GitHub tiene Anunciado una mejora en su función de escaneo secreto que extiende las comprobaciones de validez a servicios populares como Amazon Web Services (AWS), Microsoft, Google y Slack.
controles de validez, introducido por la filial de Microsoft a principios de este año, alerta a los usuarios si los tokens expuestos encontrados mediante el escaneo secreto están activos, permitiendo así medidas de remediación efectivas. Se habilitó por primera vez para tokens de GitHub.
El servicio de control de versiones y alojamiento de código basado en la nube dijo que tiene la intención de admitir más tokens en el futuro.
Para alternar la configuración, los propietarios de empresas u organizaciones y los administradores de repositorios pueden dirigirse a Configuración > Seguridad y análisis de código > Escaneo de secretos y marcar la opción «Verificar automáticamente si un secreto es válido enviándolo al socio correspondiente».
A principios de este año, GitHub también expandido alertas de escaneo secreto para todos los repositorios públicos y anunció la disponibilidad de protección push para ayudar a los desarrolladores y mantenedores a proteger proactivamente su código escaneando en busca de secretos altamente identificables antes de ser enviados.
El desarrollo se produce cuando Amazon presentó una vista previa de requisitos mejorados de protección de cuentas que aplicarán a los usuarios privilegiados (también conocidos como usuarios raíz) de una Organización AWS cuenta para activar la autenticación multifactor (MFA) a partir de mediados de 2024.
«MFA es una de las formas más simples y efectivas de mejorar la seguridad de la cuenta, ofreciendo una capa adicional de protección para ayudar a evitar que personas no autorizadas obtengan acceso a sistemas o datos», Steve Schmidt, director de seguridad de Amazon, dicho.
Los métodos MFA débiles o mal configurados también encontraron un lugar entre las 10 configuraciones incorrectas de red más comunes, según un nuevo asesoramiento conjunto emitido por la Agencia de Seguridad Nacional (NSA) de EE. UU. y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
«Algunas formas de MFA son vulnerables al phishing, al ‘push bombing’ y a la explotación del sistema de señalización 7 (SS7) vulnerabilidades de protocolo y/o técnicas de ‘intercambio de SIM'», las agencias dicho.
«Estos intentos, si tienen éxito, pueden permitir que un actor de amenazas obtenga acceso a las credenciales de autenticación de MFA o eluda MFA y acceda a los sistemas protegidos por MFA».
Las otras configuraciones erróneas de ciberseguridad prevalentes son las siguientes:
- Configuraciones predeterminadas de software y aplicaciones.
- Separación inadecuada de privilegios de usuario/administrador
- Monitoreo de red interna insuficiente
- Falta de segmentación de la red.
- Mala gestión de parches
- Omitir los controles de acceso al sistema
- Listas de control de acceso (ACL) insuficientes en recursos compartidos y servicios de red
- Mala higiene de credenciales
- Ejecución de código sin restricciones
Como mitigación, se recomienda que las organizaciones eliminen las credenciales predeterminadas y refuercen las configuraciones; desactivar servicios no utilizados e implementar controles de acceso; priorizar la aplicación de parches; auditar y monitorear cuentas y privilegios administrativos.
También se ha instado a los proveedores de software a implementar principios de diseño seguro, utilizar lenguajes de programación seguros para la memoria siempre que sea posible, evitar incrustar contraseñas predeterminadas, proporcionar registros de auditoría de alta calidad a los clientes sin costo adicional y exigir métodos MFA resistentes al phishing.
«Estas configuraciones erróneas ilustran (1) una tendencia de debilidades sistémicas en muchas organizaciones grandes, incluidas aquellas con posturas cibernéticas maduras, y (2) la importancia de que los fabricantes de software adopten principios de seguridad por diseño para reducir la carga sobre los defensores de la red», señala el informe. agencias notaron.