint et ouvert à toute l’entreprise. Dans ce cas, Varonis découvrira automatiquement le secret exposé et vous avertira du risque pour la sécurité. Puisque nous recherchons automatiquement des données sensibles chaque fois qu’un fichier est modifié, vous pouvez découvrir et vous charger des secrets exposés dans un délai beaucoup plus court.

Nous mettons également en corrélation les secrets découverts avec les activités liées aux accès et les Directory services pour vous aider à déterminer l’exposition. Par exemple, les équipes de développement doivent avoir accès à des secrets stockés de manière appropriée pour développer et déboguer votre logiciel. Les secrets qui sont stockés correctement et qui ne sont accessibles qu’aux développeurs qui ont besoin d’y accéder ne représentent pas un gros risque pour votre entreprise. Mais que se passe-t-il si un secret est enregistré dans votre code de production ou conservé dans un Google Doc auquel tous les membres de votre entreprise peuvent accéder ? Nous établissons une corrélation entre l’emplacement du secret et les informations sur les personnes qui y ont accès afin de fournir des informations pertinentes sur l’exposition d’un secret.

En collaboration avec d’autres solutions de Varonis, vous pouvez corriger les secrets surexposés en les déplaçant manuellement ou automatiquement vers un emplacement sécurisé.

Protégez les secrets avec Varonis.

Le développement d’applications modernes et le déploiement de vos applications dans le cloud entraînent la formation de systèmes de plus en plus complexes. Grâce à la découverte des secrets, vous pouvez renforcer la sécurité globale de votre cloud en protégeant les secrets nécessaires pour que tous les composants qui interagissent puissent s’authentifier les uns les autres. La classification et la découverte des secrets par Varonis vous protègent contre le vol masqué ou l’exposition et réduisent le risque de voir une application ou une infrastructure compromise.

 

Nous sommes Varonis.

Depuis 2005, nous protégeons les données les plus précieuses du monde des mains de vos ennemis grâce à notre plateforme de sécurité des données, leader sur le marché.

Comment fonctionne Varonis ?