As empresas lidam com uma grande variedade de segredos, como Chaves de API e outros tipos de credenciais, usadas para acessar os mais diversos tipos de plataformas e integrações de serviços. Para isso, os desenvolvedores precisam lidar com esses segredos constantemente em seus produtos. Isso muitas vezes leva os desenvolvedores a ficarem inseguros e práticos, acabando por enviar essas informações para um repositório de código, tornando-o acessível a usuários não autorizados.
Os perigos dos segredos codificados
Dependendo das características do segredo exposto, uma segredo vazado pode resultar em consequências nefastas para a segurança. Um ótimo exemplo é uma credencial que dá acesso a um ambiente de nuvem inteiro. Se ela for armazenada em um repositório de código — de forma que qualquer pessoa tenha acesso a esse repositório —, ela pode usar o segredo para executar uma variedade de ações inesperadas. Ou pior ainda, segredos que estão codificados em código que é fornecido ao cliente, como aplicativos móveis, o que permitiria basicamente que qualquer usuário acessasse essa credencial. Isso representa uma grande quantidade de poder nas mãos, o que pode levar à exposição de dados confidenciais, à interrupção do serviço e, muito provavelmente, a perdas financeiras.
A Arquitetura da Solução
A equipe de Segurança de Aplicativos do BigID está aproveitando esses recursos para lidar com todas as detecções programaticamente, com automações que serão executadas regularmente para verificar novos segredos encontrados em nossas bases de código. Qualquer detecção gerará uma notificação que será enviada para análise humana, que confirmará se o risco é real ou não. Caso seja, as medidas de segurança necessárias poderão ser tomadas para erradicar esse risco e aplicar as proteções para que ele não se repita.
Para auxiliar na detecção automatizada, uma arquitetura sem servidor complementar e fácil de implementar é responsável por manipular, verificar e filtrar novos resultados no conjunto completo de resultados. Dessa forma, cada nova detecção válida pode ser armazenada separadamente em outro banco de dados seguro que permite o gerenciamento interno, dando a ênfase esperada a cada problema, que se tornará a notificação mencionada anteriormente. Por fim, como parte do processo, um Engenheiro de Segurança de Aplicações poderá validar individualmente as descobertas e adotar a resposta de segurança correta de acordo com o contexto do problema, garantindo que todos os riscos sejam tratados e monitorados.
Vantagens por trás do “Trazendo seu próprio banco de dados” do Snippet-Persister
Isso significa que o cliente poderá fornecer e gerenciar sua própria instância de banco de dados e, em vez de armazenar dados em repositórios gerenciados pelo BigID, o Snippet Persister será conectado ao Scanner e armazenará os snippets resultantes da varredura e da detecção dos dados de acordo com os classificadores definidos – neste caso, os classificadores que detectam segredos. Com isso, algumas vantagens de segurança são obtidas, evitando que os dados afetados se espalhem para locais indesejados. Isso facilitará um maior controle sobre eles, mesmo em termos de jurisdição ou controles de segurança específicos desejados, como o tipo de criptografia. O modelo "Traga seu próprio banco de dados" permite que o cliente continue gerenciando seus dados com tranquilidade e segurança.
Ajustando sua pesquisa com o gerenciamento de classificadores
Pode haver casos em que um aplicativo manipula segredos com formatos incomuns que não são cobertos pelos classificadores nativos do BigID. Para esses casos, o BigID fornece uma Gerenciamento de Classificadores Recurso que permite visualizar e gerenciar configurações para classificadores prontos para uso, bem como criar e configurar seus próprios classificadores personalizados (usando, por exemplo, Expressões Regulares). Esse recurso garante que as varreduras possam cobrir todos os casos necessários.
Abordagem da BigID para detecção de segredos codificados
Entre outros recursos úteis, BigID oferece a possibilidade de criar varreduras focadas exclusivamente na identificação secreta entre dados, utilizando classificadores com regras Regex dedicadas, como o classificador “Nome de usuário e senha explícita”, contendo definições de regras que visam detectar senhas e nomes de usuários codificados.
O BigID possui mais de 70 classificadores nativos que estão relacionados à detecção de diferentes tipos de segredos e fichas, incluindo tokens nativos da nuvem específicos, o que permite uma detecção bastante ampla. Caso o padrão necessário não seja encontrado como classificador inicialmente, é sempre possível criar padrões personalizados para atender aos diferentes tipos de dados que você deseja localizar.
Para maior acesso programático e flexibilidade no processamento dos resultados da varredura, a BigID oferece o serviço Snippet Persister, que armazena esses resultados juntamente com os dados que os envolvem em torno do segredo detectado, fornecendo também mais insights para uma análise final, visto que, na maioria das vezes, uma única sequência aleatória não é suficiente para uma avaliação realista. Esse armazenamento ocorre separadamente em um banco de dados "traga seu próprio" que permitirá o armazenamento e o acesso seguros aos resultados. A equipe de Segurança de Aplicativos da BigID está implementando essa solução hoje.
Faça um test drive hoje para ver o BigID em ação ou agende uma demonstração individual com nossos especialistas.
Autor
