Nós já vimos isso acontecer. Um desenvolvedor acidentalmente armazena credenciais em texto sem formatação em um arquivo de código fonte acessível para todos os funcionários. Algumas semanas depois, um invasor entra na rede, encontra os dados vazados e começa a usar as credenciais para acessar a conta da empresa na AWS — aumentando os gastos com infraestrutura e vazando dados críticos. Apenas em 2021, para cada 400 desenvolvedores em uma organização, aproximadamente 1.050 senhas, chaves de API e outros segredos vazaram.
Os segredos, como senhas e tokens, são as chaves para seus mais importantes aplicativos e infraestrutura. Eles mantêm em segurança a propriedade intelectual, o código fonte e a infraestrutura do seu negócio. Mas nas mãos erradas, essas informações podem causar muitos prejuízos.
A Varonis está feliz em anunciar que estamos expandindo nossos recursos de classificação de dados para incluir a descoberta de segredos. Esse novo recurso ajuda a fortalecer a defesa de seus recursos organizacionais e quaisquer informações confidenciais armazenadas nesses recursos, como código fonte, propriedade intelectual, Informações de Identificação Pessoal (PII), etc.
Podemos examinar continuamente seus repositórios de dados em busca de arquivos e códigos que contenham segredos armazenados incorretamente. Este recurso já está disponível.
A Varonis pode ajudar você a proteger os segredos expostos:
Com nossos novos conjuntos de regras de classificação, a Varonis pode ajudar você a analisar seus ambientes em busca de segredos perdidos. Essas regras verificam segredos expostos em arquivos e códigos armazenados on-premises e na nuvem. Com a crescente complexidade dos ambientes modernos, sabemos como a descoberta de segredos pode se tornar difícil quando você está usando a infraestrutura de nuvem. Continue lendo para saber por que a descoberta de segredos expostos deve ser um pilar do seu posicionamento de segurança na nuvem.
Os módulos de classificação de dados da Varonis podem descobrir centenas de padrões secretos únicos que você provavelmente está usando em sua própria base de código. Usamos padrões e correspondência de proximidade para analisar seu ambiente em busca de centenas de tipos de segredos comuns, para aplicativos e serviços que você provavelmente já está usando na programação e no seu ambiente, como Google OAuth2, Twitter, Atlassian, LinkedIn, chaves criptográficas de curva elíptica ou credenciais de banco de dados em nuvem.
Algumas das categorias de segredos que detectamos incluem:
A explosão de aplicativos modernos e computação em nuvem faz com que as organizações tenham que gerenciar uma infraestrutura que se torna cada vez mais complexa. Desenvolver aplicativos modernos e migrar para a nuvem resulta em mais variáveis — mais infraestrutura de nuvem (talvez até de vários provedores de nuvem), mais bancos de dados, mais APIs, microsserviços independentes, etc. — e todos precisam se comunicar com segurança. Cada um desses componentes usa um segredo para se autenticar em outros componentes.
Embora seja uma boa prática armazenar segredos de forma segura em um gerenciador de segredos, por exemplo, fatores como erro humano às vezes fazem com que segredos acabem sendo armazenados em locais onde não deveriam. Talvez um desenvolvedor tenha codificado uma chave de API para testar um programa em sua máquina local e, em seguida, acidentalmente submetido essas alterações ao seu repositório de código. Independentemente de como a exposição aconteceu, se os segredos que você possui forem roubados ou vazados, os invasores poderão acessar ou roubar seus dados confidenciais, criptografar seus dados e exigir um resgate, fazer alterações em seu código de produção, usar seus recursos de nuvem para seus próprios fins ou até mesmo usar sua cota de solicitações de API. Os invasores, infelizmente, contam com infinitas opções.
A Varonis rastreia seus arquivos de código-fonte e outros locais em que você armazena dados para classificar e identificar segredos automaticamente. Descobrimos segredos que estão superexpostos em arquivos de texto sem formatação, como documentos do Word, planilhas do Excel e Google Docs, e localizamos muitos outros locais onde um segredo pode ser armazenado indevidamente em texto sem formatação. Ao examinar seus arquivos de código, como os armazenados em buckets do AWS S3, a Varonis consegue detectar problemas de segurança, como credenciais ou chaves privadas codificadas, ou segredos armazenados incorretamente, como em um arquivo de registro.
Se você se preocupa com a superexposição de segredos on-premises ou na nuvem, a Varonis pode ajudar. Confira os repositórios de dados que você pode monitorar e proteger com a Plataforma de segurança de Dados Varonis e o DatAdvantage Cloud.
Embora seja possível pesquisar suas bases de código e outros repositórios de dados em busca de segredos expostos usando uma simples pesquisa RegEx, nossa experiência mostra que essa abordagem gera muitos falsos positivos — uma taxa de aproximadamente 60% a 70%. E passar por cada resultado para verificar se há um segredo potencialmente exposto não é um bom uso do tempo de um profissional de segurança. As pesquisas RegEx também podem deixar passar alguns segredos expostos ou armazenados incorretamente. E isso obviamente também não é o ideal.
A Varonis usa um amplo conjunto de variáveis para classificar e descobrir segredos expostos, incluindo padrões preexistentes, correspondência de proximidade, palavras-chave negativas e verificação algorítmica. Isso nos permite identificar segredos com um nível muito maior de precisão do que é possível fazer manualmente apenas com o RegEx.
Os segredos podem se tornar expostos a qualquer momento. Por isso, nossa abordagem é examinar automaticamente seus dados quando as alterações são feitas. Por exemplo, suponha que um desenvolvedor crie uma planilha do Excel listando chaves privadas em texto sem formatação que estão sendo usadas no seu código atualmente. E o pior: a planilha do Excel é armazenada no SharePoint e aberta para toda a organização. Nesse caso, a Varonis descobrirá automaticamente o segredo exposto e notificará você sobre o risco à segurança. Como verificamos dados confidenciais automaticamente sempre que um arquivo é modificado, você pode descobrir e bloquear segredos expostos em um tempo muito menor.
Também correlacionamos segredos descobertos com atividades de acesso e serviços de diretório para ajudar você a determinar a exposição. Por exemplo, as equipes de desenvolvedores precisam ter acesso a segredos armazenados corretamente para desenvolver e depurar seu software. Os segredos que são armazenados corretamente e estão acessíveis apenas para os desenvolvedores que precisam de acesso a eles não são um risco significativo para sua organização. No entanto, e se um segredo for submetido ao seu código de produção ou mantido em um Google Doc que pode ser acessado por todos na sua organização? Correlacionamos a localização do segredo com informações sobre quem tem acesso a esse local para fornecer informações significativas sobre a exposição de um segredo.
Em colaboração com outras soluções da Varonis, você pode remediar a superexposição de segredos movendo-os manualmente ou automaticamente para um local seguro quando um segredo estiver superexposto.
Desenvolver aplicativos modernos e implantar seus aplicativos na nuvem resulta em sistemas exponencialmente mais complexos. Com a descoberta de segredos, você pode fortalecer seu posicionamento geral de segurança na nuvem, protegendo os segredos necessários para que cada componente de interação seja autenticado aos outros com segurança. A classificação e descoberta de segredos da Varonis está aqui para ajudar você a se proteger contra roubo ou exposição de segredos e reduzir o risco de um aplicativo ou infraestrutura comprometidos.