Puede ser una sorpresa, pero la gestión de secretos se ha convertido en el elefante en la sala de AppSec. Si bien las vulnerabilidades de seguridad como las vulnerabilidades y exposiciones comunes (CVE) a menudo aparecen en los titulares en el mundo de la ciberseguridad, la gestión de secretos sigue siendo un problema que se pasa por alto y que puede tener consecuencias inmediatas e impactantes para la seguridad corporativa.
Un estudio reciente de GitGuardian encontró que el 75 % de los responsables de la toma de decisiones de TI en los EE. UU. y el Reino Unido informaron que se filtró al menos un secreto de una aplicación, y el 60 % causó problemas para la empresa o los empleados. Sorprendentemente, menos de la mitad de los encuestados (48 %) confiaba en su capacidad para proteger los secretos de las aplicaciones «en gran medida».
El estudio, denominado Voice of Practitioners: El estado de los secretos en AppSec (disponible para descarga gratuita aquí), proporciona una nueva perspectiva sobre la gestión de secretos, que a menudo se reduce a clichés que no reflejan la realidad operativa en los departamentos de ingeniería.
A pesar de su ubicuidad en las operaciones modernas de nube y desarrollo, los secretos siguen siendo un tema espinoso incluso para las organizaciones más maduras. La multiplicación de la cantidad de secretos que se usan simultáneamente dentro del ciclo de desarrollo hace que sea demasiado fácil perder el control de las medidas de seguridad sólidas y «filtrarse».
Protección de los secretos de las aplicaciones
Cuando un secreto se ha filtrado, deja de ser un secreto y es accesible a personas o sistemas no autorizados durante un tiempo determinado. Las filtraciones ocurren principalmente internamente porque los secretos se copian y pegan en archivos de configuración, archivos de código fuente, correos electrónicos, aplicaciones de mensajería y más. Fundamentalmente, si un desarrollador codifica secretos en su código o archivos de configuración y el código se envía a un repositorio de GitHub, esos secretos también se envían. Otro escenario en el peor de los casos surge cuando un actor malicioso logra poner sus manos en las credenciales filtradas internamente después del acceso inicial, similar a lo que sucedió el año pasado con Uber.
El estudio Voice of Practioners evidencia que el peligro de los secretos expuestos es reconocido por la gran mayoría de los encuestados. El setenta y cinco por ciento de los encuestados dijo que ocurrió una filtración secreta en su organización en el pasado, y el 60 % reconoció que causó problemas graves para la empresa, los empleados o ambos.
Cuando se les preguntó acerca de los puntos de riesgo clave dentro de sus cadenas de suministro de software, el 58 % encontró «código fuente y repositorios» como el área de riesgo central, con un 53 % para «dependencias de código abierto» y un 47 % para «secretos codificados».
Sin embargo, las respuestas indican una brecha significativa en la madurez. Específicamente, menos de la mitad de los encuestados (48 %) confía en gran medida en su capacidad para proteger los secretos de las aplicaciones:
 |
| De Voice of Practitioners: El estado de los secretos en AppSec |
Además, más de una cuarta parte (27 %) de los encuestados admitió confiar en las revisiones manuales del código para evitar filtraciones secretas, que son notablemente ineficaz para detectar secretos codificados.
Finalmente, el estudio también encontró que el 53 % de la alta gerencia (como CSO, CISO y vicepresidentes de seguridad cibernética) cree que los secretos se comparten en texto claro a través de aplicaciones de mensajería.
A pesar de los desafíos, hay esperanza de mejora. El estudio reveló que el 94% de los encuestados planea mejorar sus prácticas de secretos en los próximos 12 a 18 meses, lo que es un paso positivo hacia una mejor gestión de secretos y seguridad corporativa. Sin embargo, vale la pena señalar que la detección y corrección de secretos, así como la gestión de secretos, deben priorizarse en términos de inversión en comparación con otras herramientas, como las herramientas de protección en tiempo de ejecución. Mientras que el 38 % de los encuestados planea invertir en herramientas de protección de aplicaciones en tiempo de ejecución, solo el 26 % y el 25 %, respectivamente, planean asignar fondos para la detección y reparación de secretos y la gestión de secretos.
Un programa integral de gestión de secretos
Cada año se filtran más y más secretos. GitGuardian monitorea el número anual de fugas en la plataforma de código compartido número uno, GitHub, y publica los resultados en su informe anual. Informe sobre la dispersión del estado de los secretos. Una vez más, las cifras son motivo de alarma: de 3 millones de secretos detectados en 2021, la cifra saltó un 67 % a 10 millones en 2022. Y esto es solo la punta del iceberg. La mayoría de las filtraciones ocurren dentro del perímetro corporativo, lo que hace muy difícil estimar una cifra global.
Para abordar este riesgo creciente, las empresas deben fortalecer su gestión de secretos como una prioridad para fortalecer sus defensas.
en un entrevista reciente con GitGuardian, el ex CISO de Ubisoft, Jason Haddix, describió cómo la importancia de la gestión de secretos se hizo evidente después de que la compañía fuera atacada por la pandilla de hackers Laspsus$ en marzo de 2022. Después de hablar con otros 40 CISO afectados, se le ocurrió un programa de cuatro ejes para desarrollar un programa integral de gestión de secretos:
- Detectar: ser capaz de encontrar todas las fugas pasadas requiere una herramienta automatizada y es un paso fundamental para obtener visibilidad sobre la postura de seguridad real de una empresa.
- Prevenir: ahorre tiempo para el futuro evitando las fugas tanto como sea posible, con barandas seguras como ganchos de compromiso previo.
- Responder: los secretos se filtran porque necesitan ser compartidos. También es fundamental contar con herramientas para almacenar, compartir y rotar estos secretos junto con controles de acceso detallados.
- Educar: tener sesiones de aprendizaje continuas sobre secretos, no solo para desarrolladores sino para todos los empleados, garantiza que se comprendan los riesgos asociados con la codificación de secretos y contraseñas, así como las mejores prácticas.
Conclusión
El estudio Voice of Practitioners destaca la importancia de una estrategia holística de secretos en AppSec y brinda información valiosa sobre las mejores prácticas para reducir los riesgos asociados con la proliferación de secretos. La gestión de secretos parece una deuda que se agrava con el tiempo. Si espera demasiado, el elefante en la habitación eventualmente se volverá demasiado grande para ignorarlo, poniendo a su organización en riesgo de sufrir graves consecuencias.
Si está buscando mejorar su programa de administración de secretos, un paso simple que puede tomar ahora mismo es solicita una auditoría gratuita de las filtraciones de secretos de tu empresa en GitHub de GitGuardian. El informe automático que recibirá le mostrará la cantidad de desarrolladores activos en GitHub, la cantidad de secretos encontrados expuestos en los repositorios de GitHub a lo largo del tiempo (categorizados) y el porcentaje de secretos válidos entre ellos.
Esto lo ayudará a determinar con precisión su perímetro de desarrollador en GitHub, evaluar el orden de magnitud del riesgo al que se enfrenta su empresa y dar el primer paso hacia un programa integral de gestión de secretos.