Interpretieren von Ergebnissen zur Risikobewertung von Geheimnissen

Hier erhalten Sie Informationen dazu, wie Sie die Ergebnisse Ihrer secret risk assessment interpretieren und die Datenleckbehebung priorisieren.

Wer kann dieses Feature verwenden?

Organization owners, security managers, and users with the admin role

In diesem Artikel

Einleitung

In diesem Lernprogramm interpretieren Sie Ihre ergebnisse der geheimen Risikobewertung und erfahren, wie Sie:

  • Grundlegendes zu Risikometriken im Dashboard
  • Identifizieren von geheimen Lecks mit hohem Risiko
  • Priorisieren von Geheimnissen zur Behebung

Voraussetzungen

Sie müssen einen secret risk assessment-Bericht erstellen und auf den Abschluss des Scans warten. Weitere Informationen findest du unter Ausführen der geheimen Risikobewertung für Ihre Organisation.

Schritt 1: Grundlegendes zu Ihren Dashboardmetriken

Überprüfen Sie nach Abschluss der Bewertung die wichtigsten Metriken am oberen Rand des Dashboards:

  •         **Totalgeheimnisse**: Gesamtanzahl der gefundenen Geheimnislecks in Ihrer Organisation

  •         **Öffentliche Lecks**: Unterschiedliche Geheimnisse, die in **öffentlichen** Repositorys gefunden wurden

  •         **Verhinderbare Lecks:** Lecks, die durch Schutzmaßnahmen hätten verhindert werden können

Sie können auch die Anzahl der geheimen Schlüssel ermitteln, die in Ihren privaten Repositorys gefunden wurden, indem Sie die Anzahl der öffentlichen Lecks von Ihren gesamten geheimen Schlüsseln subtrahieren. Während die Behebung dieser Geheimnisse weniger sofort wichtig ist, stellen sie weiterhin Risiken dar, wenn jemand unbefugten Zugriff auf Ihre Repositorys erhält oder ein Repository öffentlich gemacht wird.

Schritt 2: Grundlegendes zu geheimen Kategorien

Sehen Sie sich den Abschnitt Geheime Kategorien an, um zu verstehen, welche Arten von Geheimnissen offengelegt wurden.

  •         **Anbietermuster**: Spezifische geheime Formate für bekannte Dienste (AWS, Azure, GitHub Tokens)

  •         **Generische Muster: Generische** geheime Formate wie private Schlüssel, API-Schlüssel, Kennwörter

Anbietermuster sind häufig einfacher zu identifizieren und zu widerrufen, da Sie genau wissen, zu welchem Dienst sie gehören. Generische Muster erfordern möglicherweise eine weitere Untersuchung.

Schritt 3: Ermitteln, wie viele Repositorys betroffen sind

Überprüfen Sie die Repositorys mit der Metrik "Lecks ", die zeigt, wie viele Ihrer Repositorys geheime Lecks enthalten.

Wenn ein hoher Prozentsatz an Repositorys Lecks enthält, kann dies folgendes bedeuten:

  • Ein weit verbreitetes Kulturproblem rund um das Geheimmanagement
  • Eine Notwendigkeit für organisationsweite Schulungen
  • Fehlende Schutzmaßnahmen wie ein Pushschutz, der Geheimnisse vor der Übertragung blockiert

Wenn nur wenige Repositorys Lecks enthalten, können Sie:

  • Konzentrieren Sie sich auf Korrekturmaßnahmen für bestimmte Teams
  • Verwenden Sie die Leckinformationen, um zu bestimmen, welche Repositorys risikoreiche Bereiche sind

Schritt 4: Überprüfen geheimer Daten nach Typ

Scrollen Sie nach unten, um die detaillierte Tabelle des Typs "Geheim" anzuzeigen, die Folgendes umfasst:

  •         **Geheimer Typ**: Die spezifische Art des geheimen Schlüssels

  •         **Unterschiedliche Repositorys**: Wie viele verschiedene Repositorys diesen Typ enthalten

  •         **Geheimnisse gefunden**: Gesamtanzahl dieses Geheimnistyps in allen Repositories

Die Tabelle sortiert automatisch nach der höchsten Anzahl und hilft Ihnen dabei, die größten Risiken zu erkennen.

Wenn viele Geheimnisse desselben Typs angezeigt werden (z. B. mehrere AWS-Schlüssel), gibt dies Folgendes an:

  • Entwickler verwenden möglicherweise keine Umgebungsvariablen
  • Fehlende Dokumentation zur geheimen Verwaltung

Nachdem Sie die Metriken verstanden haben, priorisieren Sie die Korrektur basierend auf Dem Risiko.

Die Geheimnisse mit der höchsten Priorität sind geleakte Anbietermuster in öffentlichen Repositories, da sie:

  • Zugänglich für alle Personen im Internet
  • Oft einfacher zu identifizieren und zu widerrufen, da Sie wissen, zu welchem Dienst sie gehören

Als Nächstes können Sie Geheimnisse angehen, die ein geringeres Risiko darstellen oder die umfangreichere Anstrengungen bei der Behebung erfordern. Dies kann folgendes sein:

  •         **Generische Muster in öffentlichen Repositorys**, die eine Untersuchung erfordern können, um den Dienst oder das System zu identifizieren, dem sie angehören

  •         **Private Repository-Lecks, die ein geringeres unmittelbares** Risiko darstellen, aber dennoch behoben werden sollten

Suchen Sie schließlich nach den folgenden Indikatoren, die zusätzliche Präventionsmaßnahmen über die Leckbehebung hinaus erfordern können:

  •         **Viele Repositorys mit Lecks**: Gibt an, dass organisationsweite Schulungen erforderlich sind und das Sicherheitsbewusstsein verbessert wird.

  •         **Wiederholte geheime Typen**: Schlägt vor, dass bestimmte Workflows oder Teams gezielte Interventionen benötigen

  •         **Allgemeine geheime Kategorien**: Kann auf bestimmte CI/CD-Prozesse verweisen, die Sicherheitsverbesserungen erfordern

Nächste Schritte

GitHub Secret Protection bietet eine kontinuierliche Überwachung und Pushschutz, um verbleibende Probleme mit Geheimnissen zu beseitigen und zukünftige Datenlecks zu verhindern. Um zu ermitteln, ob GitHub Secret Protection für Ihre Organisation geeignet ist, können Sie die Kosten abschätzen, bevor Sie es aktivieren. Weitere Informationen findest du unter Schätzen des Preises für Secret Protection.