Unternehmen befassen sich mit einer großen Vielfalt an Geheimnisse, wie API-Schlüssel und andere Arten von Anmeldeinformationen, die für den Zugriff auf die unterschiedlichsten Plattformen und Serviceintegrationen verwendet werden. Dafür müssen Entwickler diese Geheimnisse in ihren Produkten ständig im Griff haben. Dies führt oft dazu, dass Entwickler unsicher und praktisch vorgehen und diese Informationen schließlich auf eine Code-Repository, wodurch es für nicht autorisierte Benutzer zugänglich wird.
Die Gefahren fest kodierter Geheimnisse
Abhängig von den Eigenschaften des offengelegten Geheimnisses, durchgesickertes Geheimnis kann schwerwiegende Sicherheitsfolgen haben. Ein gutes Beispiel sind Anmeldeinformationen, die Zugriff auf eine ganze Cloud-Umgebung gewähren. Werden diese in einem Code-Repository gespeichert – und zwar so, dass jeder Zugriff darauf hat –, kann das Geheimnis für eine Vielzahl unerwarteter Aktionen genutzt werden. Oder noch schlimmer: Geheimnisse, die im Code fest codiert sind die dem Client bereitgestellt werden, beispielsweise über mobile Apps, die praktisch jedem Benutzer Zugriff auf diese Anmeldeinformationen ermöglichen. Das bedeutet enorme Macht, die zur Offenlegung sensibler Daten, zu Dienstunterbrechungen und sehr wahrscheinlich zu finanziellen Verlusten führen kann.
Die Lösungsarchitektur
Das BigID Application Security-Team nutzt diese Funktionen, um alle Erkennungen programmgesteuert zu verarbeiten. Regelmäßig werden Automatisierungen ausgeführt, um unsere Codebasen auf neue Geheimnisse zu prüfen. Jede Erkennung generiert eine Benachrichtigung, die zur menschlichen Analyse weitergeleitet wird. Diese prüft, ob das Risiko real ist oder nicht. Ist dies der Fall, können die notwendigen Sicherheitsmaßnahmen ergriffen werden, um dieses Risiko zu beseitigen und den Schutz zu gewährleisten, damit es nicht erneut auftritt.
Zur Unterstützung der automatisierten Erkennung übernimmt eine ergänzende und einfach zu implementierende serverlose Architektur die Handhabung, Prüfung und Filterung neuer Ergebnisse im gesamten Ergebnissatz. Jede neue gültige Erkennung kann separat in einer weiteren sicheren Datenbank gespeichert werden, die eine interne Verwaltung ermöglicht und jedem Problem die gewünschte Bedeutung verleiht, die dann zur zuvor erwähnten Benachrichtigung führt. Im Rahmen des Prozesses kann ein Application Security Engineer die Ergebnisse individuell validieren und je nach Problemkontext die passende Sicherheitsmaßnahme ergreifen, um sicherzustellen, dass jedes Risiko berücksichtigt und behandelt wird.
Vorteile hinter der „Bringing Your Own Database“ von Snippet-Persister
Das bedeutet, dass der Kunde seine eigene Datenbankinstanz bereitstellen und verwalten kann. Anstatt Daten in von BigID verwalteten Warehouses zu speichern, wird der Snippet Persister an den Scanner angeschlossen und speichert die resultierenden Snippets aus dem Scannen und Erkennen der Daten gemäß den festgelegten Klassifikatoren – in diesem Fall den Klassifikatoren zur Erkennung von Geheimnissen. Dies bietet einige Sicherheitsvorteile und verhindert, dass sich die betroffenen Daten weiter an unerwünschte Orte verbreiten. Dies ermöglicht eine bessere Kontrolle über die Daten, auch im Hinblick auf die Gerichtsbarkeit oder gewünschte spezifische Sicherheitskontrollen, wie z. B. den Verschlüsselungstyp. Das „Bring your own database“-Modell ermöglicht dem Kunden eine reibungslose und sichere Datenverwaltung.
Optimieren Sie Ihre Suche mit der Klassifikatorverwaltung
Es kann vorkommen, dass eine Anwendung Geheimnisse mit ungewöhnlichen Formaten verarbeitet, die von den nativen Klassifikatoren von BigID nicht abgedeckt werden. Für diese Fälle bietet BigID eine Klassifikatorverwaltung Mit dieser Funktion können Sie Einstellungen für vorkonfigurierte Klassifikatoren anzeigen und verwalten sowie eigene Klassifikatoren erstellen und konfigurieren (z. B. mithilfe regulärer Ausdrücke). Diese Funktion gewährleistet, dass Scans alle erforderlichen Fälle abdecken.
BigIDs Ansatz zur Erkennung fest codierter Geheimnisse
Unter anderen nützlichen Ressourcen, BigID bietet die Möglichkeit, Scans zu erstellen, die sich ausschließlich auf die geheime Identifizierung von Daten konzentrieren. Dazu werden Klassifikatoren mit dedizierten Regex-Regeln verwendet, wie etwa der Klassifikator „Benutzername und explizites Passwort“, der Regeldefinitionen enthält, die auf die Erkennung fest codierter Passwörter und Benutzernamen abzielen.
BigID verfügt über mehr als 70 native Klassifikatoren, die sich auf die Erkennung verschiedener Arten von Geheimnisse und Token, einschließlich spezifischer Cloud-nativer Token, die eine sehr breite Erkennung ermöglichen. Falls das benötigte Muster nicht sofort als Klassifikator gefunden wird, können jederzeit benutzerdefinierte Klassifikatoren erstellt werden, um die verschiedenen Arten von Daten zu berücksichtigen, die Sie lokalisieren möchten.
Für erweiterten programmatischen Zugriff und mehr Flexibilität bei der Verarbeitung der Scan-Ergebnisse bietet BigID den Snippet Persister-Dienst an. Dieser speichert die Ergebnisse zusammen mit den zugehörigen Daten des erkannten Geheimnisses und liefert so weitere Erkenntnisse für eine abschließende Analyse, da eine einzelne zufällige Zeichenfolge für eine realistische Bewertung meist nicht ausreicht. Die Speicherung erfolgt separat in einer eigenen Datenbank, die eine sichere Speicherung und den Zugriff auf die Ergebnisse ermöglicht. Das Application Security Team von BigID implementiert diese Lösung derzeit.
Machen Sie noch heute eine Probefahrt, um BigID in Aktion zu sehen oder Buchen Sie eine 1:1-Demo mit unseren Experten.
Autor
