As empresas lidam com uma grande variedade de segredos, como chaves de API e outros tipos de credenciais, usadas para acessar os mais diversos tipos de plataformas e integrações de serviços. Por isso, os desenvolvedores precisam lidar constantemente com esses segredos em seus produtos. Isso muitas vezes leva os desenvolvedores a serem inseguros e pouco práticos, acabando por enviar essas informações para um servidor de segurança. repositório de código, tornando-o acessível a usuários não autorizados.
Os perigos dos segredos embutidos no código
Dependendo das características do segredo revelado, um segredo vazado pode resultar em consequências nefastas para a segurança. Um ótimo exemplo é uma credencial que dá acesso a todo um ambiente na nuvem. Se ela for armazenada em um repositório de código — de forma que qualquer pessoa acabe tendo acesso a esse repositório — ela poderá usar o segredo para executar uma variedade de ações inesperadas. Ou pior ainda, segredos que estão embutidos no código que é fornecida ao cliente, como aplicativos móveis, o que permitiria que praticamente qualquer usuário acessasse essas credenciais. Isso representa um enorme poder nas mãos do usuário, o que pode levar à exposição de dados sensíveis, interrupção do serviço e, muito provavelmente, a perdas financeiras.
A Arquitetura da Solução
A equipe de Segurança de Aplicações da BigID está aproveitando esses recursos para lidar com todas as detecções de forma programática, com automações que serão executadas regularmente para verificar a existência de novos segredos em nossas bases de código. Qualquer detecção gerará uma notificação que será enviada para análise humana, que determinará se o risco é real ou não. Caso seja, as medidas de segurança necessárias poderão ser tomadas para erradicar esse risco e reforçar as proteções para que ele não se repita.
Para auxiliar na detecção automatizada, uma arquitetura sem servidor complementar e de fácil implementação é responsável por lidar com, verificar e filtrar novos resultados no conjunto completo de resultados. Feito isso, cada nova detecção válida pode ser armazenada separadamente em outro banco de dados seguro que permite o gerenciamento interno, dando a devida importância a cada problema, que então se tornará a notificação mencionada anteriormente. Por fim, como parte do processo, um Engenheiro de Segurança de Aplicações poderá validar individualmente as descobertas e tomar a resposta de segurança adequada de acordo com o contexto do problema, garantindo que todos os riscos sejam tratados e mitigados.
Vantagens da funcionalidade "Traga seu próprio banco de dados" do Snippet-Persister
Isso significa que o cliente poderá fornecer e gerenciar sua própria instância de banco de dados e, em vez de armazenar dados em data warehouses gerenciados pela BigID, o Snippet Persister será conectado ao Scanner e armazenará os trechos resultantes da varredura e detecção dos dados de acordo com os classificadores definidos – neste caso, os classificadores que detectam segredos. Com isso, algumas vantagens de segurança são obtidas, evitando que os dados afetados se espalhem ainda mais para locais indesejados. Isso facilitará um maior controle sobre os dados, inclusive em termos de jurisdição ou controles de segurança específicos desejados, como o tipo de criptografia. O modelo "Traga seu próprio banco de dados" permite que o cliente continue gerenciando seus dados de forma tranquila e segura.
Aperfeiçoando sua busca com o gerenciamento de classificadores
Pode haver casos em que um aplicativo lide com segredos que tenham formatos incomuns, não cobertos pelos classificadores nativos do BigID. Para esses casos, o BigID fornece uma solução. Gerenciamento de Classificadores Funcionalidade que permite visualizar e gerenciar as configurações de classificadores padrão, bem como criar e configurar seus próprios classificadores personalizados (usando, por exemplo, expressões regulares). Esse recurso garante que as análises possam abranger todos os casos necessários.
A abordagem da BigID para detecção de segredos codificados
Entre outros recursos úteis, BigID Oferece a possibilidade de criar varreduras focadas exclusivamente na identificação de segredos em dados, usando classificadores com regras Regex dedicadas, como o classificador “Nome de usuário e senha explícita”, que contém definições de regras destinadas a detectar senhas e nomes de usuário codificados.
O BigID possui mais de 70 classificadores nativos relacionados à detecção de diferentes tipos de segredos e fichas, incluindo tokens específicos nativos da nuvem, o que permite uma detecção muito abrangente. Caso o padrão necessário não seja encontrado inicialmente como um classificador, é sempre possível criar classificadores personalizados para atender aos diferentes tipos de dados que você pretende localizar.
Para maior acesso programático e flexibilidade no tratamento dos resultados da varredura, a BigID oferece o serviço Snippet Persister, que armazena esses resultados juntamente com os dados adjacentes ao segredo detectado, fornecendo também mais informações para uma análise final, visto que, na maioria das vezes, uma única sequência aleatória não é suficiente para uma avaliação precisa. Esse armazenamento ocorre separadamente em um banco de dados próprio, que permite o armazenamento e o acesso seguros aos resultados. A própria equipe de Segurança de Aplicações da BigID já está implementando essa solução.
Faça um test drive hoje mesmo para ver o BigID em ação ou Agende uma demonstração individual com nossos especialistas.
Autor
