¿Sabes dónde están tus secretos? Si no, te puedo decir: no estás solo.
Cientos de CISO, CSO y líderes de seguridad, ya sean de pequeñas o grandes empresas, tampoco lo saben. No importa el tamaño de la organización, las certificaciones, las herramientas, las personas y los procesos: los secretos no son visibles en el 99% de los casos.
Puede sonar ridículo al principio: guardar secretos es un primer pensamiento obvio cuando se piensa en la seguridad en el ciclo de vida del desarrollo. Ya sea en la nube o en las instalaciones, sabe que sus secretos se almacenan de forma segura detrás de puertas duras a las que pocas personas pueden acceder. No es solo una cuestión de sentido común, ya que también es un requisito de cumplimiento esencial para las auditorías y certificaciones de seguridad.
Los desarrolladores que trabajan en su organización son muy conscientes de que los secretos deben manejarse con especial cuidado. Han implementado herramientas y procedimientos específicos para crear, comunicar y rotar correctamente las credenciales humanas o de máquinas.
Aún así, ¿sabes dónde están tus secretos?
Los secretos se extienden por todas partes en sus sistemas, y más rápido de lo que la mayoría se da cuenta. Los secretos se copian y pegan en archivos de configuración, scripts, código fuente o mensajes privados sin pensarlo mucho. Piénselo: un desarrollador codifica una clave API para probar un programa rápidamente y accidentalmente confirma y envía su trabajo a un repositorio remoto. ¿Confía en que el incidente se pueda detectar a tiempo?
Las capacidades insuficientes de auditoría y remediación son algunas de las razones por las que la gestión de secretos es difícil. También son los menos abordados por los marcos de seguridad. Sin embargo, estas áreas grises, donde las vulnerabilidades invisibles permanecen ocultas durante mucho tiempo, son agujeros evidentes en sus capas de defensa.
Al reconocer esta brecha, desarrollamos una herramienta de autoevaluación para evaluar el tamaño de esta incógnita. Para hacer un balance de su verdadero postura de seguridad con respecto a los secretos en su organización, tómese cinco minutos para responder las ocho preguntas (es completamente anónimo).
Entonces, ¿cuánto no conocer tus secretos?
Modelo de madurez de gestión de secretos
La gestión sólida de secretos es una táctica defensiva crucial que requiere cierta reflexión para crear una postura de seguridad integral. Creamos un marco (puede encontrar el libro blanco aquí) para ayudar a los líderes de seguridad a dar sentido a su postura real y adoptar prácticas de gestión de secretos empresariales más maduras en tres fases:
- Evaluación de los riesgos de fuga de secretos
- Establecimiento de flujos de trabajo de gestión de secretos modernos
- Creación de una hoja de ruta para la mejora en áreas frágiles
El punto fundamental que aborda este modelo es que la gestión de secretos va mucho más allá de cómo la organización almacena y distribuye secretos. Es un programa que no necesita alinear personas, herramientas y procesos, sino también tener en cuenta el error humano. Los errores son no evitable! Sus consecuencias son. Es por eso que las herramientas y políticas de detección y remediación, junto con el almacenamiento y la distribución de secretos, forman los pilares de nuestro modelo de madurez.
El modelo de madurez de gestión de secretos considera cuatro superficies de ataque del ciclo de vida de DevOps:
- Entornos de desarrollador
- Repositorios de código fuente
- Canalizaciones y artefactos de CI/CD
- Entornos de tiempo de ejecución
Luego construimos un aumento de madurez en cinco niveles, desde 0 (No iniciado) a 4 (Experto). Ir de 0 a 1 se trata principalmente de evaluar los riesgos que plantean las prácticas de desarrollo de software inseguras y comenzar a auditar los activos digitales en busca de credenciales codificadas. En el nivel intermedio (nivel 2), el análisis de secretos es más sistemático y los secretos se comparten con cautela a lo largo del ciclo de vida de DevOps. Los niveles 3 (Avanzado) y 4 (Experto) se centran en la mitigación de riesgos con políticas más claras, mejores controles y una mayor responsabilidad compartida para remediar incidentes.
Otra consideración central para este marco es que dificultar el uso de secretos en un contexto DevOps conducirá inevitablemente a la omisión de las capas protectoras existentes. Como con todo lo demás en seguridad, las respuestas se encuentran entre la protección y la flexibilidad. Es por eso que el uso de un administrador de bóveda/secretos comienza solo en el nivel intermedio. La idea es que el uso de un administrador de secretos no debe verse como una solución independiente, sino como una capa adicional de defensa. Para ser efectivo, requiere que otros procesos, como el escaneo continuo de solicitudes de extracción, sean lo suficientemente maduros.
Aquí hay algunas preguntas que este modelo debería plantear para ayudarlo a evaluar su madurez: ¿con qué frecuencia se rotan sus secretos de producción? ¿Qué tan fácil es rotar secretos? ¿Cómo se distribuyen los secretos en la fase de desarrollo, integración y producción? ¿Qué medidas se implementan para evitar la difusión insegura de credenciales en las máquinas locales? ¿Las credenciales de las canalizaciones de CI/CD se adhieren al principio de privilegios mínimos? ¿Cuáles son los procedimientos establecidos para cuando (no si) se filtran secretos?
La revisión de su postura de gestión de secretos debería ser una prioridad en 2023. En primer lugar, todos los que trabajan con código fuente tienen que manejar secretos, si no a diario, al menos de vez en cuando. Los secretos ya no son prerrogativa de los ingenieros de seguridad o DevOps. Son requeridos por más y más personas, desde ingenieros de ML, científicos de datos, producto, operaciones y aún más. En segundo lugar, si no encuentra dónde están sus secretos, los piratas informáticos lo harán.
Los hackers encontrarán tus secretos
No se pueden subestimar los riesgos que corren las organizaciones que no adoptan prácticas maduras de gestión de secretos. Los entornos de desarrollo, los repositorios de código fuente y las canalizaciones de CI/CD se han convertido en los objetivos favoritos de los piratas informáticos, para quienes los secretos son una puerta de entrada al movimiento lateral y al compromiso.
Los ejemplos recientes destacan la fragilidad de la gestión de secretos incluso en las organizaciones tecnológicamente más maduras.
En septiembre de 2022, un atacante obtuvo acceso a la red interna de Uber, donde encontró credenciales de administrador codificadas en una unidad de red. Los secretos se usaron para iniciar sesión en la plataforma de administración de acceso privilegiado de Uber, donde se almacenaron muchas más credenciales de texto sin formato en archivos y scripts. Luego, el atacante pudo hacerse cargo de las cuentas de administrador en AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne y más.
En agosto del mismo año, el administrador de contraseñas LastPass fue víctima de un atacante que obtuvo acceso a su entorno de desarrollo al robar las credenciales de un desarrollador de software y hacerse pasar por esa persona. Más tarde en diciembre, la empresa reveló que alguien usó esa información para robar el código fuente y los datos de los clientes.
De hecho, en 2022, las filtraciones de código fuente han demostrado ser un verdadero campo minado para las organizaciones: NVIDIA, Samsung, Microsoft, Dropbox, Okta y Slack, entre otras, han sido víctimas de filtraciones de código fuente. En mayo, advertíamos sobre el importante volumen de credenciales que se podrían recolectar al analizar estas bases de código. Armados con estos, los atacantes pueden aprovechar y pivotar en cientos de sistemas dependientes en lo que se conoce como ataques a la cadena de suministro.
Finalmente, incluso más recientemente, en enero de 2023, también se violó el proveedor de integración continua CircleCI, lo que llevó al compromiso de cientos de variables, tokens y claves del entorno del cliente. La compañía instó a sus clientes a cambiar de inmediato sus contraseñas, claves SSH o cualquier otro secreto almacenado o administrado por la plataforma. Aún así, las víctimas deben averiguar dónde están estos secretos y cómo se utilizan para presionar el botón de emergencia.
Este fue un caso sólido para tener un plan de emergencia listo para funcionar.
La lección de todos estos incidentes es que los atacantes se han dado cuenta de que comprometer las identidades de máquinas o humanos da un mayor retorno de la inversión. Son todas señales de advertencia de la urgencia. para tratar con credenciales codificadas y desempolvar la gestión de secretos en general.
última palabra
Tenemos un dicho en ciberseguridad: «el cifrado es fácil, pero la gestión de claves es difícil». Esto sigue siendo cierto hoy en día, aunque ya no se trata solo de claves de cifrado. Nuestro mundo de servicios hiperconectados se basa en cientos de tipos de claves o secretos para funcionar correctamente. Estos podrían ser otros tantos vectores de ataque potenciales si se gestionan mal.
Saber dónde están sus secretos, no solo en teoría sino en la práctica, y cómo se utilizan a lo largo de la cadena de desarrollo de software es crucial para la seguridad. Para ayudarlo, creamos un modelo de madurez específicamente sobre la distribución de secretos, la detección de fugas, el proceso de remediación y los hábitos de rotación.
El primer paso siempre es obtener una auditoría clara de la postura de seguridad de la organización con respecto a los secretos: ¿dónde y cómo se utilizan? ¿Dónde se filtran? ¿Cómo prepararse para lo peor? Esto solo podría resultar ser un salvavidas en una situación de emergencia. Descubra cuál es su posición con respecto a la cuestionario y aprender a dónde ir desde allí con el papel blanco.
A raíz de los recientes ataques a los entornos de desarrollo y las herramientas comerciales, las empresas que quieran defenderse de manera efectiva deben asegurarse de que las áreas grises de su ciclo de desarrollo se eliminen lo antes posible.