Suchen

Secrets Security

Ein multidimensionaler Ansatz findet und sichert ungeschützte und gefährdete Secrets in allen Dateien Ihrer Repositorys und CI/CD-Pipelines und deckt dabei den gesamten Stack ab.
Demo anfordern
secrets-gitlab

Entwickler nutzen Secrets, damit ihre Anwendungen sicher mit anderen Cloud-Diensten kommunizieren können. Wenn ein solches Secret jedoch in einer Datei in einem Versionskontrollsystemen (VCS) wie GitHub gespeichert wird, entsteht eine potenzielle Sicherheitslücke, die ausgenutzt werden kann. Das geschieht oft, wenn Entwickler ihre Secrets im Quellcode vergessen. Sobald ein Secret in ein Repository übertragen wird, wird es im Verlauf gespeichert, und jeder Benutzer kann leicht auf diese Schlüssel zugreifen. Das ist besonders riskant, wenn die Inhalte des Repositorys veröffentlicht werden, weil diese Ressource dann von Angreifern problemlos gefunden und genutzt werden kann.

Die meisten Tools scannen nur in einer bestimmten Phase des Anwendungslebenszyklus nach Secrets und finden bestimmte Secret-Typen auch dort nicht. Cortex® Cloud kann verhindern, dass Secrets versehentlich preisgegeben werden, ohne die Entwicklungsgeschwindigkeit zu drosseln oder zu viele False Positives zu generieren.

In der cloudnativen Entwicklung ist die Hartcodierung von Anmeldedaten gängige Praxis.

Hartcodierte Anmeldedaten erleichtern Entwicklern die Arbeit und den Zugriff auf Services und Daten, gehören jedoch nicht zu den Best Practices. Besonders riskant sind sie in gemischten Entwicklerteams und in cloudbasierten Repositorys. Dennoch sind sie leider keine Seltenheit, denn mehr als 41 % der Repositorys enthalten Secrets.

Mit der Veröffentlichung steigt das Risiko.

Secrets werden häufig in öffentlichen Repositorys in einem VCS oder einer Registry offengelegt. Darüber hinaus kann jedes Secret, das direkt in den Quellcode, die IaC-Infrastruktur, eine CI/CD-Konfigurationsdatei oder einen ähnlichen Kontext eingefügt wird, in einem VCS sichtbar sein oder versehentlich in Build-Protokollen offengelegt werden.

Voneinander isolierte Tools führen zu Lücken in der Abdeckung.

Punktlösungen für Secret-Scans decken oft nicht die gesamte Build- und Laufzeitumgebung ab. Wenn sie nicht in eine weiter gefasste CNAPP-Strategie integriert sind, bieten sie Unternehmen keine vollständige Übersicht über die vorhandenen Risiken.

Mit Cortex Cloud können Entwickler die Offenlegung von Secrets in Build- und Laufzeitumgebungen zuverlässig verhindern.

Durch die Integration in DevOps-Tools für Entwicklungs-, Build- und Laufzeitumgebungen kann Cortex Cloud während des gesamten Entwicklungslebenszyklus kontinuierlich nach offengelegten Secrets Ausschau halten. Mit einem leistungsstarken mehrdimensionalen Ansatz, der eine signaturbasierte Richtlinienbibliothek mit einem fein abgestimmten Entropiemodell kombiniert, kann Cortex Cloud Secrets in nahezu jedem Dateityp identifizieren, von IaC-Vorlagen über Golden Images bis hin zu Git-Repositorys.
  • Mehrere Methoden zur Erkennung komplexer Secrets wie von Zufallsgeneratoren erstellten Strings oder Kennwörtern
  • Risikofaktoren liefern Secret-Kontext für eine effiziente Priorisierung und Problembehebung
  • Native Integration in Entwicklertools und Arbeitsabläufe
  • Bibliothek mit über 100 Signaturen
    Bibliothek mit über 100 Signaturen
  • Fein abgestimmtes Entropiemodell
    Fein abgestimmtes Entropiemodell
  • Visualisierung der Lieferkette
    Visualisierung der Lieferkette
  • Breite Abdeckung
    Breite Abdeckung
  • Pre-Commit-Erkennung in VCS und CI-Pipelines
    Pre-Commit-Erkennung in VCS und CI-Pipelines
  • Erkennung in laufenden Workloads und Anwendungen
    Erkennung in laufenden Workloads und Anwendungen.
Die Lösung

Ein entwicklerorientierter, mehrdimensionaler Ansatz zum Schutz von Secrets

Präzise Erkennung

Am häufigsten werden Secrets identifiziert, die reguläre Ausdrücke – z. B. Zugriffstokens, API-Schlüssel, Verschlüsselungsschlüssel, OAuth-Tokens, Zertifikate etc. – enthalten. Cortex Cloud nutzt über 100 Signaturen, um ein breites Spektrum von Secrets mit bekannten, vorhersehbaren Ausdrücken zu erkennen und zu melden.

  • Breite Abdeckung

    Mehr als 100 domainspezifische Secret-Detektoren sorgen beim Build und während der Laufzeit für eine zuverlässige Erkennung und Meldung.

  • Breites und tiefes Scanning

    Scannen Sie in allen Dateien Ihrer Repositorys und in den Versionsverläufen Ihrer Integrationen nach Secrets.

Präzise Erkennung

Fein abgestimmtes Entropiemodell

Nicht alle Secrets enthalten vorhersehbare oder identifizierbare Muster. Zum Beispiel können signaturbasierte Methoden zufällige Zeichenfolgen (Strings) wie Benutzernamen und Kennwörter nicht erkennen, wodurch diese Schlüssel zu Ihrem System potenziell ungeschützt und öffentlich zugänglich sind. Cortex Cloud verstärkt die signaturbasierte Erkennung durch ein fein abgestimmtes Entropiemodell.

  • Fein abgestimmtes Entropiemodell

    Eliminieren Sie False Positives mit einem fein abgestimmten Entropiemodell, das den String-Kontext nutzt, um auch komplexe Secret-Typen präzise zu identifizieren.

  • Konkurrenzlose Transparenz

    Gewinnen Sie umfassende Transparenz und Kontrolle über die zahlreichen unterschiedlichen Secrets, die von Cloud-Entwicklern verwendet werden.

Fein abgestimmtes Entropiemodell

Feedback für Entwickler

Entwickler können die Risiken, die mit ungeschützten oder gefährdeten Secrets verbunden sind, auf verschiedene Weise analysieren:

  • Projekte

    Native Integrationen in Entwicklungsarbeitsabläufe und nahtlose Aufdeckung von Secrets in nicht-konformen Dateien.

  • Lieferkette

    Die Grafik zur Lieferkette zeigt, auf welchen Knoten sich Quellcodedateien befinden. Eine detaillierte Prüfung des Abhängigkeitsbaums hilft den Entwicklern, die Ursache der Secret-Offenlegung zu finden.

  • Kommentare für Pull-Anfragen

    Benutzer können mithilfe von Scans nach potenziell durch Pull-Anfragen offengelegten Secrets suchen und diese dann leicht entfernen.

  • Pre-Commit-Hooks und CI-Integrationen

    Mit dem Pre-Commit-Hook können Push-Übertragungen von Secrets in ein Repository verhindert werden, bevor eine Pull-Anforderung erstellt wird.

Feedback für Entwickler

Weitere Funktionen in Application Security

IAC-SICHERHEIT

Integration automatisierter IaC-Sicherheitsfunktionen in die Arbeitsabläufe der Entwickler

Mehr dazu

SOFTWARE COMPOSITION ANALYSIS (SCA)

Äußerst präzise und kontextbasierte Sicherheitsmaßnahmen für Open-Source-Software und Compliance mit Lizenzvorgaben

Mehr dazu

SICHERHEIT IN DER SOFTWARELIEFERKETTE

Stärken Sie Ihre CI/CD-Pipelines, reduzieren Sie Ihre Angriffsfläche und schützen Sie Ihre Anwendungsentwicklungsumgebung.

Mehr dazu

INFRASTRUCTURE-AS-CODE(IaC)-SICHERHEIT

Identifizieren und beheben Sie Fehlkonfigurationen in Terraform, CloudFormation, ARM, Kubernetes und anderen IaC-Vorlagen.

Mehr dazu

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen