O blog da segurança de dentro para fora Blog   /     /     /  

Varonis oferece descoberta de segredos para repositórios de dados on-premises e na nuvem

Varonis oferece descoberta de segredos para repositórios de dados on-premises e na nuvem

Nós já vimos isso acontecer. Um desenvolvedor acidentalmente armazena credenciais em texto sem formatação em um arquivo de código fonte acessível para todos os funcionários. Algumas semanas depois, um invasor entra na rede, encontra os dados vazados e começa a usar as credenciais para acessar a conta da empresa na AWS — aumentando os gastos com infraestrutura e vazando dados críticos. Apenas em 2021, para cada 400 desenvolvedores em uma organização, aproximadamente 1.050 senhas, chaves de API e outros segredos vazaram.

Os segredos, como senhas e tokens, são as chaves para seus mais importantes aplicativos e infraestrutura. Eles mantêm em segurança a propriedade intelectual, o código fonte e a infraestrutura do seu negócio. Mas nas mãos erradas, essas informações podem causar muitos prejuízos.

A Varonis está feliz em anunciar que estamos expandindo nossos recursos de classificação de dados para incluir a descoberta de segredos. Esse novo recurso ajuda a fortalecer a defesa de seus recursos organizacionais e quaisquer informações confidenciais armazenadas nesses recursos, como código fonte, propriedade intelectual, Informações de Identificação Pessoal (PII), etc.

Podemos examinar continuamente seus repositórios de dados em busca de arquivos e códigos que contenham segredos armazenados incorretamente. Este recurso já está disponível.

A Varonis pode ajudar você a proteger os segredos expostos:

  • Classificando segredos com alto nível de precisão
    • Vamos além do RegExes com correspondência de proximidade, palavras-chave negativas e verificação algorítmica para gerar resultados de alta fidelidade. Nosso exame preciso classifica e revela uma grande variedade de tipos de segredos e correlaciona o segredo com o acesso para fornecer uma visão completa da sua exposição.
  • Detectando uma ampla gama de segredos comuns
    • Com regras que identificam segredos para centenas de aplicativos/bancos de dados/serviços comuns com os quais você pode trabalhar, e identificadores contextuais para uma maior precisão, oferecemos uma defesa abrangente e ampla dos segredos, que protege seus componentes e infraestrutura de aplicativos críticos.
  • Monitorando segredos em arquivos de código fonte e outros tipos de documentos
    • Os segredos podem ir parar em qualquer lugar! A Varonis verifica se há segredos em nossos repositórios de dados compatíveis on-premises e na nuvem. Encontramos segredos armazenados em documentos de texto sem formatação e em arquivos de código fonte, scripts e arquivos de configuração.
  • Reduzindo o risco de exposição de dados ou ataques a seus dados
    • Ao buscar continuamente segredos que estão superexpostos dentro da sua organização — ou pior, expostos publicamente — a Varonis pode reduzir o risco de exposição de dados e ajudar a defender seus aplicativos e infraestrutura.

Apresentando a descoberta de segredos 

Com nossos novos conjuntos de regras de classificação, a Varonis pode ajudar você a analisar seus ambientes em busca de segredos perdidos. Essas regras verificam segredos expostos em arquivos e códigos armazenados on-premises e na nuvem. Com a crescente complexidade dos ambientes modernos, sabemos como a descoberta de segredos pode se tornar difícil quando você está usando a infraestrutura de nuvem. Continue lendo para saber por que a descoberta de segredos expostos deve ser um pilar do seu posicionamento de segurança na nuvem.

Que tipo de segredos podemos encontrar?

Os módulos de classificação de dados da Varonis podem descobrir centenas de padrões secretos únicos que você provavelmente está usando em sua própria base de código. Usamos padrões e correspondência de proximidade para analisar seu ambiente em busca de centenas de tipos de segredos comuns, para aplicativos e serviços que você provavelmente já está usando na programação e no seu ambiente, como Google OAuth2, Twitter, Atlassian, LinkedIn, chaves criptográficas de curva elíptica ou credenciais de banco de dados em nuvem.

Algumas das categorias de segredos que detectamos incluem:

  • Senhas
  • Credenciais de banco de dados
  • Cadeias de conexão
  • Chaves privadas
  • Certificados de criptografia
  • Chaves de API
  • Tokens de autenticação
  • Chaves de criptografia

 

DAC_classificationOs usuários do DatAdvantage Cloud podem selecionar quais tipos de segredos expostos descobrir em seus repositórios de dados na nuvem.

O que são segredos?

A explosão de aplicativos modernos e computação em nuvem faz com que as organizações tenham que gerenciar uma infraestrutura que se torna cada vez mais complexa. Desenvolver aplicativos modernos e migrar para a nuvem resulta em mais variáveis — mais infraestrutura de nuvem (talvez até de vários provedores de nuvem), mais bancos de dados, mais APIs, microsserviços independentes, etc. — e todos precisam se comunicar com segurança. Cada um desses componentes usa um segredo para se autenticar em outros componentes.

Embora seja uma boa prática armazenar segredos de forma segura em um gerenciador de segredos, por exemplo, fatores como erro humano às vezes fazem com que segredos acabem sendo armazenados em locais onde não deveriam. Talvez um desenvolvedor tenha codificado uma chave de API para testar um programa em sua máquina local e, em seguida, acidentalmente submetido essas alterações ao seu repositório de código. Independentemente de como a exposição aconteceu, se os segredos que você possui forem roubados ou vazados, os invasores poderão acessar ou roubar seus dados confidenciais, criptografar seus dados e exigir um resgate, fazer alterações em seu código de produção, usar seus recursos de nuvem para seus próprios fins ou até mesmo usar sua cota de solicitações de API. Os invasores, infelizmente, contam com infinitas opções.

Onde podemos encontrar segredos?

A Varonis rastreia seus arquivos de código-fonte e outros locais em que você armazena dados para classificar e identificar segredos automaticamente. Descobrimos segredos que estão superexpostos em arquivos de texto sem formatação, como documentos do Word, planilhas do Excel e Google Docs, e localizamos muitos outros locais onde um segredo pode ser armazenado indevidamente em texto sem formatação. Ao examinar seus arquivos de código, como os armazenados em buckets do AWS S3, a Varonis consegue detectar problemas de segurança, como credenciais ou chaves privadas codificadas, ou segredos armazenados incorretamente, como em um arquivo de registro.

Se você se preocupa com a superexposição de segredos on-premises ou na nuvem, a Varonis pode ajudar. Confira os repositórios de dados que você pode monitorar e proteger com a Plataforma de segurança de Dados Varonis e o DatAdvantage Cloud.

Classification_results_secrets_DACNeste exemplo, o DatAdvantage Cloud descobriu chaves do Google em texto sem formatação armazenadas em um bucket do AWS S3. 

Como fazemos isso?

Embora seja possível pesquisar suas bases de código e outros repositórios de dados em busca de segredos expostos usando uma simples pesquisa RegEx, nossa experiência mostra que essa abordagem gera muitos falsos positivos — uma taxa de aproximadamente 60% a 70%. E passar por cada resultado para verificar se há um segredo potencialmente exposto não é um bom uso do tempo de um profissional de segurança. As pesquisas RegEx também podem deixar passar alguns segredos expostos ou armazenados incorretamente. E isso obviamente também não é o ideal.

A Varonis usa um amplo conjunto de variáveis para classificar e descobrir segredos expostos, incluindo padrões preexistentes, correspondência de proximidade, palavras-chave negativas e verificação algorítmica. Isso nos permite identificar segredos com um nível muito maior de precisão do que é possível fazer manualmente apenas com o RegEx.

Os segredos podem se tornar expostos a qualquer momento. Por isso, nossa abordagem é examinar automaticamente seus dados quando as alterações são feitas. Por exemplo, suponha que um desenvolvedor crie uma planilha do Excel listando chaves privadas em texto sem formatação que estão sendo usadas no seu código atualmente. E o pior: a planilha do Excel é armazenada no SharePoint e aberta para toda a organização. Nesse caso, a Varonis descobrirá automaticamente o segredo exposto e notificará você sobre o risco à segurança. Como verificamos dados confidenciais automaticamente sempre que um arquivo é modificado, você pode descobrir e bloquear segredos expostos em um tempo muito menor.

Também correlacionamos segredos descobertos com atividades de acesso e serviços de diretório para ajudar você a determinar a exposição. Por exemplo, as equipes de desenvolvedores precisam ter acesso a segredos armazenados corretamente para desenvolver e depurar seu software. Os segredos que são armazenados corretamente e estão acessíveis apenas para os desenvolvedores que precisam de acesso a eles não são um risco significativo para sua organização. No entanto, e se um segredo for submetido ao seu código de produção ou mantido em um Google Doc que pode ser acessado por todos na sua organização? Correlacionamos a localização do segredo com informações sobre quem tem acesso a esse local para fornecer informações significativas sobre a exposição de um segredo.

Em colaboração com outras soluções da Varonis, você pode remediar a superexposição de segredos movendo-os manualmente ou automaticamente para um local seguro quando um segredo estiver superexposto.

Proteja os segredos com a Varonis.

Desenvolver aplicativos modernos e implantar seus aplicativos na nuvem resulta em sistemas exponencialmente mais complexos. Com a descoberta de segredos, você pode fortalecer seu posicionamento geral de segurança na nuvem, protegendo os segredos necessários para que cada componente de interação seja autenticado aos outros com segurança. A classificação e descoberta de segredos da Varonis está aqui para ajudar você a se proteger contra roubo ou exposição de segredos e reduzir o risco de um aplicativo ou infraestrutura comprometidos.

 

We're Varonis.

We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

How it works