El activo más preciado en la era de la información actual es el secreto protegido bajo llave y candado. Lamentablemente, mantener secretos se ha vuelto cada vez más desafiante, como lo destaca el Expansión del estado de los secretos en 2023 informe, el mayor análisis de la actividad pública de GitHub.
El informe muestra un 67% de aumento año tras año en la cantidad de secretos encontrados, con 10 millones de secretos codificados detectados solo en 2022. Este aumento alarmante en los aspectos más destacados de la expansión de los secretos la necesidad de acción y subraya la importancia del desarrollo de software seguro.
La expansión de secretos se refiere a los secretos que aparecen en texto sin formato en varias fuentes, como el código fuente, los scripts de compilación, la infraestructura como código, los registros, etc. entre desarrolladores, máquinas, aplicaciones y sistemas de infraestructura aumenta la probabilidad de fugas.
Los incidentes de ciberseguridad resaltan los peligros de los secretos codificados
Dos incidentes de seguridad cibernética de alto perfil que involucran a Uber y Toyota han subrayado la necesidad urgente de abordar el problema de la proliferación de secretos y priorizar la seguridad del código. A medida que crece la conciencia sobre este problema, es imperativo que las empresas prioricen la protección de los secretos e inviertan en soluciones innovadoras que detecten y solucionen amenazas potenciales.
Uber sufrió un ataque en el que un atacante obtuvo acceso a sistemas críticos utilizando credenciales de administrador codificadas que se encuentran en un script de PowerShell. Por el contrario, Toyota expuso sin darse cuenta las credenciales que otorgaban acceso a los datos de los clientes en un repositorio público de GitHub durante casi cinco años. Ambos incidentes sirven como recordatorios evidentes de los riesgos asociados con la expansión de los secretos. Además, como señala el informe, la mayoría de los incidentes de seguridad involucran, en algún momento, secretos: pueden ser claves aprovechadas por los atacantes o expuestas a través del código fuente filtrado, por ejemplo.
Un punto ciego importante en la seguridad de las aplicaciones
Con 1 de cada 10 autores de código Al exponer un secreto en 2022, es evidente que este problema trasciende los niveles de experiencia y afecta a los desarrolladores en todos los ámbitos.
La gestión de secretos está ganando cada vez más atención a medida que más organizaciones examinan sus procesos de cadena de suministro de software tras una serie de infracciones de seguridad de alto perfil. Los equipos de ciberseguridad tradicionalmente se han centrado en identificar vulnerabilidades en lugar de descubrir credenciales mal protegidas. Como resultado, innumerables aplicaciones que se ejecutan en entornos de producción pueden tener problemas de gestión de secretos no descubiertos.
En un escenario perfecto, la adopción de las mejores prácticas de DevSecOps abordaría este problema creciente. Sin embargo, con la expansión constante de los repositorios de código, aparecen errores más básicos. Al reconocer las vulnerabilidades de la cadena de suministro de software, los ciberdelincuentes escanean de forma proactiva los repositorios para encontrar secretos que podrían facilitar las violaciones de las aplicaciones.
Es probable que el problema empeore ya que se espera que aumenten los ataques a las cadenas de suministro de software.. A medida que la tecnología avanza y el código se entrelaza más con nuestra vida diaria, los riesgos asociados con la expansión de los secretos se vuelven más apremiantes.
Se espera que el enfoque intensificado en asegurar las cadenas de suministro de software, especialmente a la luz de la Estrategia Nacional de Ciberseguridad de la administración Biden, impulse a más organizaciones de TI a implementar medidas de seguridad de extremo a extremo dentro de sus ciclos de vida de desarrollo de software. Como resultado, los equipos de DevOps deben anticipar un mayor enfoque en la gestión de secretos por parte de los expertos en ciberseguridad.
Adoptar medidas proactivas para mitigar los riesgos de expansión de secretos
Para combatir esta creciente amenaza, las organizaciones deben priorizar la protección de sus secretos e invertir en soluciones para detectar y abordar posibles vulnerabilidades.
El crecimiento continuo del paradigma de todo como código y la mercantilización de la infraestructura y los servicios digitales significa que el software, el código y los secretos solo se volverán más críticos en sus operaciones comerciales diarias.
El riesgo de exposición de secretos no puede eliminarse por completo, incluso con sistemas centralizados de gestión de secretos. Pero se puede mitigar abordando las prácticas de higiene de secretos deficientes e implementando manuales de remediación..
Para medir cuánto podría aportar a su organización un programa de detección y remediación de secretos, puede utilizar nuestro programa gratuito Calculadora de valor estimar el costo probable de no lidiando con una deuda de seguridad que consiste en miles de secretos codificados en la actualidad.
Al aprender a vivir con este problema y poner en marcha las herramientas y los recursos adecuados, las empresas pueden reducir significativamente los riesgos asociados con secretos filtrados y explotados.
En conclusión, la expansión de los secretos es una amenaza creciente que requiere la atención inmediata de las organizaciones.. Con las herramientas y estrategias adecuadas, las empresas pueden mitigar los riesgos asociados con los secretos filtrados y explotados. Es hora de priorizar la gestión de secretos e invertir en soluciones innovadoras para garantizar que nuestros secretos permanezcan seguros y protegidos.
En un mundo donde la información es poder, es hora de actuar y garantizar que nuestros secretos permanezcan seguros bajo llave.