Durante años, proteger los sistemas de una empresa era sinónimo de proteger su “perímetro”. Existía lo que era seguro “dentro” y el mundo exterior inseguro. Construimos firewalls resistentes e implementamos sistemas de detección sofisticados, confiados en que mantener a los bárbaros fuera de los muros mantendría seguros nuestros datos y sistemas.
El problema es que ya no operamos dentro de los límites de instalaciones físicas locales y redes controladas. Los datos y las aplicaciones ahora residen en entornos de nube distribuidos y centros de datos, a los que acceden usuarios y dispositivos que se conectan desde cualquier parte del planeta. Los muros se han derrumbado y el perímetro se ha disuelto, abriendo la puerta a un nuevo campo de batalla: identidad.
La identidad está en el centro de lo que la industria ha elogiado como el nuevo estándar de oro de la seguridad empresarial: “confianza cero”. En este paradigma, la confianza explícita se vuelve obligatoria para cualquier interacción entre sistemas y no subsistirá ninguna confianza implícita. Cada solicitud de acceso, independientemente de su origen, debe ser autenticada, autorizada y validada continuamente antes de conceder el acceso.
La naturaleza dual de la identidad
La identidad es un concepto amplio con una realidad dual. Por un lado, gente necesitan acceso a su correo electrónico y calendario, y algunos (ingenieros de software en particular) acceso privilegiado a un servidor o base de datos para realizar su trabajo. La industria ha estado perfeccionando la gestión de estas identidades durante los últimos 20 años a medida que los empleados se unen, obtienen privilegios para ciertos sistemas y, finalmente, abandonan la empresa.
Por otro lado, tenemos otro tipo de identidad: identidades de máquinas, también referido como identidades no humanas (NHI)que representan la gran mayoría de todas las identidades (se estima que superan en número a las identidades humanas al menos por un factor de 45 a 1).
A diferencia de sus homólogos humanos, los NHI (que van desde servidores, aplicaciones o procesos) no están vinculados a individuos y, por lo tanto, plantean un problema completamente diferente:
- Ellos carecen de medidas de seguridad tradicionales porque, a diferencia de los usuarios humanos, no podemos simplemente aplicar MFA a un servidor o una clave API.
- Ellos Puede ser creado en cualquier momento por cualquier persona. en la empresa (piense en Marketing conectando su CRM al cliente de correo electrónico) con poca o ninguna supervisión. Están dispersos en una diversidad de herramientas, lo que hace que gestionarlos sea increíblemente complejo.
- Ellos son abrumadoramente privilegiados y muy a menudo “obsoletos”: a diferencia de las identidades humanas, es mucho más probable que los NHI permanezcan mucho tiempo después de haber sido utilizados. Esto crea una situación de alto riesgo en la que las credenciales sobreaprovisionadas con permisos amplios permanecen incluso después de que haya finalizado su uso previsto.
Todo esto combinado presenta la tormenta perfecta para las grandes empresas que se enfrentan a entornos de nube en expansión y cadenas de suministro de software intrincadas. No es sorprendente que las identidades mal administradas… de los cuales la expansión de los secretos es un síntoma—son ahora la causa principal de la mayoría de los incidentes de seguridad que afectan a las empresas en todo el mundo.
El alto costo de la inacción: violaciones del mundo real
Las consecuencias de descuidar la seguridad del NHI no son teóricas. Las noticias están repletas de ejemplos de violaciones de alto perfil en las que los NHI comprometidos sirvieron como punto de entrada para los atacantes, lo que provocó importantes pérdidas financieras, daños a la reputación y erosión de la confianza de los clientes. Dropbox, Sisense, Microsoft y The New York Times son ejemplos de empresas que admitieron haber sido afectadas por un NHI comprometido en 2024. solo.
Quizás lo peor es que estos incidentes tienen efectos dominó. En enero de 2024, los sistemas internos de Atlassian de Cloudflare fueron vulnerados porque Los tokens y las cuentas de servicio (en otras palabras, NHI) estuvieron previamente comprometidos en Okta, una plataforma de identidad líder. Lo que es especialmente revelador aquí es que Cloudflare detectó rápidamente la intrusión y respondió rotando las credenciales sospechosas. Sin embargo, más tarde se dieron cuenta de que algunos tokens de acceso no se habían rotado correctamente, lo que les dio a los atacantes otra oportunidad de comprometer su infraestructura.
Esta no es una historia aislada: el 80% de las organizaciones han experimentado violaciones de seguridad relacionadas con la identidad, y la edición de 2024 del DBIR clasificó el “compromiso de identidad o credenciales” como el vector número uno para los ciberataques.
¿Deberías preocuparte? Si analizamos la historia de Cloudflare, aún no se conoce el impacto. Sin embargo, la compañía reveló que los esfuerzos de remediación incluyeron rotar todo 5.000 credenciales de producciónclasificación forense exhaustiva y reinicio de todos los sistemas de la empresa. Considere el tiempo, los recursos y la carga financiera que un incidente de este tipo supondría para su organización. ¿Puede permitirse el lujo de correr ese riesgo?
Abordar las identidades mal administradas, solucionando tanto las exposiciones actuales como los riesgos futuros, es un largo camino. Si bien no existe una solución mágica, es posible abordar uno de los mayores y más complejos riesgos de seguridad de nuestra era. Organizaciones puede mitigar los riesgos asociados con identidades no humanas combinando acciones inmediatas con estrategias de mediano y largo plazo.
Acompañar a los clientes de Fortune 500 en este proceso durante los últimos 7 años es lo que hizo que GitGuardian el líder de la industria en seguridad de secretos.
Controlar los NHI, empezando por la seguridad secreta
Las organizaciones deben adoptar un enfoque proactivo e integral para la seguridad del NHI, comenzando con la seguridad de los secretos. Obtener control sobre los NHI comienza con la implementación de capacidades efectivas de seguridad de secretos:
1. Establecer una visibilidad integral y continua
No puedes proteger lo que no sabes. La seguridad de Secrets comienza con el monitoreo de una amplia gama de activos a escala, desde repositorios de código fuente hasta sistemas de mensajería y almacenamiento en la nube. Es crucial ampliar su monitoreo más allá de las fuentes internas para detectar cualquier secreto relacionado con la empresa en áreas altamente expuestas como GitHub. Sólo entonces las organizaciones podrán comenzar a comprender el alcance de la exposición de su información confidencial y tomar medidas para corregir estas vulnerabilidades.
GitGuardian Secret Detección cuenta con la mayor cantidad de detectores y la más amplia gama de activos monitoreados en el mercado, incluidos toda la actividad pública de GitHub de los últimos 5 años.
2. Agilizar la remediación
La seguridad de los secretos no es una tarea única sino un proceso continuo. Debe integrarse en el desarrollo de software y otros flujos de trabajo para encontrar y corregir (revocar) secretos codificados y prevenir la causa raíz de las infracciones. Es fundamental disponer de capacidades de remediación oportunas y eficientes, limitar la fatiga de las alertas y optimizar el proceso de remediación a escala. Esto permite a las organizaciones abordar los problemas antes de que los atacantes puedan explotarlos. reducir el riesgo de forma eficaz y mensurable.
La plataforma GitGuardian hace que la remediación sea la prioridad número uno. La gestión unificada de incidentes, las pautas de remediación personalizadas y la información detallada sobre incidentes permiten a las organizaciones abordar la amenaza de la proliferación de secretos a escala.
3. Integre con sistemas de identidad y secretos
Analizar el contexto de un secreto filtrado es crucial para determinar su sensibilidad y el riesgo asociado. La integración con sistemas de gestión de identidad y acceso (IAM), sistemas de gestión de acceso privilegiado (PAM) y Secrets Managers proporciona una visión más completa de la huella y la actividad de los NHI.
La asociación de GitGuardian con CyberArk Conjur, el líder en gestión de secretos y seguridad de identidades, es una primicia en la industria. Esta asociación trae seguridad secreta de extremo a extremo al mercado, desbloqueando nuevos casos de uso, como la detección automatizada de exposición pública, la aplicación de políticas de gestión de secretos y la rotación automatizada después de una filtración.
Cambiando la mentalidad: de la seguridad perimetral a la seguridad secreta
La rápida proliferación de identidades no humanas ha creado un desafío de seguridad complejo y a menudo pasado por alto. Las medidas de seguridad tradicionales basadas en perímetros ya no son suficientes en los entornos distribuidos y centrados en la nube actuales. Los riesgos asociados con los SNS mal administrados son reales y potencialmente devastadores, como lo demuestran las violaciones de alto perfil que han resultado en importantes daños financieros y de reputación.
Sin embargo, hay esperanza. Al cambiar nuestro enfoque hacia la seguridad de los secretos y adoptar un enfoque integral que incluya detección sólida, corrección automatizada e integración con sistemas de identidad, las organizaciones pueden reducir significativamente su superficie de ataque y reforzar su postura general de seguridad.
Esto puede parecer desalentador, pero es una evolución necesaria en nuestro enfoque de la ciberseguridad. El momento de actuar es ahora; la pregunta es: ¿Estás listo para tomar? control de la seguridad de tus secretos? Comience hoy con GitGuardian.