\u00bfSabes d\u00f3nde est\u00e1n tus secretos? Si no, te puedo decir: no est\u00e1s solo.<\/p>\n
Cientos de CISO, CSO y l\u00edderes de seguridad, ya sean de peque\u00f1as o grandes empresas, tampoco lo saben. No importa el tama\u00f1o de la organizaci\u00f3n, las certificaciones, las herramientas, las personas y los procesos: los secretos no son visibles en el 99% de los casos.<\/p>\n
Puede sonar rid\u00edculo al principio: guardar secretos es un primer pensamiento obvio cuando se piensa en la seguridad en el ciclo de vida del desarrollo. Ya sea en la nube o en las instalaciones, sabe que sus secretos se almacenan de forma segura detr\u00e1s de puertas duras a las que pocas personas pueden acceder. No es solo una cuesti\u00f3n de sentido com\u00fan, ya que tambi\u00e9n es un requisito de cumplimiento esencial para las auditor\u00edas y certificaciones de seguridad.<\/p>\n
Los desarrolladores que trabajan en su organizaci\u00f3n son muy conscientes de que los secretos deben manejarse con especial cuidado. Han implementado herramientas y procedimientos espec\u00edficos para crear, comunicar y rotar correctamente las credenciales humanas o de m\u00e1quinas.<\/p>\n
A\u00fan as\u00ed, \u00bfsabes d\u00f3nde est\u00e1n tus secretos? <\/p>\n
Los secretos se extienden por todas partes en sus sistemas, y m\u00e1s r\u00e1pido de lo que la mayor\u00eda se da cuenta. Los secretos se copian y pegan en archivos de configuraci\u00f3n, scripts, c\u00f3digo fuente o mensajes privados sin pensarlo mucho. Pi\u00e9nselo: un desarrollador codifica una clave API para probar un programa r\u00e1pidamente y accidentalmente confirma y env\u00eda su trabajo a un repositorio remoto. \u00bfConf\u00eda en que el incidente se pueda detectar a tiempo?<\/p>\n
Las capacidades insuficientes de auditor\u00eda y remediaci\u00f3n son algunas de las razones por las que la gesti\u00f3n de secretos es dif\u00edcil. Tambi\u00e9n son los menos abordados por los marcos de seguridad. Sin embargo, estas \u00e1reas grises, donde las vulnerabilidades invisibles permanecen ocultas durante mucho tiempo, son agujeros evidentes en sus capas de defensa. <\/p>\n
Al reconocer esta brecha, desarrollamos una herramienta de autoevaluaci\u00f3n para evaluar el tama\u00f1o de esta inc\u00f3gnita. Para hacer un balance de su verdadero<\/em> postura de seguridad con respecto a los secretos en su organizaci\u00f3n, t\u00f3mese cinco minutos para responder las ocho preguntas<\/a> (es completamente an\u00f3nimo).<\/p>\n Entonces, \u00bfcu\u00e1nto no<\/em> conocer tus secretos? <\/p>\n La gesti\u00f3n s\u00f3lida de secretos es una t\u00e1ctica defensiva crucial que requiere cierta reflexi\u00f3n para crear una postura de seguridad integral. Creamos un marco (puede encontrar el libro blanco aqu\u00ed<\/a>) para ayudar a los l\u00edderes de seguridad a dar sentido a su postura real y adoptar pr\u00e1cticas de gesti\u00f3n de secretos empresariales m\u00e1s maduras en tres fases:<\/p>\n El punto fundamental que aborda este modelo es que la gesti\u00f3n de secretos va mucho m\u00e1s all\u00e1 de c\u00f3mo la organizaci\u00f3n almacena y distribuye secretos. Es un programa que no necesita alinear personas, herramientas y procesos, sino tambi\u00e9n tener en cuenta el error humano. Los errores son no<\/em> evitable! Sus consecuencias son. Es por eso que las herramientas y pol\u00edticas de detecci\u00f3n y remediaci\u00f3n, junto con el almacenamiento y la distribuci\u00f3n de secretos, forman los pilares de nuestro modelo de madurez.<\/p>\n El modelo de madurez de gesti\u00f3n de secretos considera cuatro superficies de ataque del ciclo de vida de DevOps: <\/p>\n Luego construimos un aumento de madurez en cinco niveles, desde 0 (No iniciado) a 4 (Experto). Ir de 0 a 1 se trata principalmente de evaluar los riesgos que plantean las pr\u00e1cticas de desarrollo de software inseguras y comenzar a auditar los activos digitales en busca de credenciales codificadas. En el nivel intermedio (nivel 2), el an\u00e1lisis de secretos es m\u00e1s sistem\u00e1tico y los secretos se comparten con cautela a lo largo del ciclo de vida de DevOps. Los niveles 3 (Avanzado) y 4 (Experto) se centran en la mitigaci\u00f3n de riesgos con pol\u00edticas m\u00e1s claras, mejores controles y una mayor responsabilidad compartida para remediar incidentes.<\/p>\n Otra consideraci\u00f3n central para este marco es que dificultar el uso de secretos en un contexto DevOps conducir\u00e1 inevitablemente a la omisi\u00f3n de las capas protectoras existentes. Como con todo lo dem\u00e1s en seguridad, las respuestas se encuentran entre la protecci\u00f3n y la flexibilidad. Es por eso que el uso de un administrador de b\u00f3veda\/secretos comienza solo en el nivel intermedio. La idea es que el uso de un administrador de secretos no debe verse como una soluci\u00f3n independiente, sino como una capa adicional de defensa. Para ser efectivo, requiere que otros procesos, como el escaneo continuo de solicitudes de extracci\u00f3n, sean lo suficientemente maduros.<\/p>\n Aqu\u00ed hay algunas preguntas que este modelo deber\u00eda plantear para ayudarlo a evaluar su madurez: \u00bfcon qu\u00e9 frecuencia se rotan sus secretos de producci\u00f3n? \u00bfQu\u00e9 tan f\u00e1cil es rotar secretos? \u00bfC\u00f3mo se distribuyen los secretos en la fase de desarrollo, integraci\u00f3n y producci\u00f3n? \u00bfQu\u00e9 medidas se implementan para evitar la difusi\u00f3n insegura de credenciales en las m\u00e1quinas locales? \u00bfLas credenciales de las canalizaciones de CI\/CD se adhieren al principio de privilegios m\u00ednimos? \u00bfCu\u00e1les son los procedimientos establecidos para cuando (no si) se filtran secretos?<\/p>\n La revisi\u00f3n de su postura de gesti\u00f3n de secretos deber\u00eda ser una prioridad en 2023. En primer lugar, todos los que trabajan con c\u00f3digo fuente tienen que manejar secretos, si no a diario, al menos de vez en cuando. Los secretos ya no son prerrogativa de los ingenieros de seguridad o DevOps. Son requeridos por m\u00e1s y m\u00e1s personas, desde ingenieros de ML, cient\u00edficos de datos, producto, operaciones y a\u00fan m\u00e1s. En segundo lugar, si no encuentra d\u00f3nde est\u00e1n sus secretos, los piratas inform\u00e1ticos lo har\u00e1n.<\/p>\n No se pueden subestimar los riesgos que corren las organizaciones que no adoptan pr\u00e1cticas maduras de gesti\u00f3n de secretos. Los entornos de desarrollo, los repositorios de c\u00f3digo fuente y las canalizaciones de CI\/CD se han convertido en los objetivos favoritos de los piratas inform\u00e1ticos, para quienes los secretos son una puerta de entrada al movimiento lateral y al compromiso. <\/p>\n Los ejemplos recientes destacan la fragilidad de la gesti\u00f3n de secretos incluso en las organizaciones tecnol\u00f3gicamente m\u00e1s maduras.<\/p>\n En septiembre de 2022, un atacante obtuvo acceso a la red interna de Uber, donde encontr\u00f3 credenciales de administrador codificadas en una unidad de red. Los secretos se usaron para iniciar sesi\u00f3n en la plataforma de administraci\u00f3n de acceso privilegiado de Uber, donde se almacenaron muchas m\u00e1s credenciales de texto sin formato en archivos y scripts. Luego, el atacante pudo hacerse cargo de las cuentas de administrador en AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne y m\u00e1s.<\/p>\n En agosto del mismo a\u00f1o, el administrador de contrase\u00f1as LastPass fue v\u00edctima de un atacante que obtuvo acceso a su entorno de desarrollo al robar las credenciales de un desarrollador de software y hacerse pasar por esa persona. M\u00e1s tarde en diciembre, la empresa revel\u00f3 que alguien us\u00f3 esa informaci\u00f3n para robar el c\u00f3digo fuente y los datos de los clientes.<\/p>\n De hecho, en 2022, las filtraciones de c\u00f3digo fuente han demostrado ser un verdadero campo minado para las organizaciones: NVIDIA, Samsung, Microsoft, Dropbox, Okta y Slack, entre otras, han sido v\u00edctimas de filtraciones de c\u00f3digo fuente. En mayo, advert\u00edamos sobre el importante volumen de credenciales que se podr\u00edan recolectar al analizar estas bases de c\u00f3digo. Armados con estos, los atacantes pueden aprovechar y pivotar en cientos de sistemas dependientes en lo que se conoce como ataques a la cadena de suministro<\/a>.<\/p>\n Finalmente, incluso m\u00e1s recientemente, en enero de 2023, tambi\u00e9n se viol\u00f3 el proveedor de integraci\u00f3n continua CircleCI, lo que llev\u00f3 al compromiso de cientos de variables, tokens y claves del entorno del cliente. La compa\u00f1\u00eda inst\u00f3 a sus clientes a cambiar de inmediato sus contrase\u00f1as, claves SSH o cualquier otro secreto almacenado o administrado por la plataforma. A\u00fan as\u00ed, las v\u00edctimas deben averiguar d\u00f3nde est\u00e1n estos secretos y c\u00f3mo se utilizan para presionar el bot\u00f3n de emergencia.<\/p>\n Este fue un caso s\u00f3lido para tener un plan de emergencia listo para funcionar.<\/p>\n La lecci\u00f3n de todos estos incidentes es que los atacantes se han dado cuenta de que comprometer las identidades de m\u00e1quinas o humanos da un mayor retorno de la inversi\u00f3n. Son todas se\u00f1ales de advertencia de la urgencia. para tratar con credenciales codificadas<\/a> y desempolvar la gesti\u00f3n de secretos en general.<\/p>\n Tenemos un dicho en ciberseguridad: “el cifrado es f\u00e1cil, pero la gesti\u00f3n de claves es dif\u00edcil”. Esto sigue siendo cierto hoy en d\u00eda, aunque ya no se trata solo de claves de cifrado. Nuestro mundo de servicios hiperconectados se basa en cientos de tipos de claves o secretos para funcionar correctamente. Estos podr\u00edan ser otros tantos vectores de ataque potenciales si se gestionan mal. <\/p>\n Saber d\u00f3nde est\u00e1n sus secretos, no solo en teor\u00eda sino en la pr\u00e1ctica, y c\u00f3mo se utilizan a lo largo de la cadena de desarrollo de software es crucial para la seguridad. Para ayudarlo, creamos un modelo de madurez espec\u00edficamente sobre la distribuci\u00f3n de secretos, la detecci\u00f3n de fugas, el proceso de remediaci\u00f3n y los h\u00e1bitos de rotaci\u00f3n. <\/p>\n El primer paso siempre es obtener una auditor\u00eda clara de la postura de seguridad de la organizaci\u00f3n con respecto a los secretos: \u00bfd\u00f3nde y c\u00f3mo se utilizan? \u00bfD\u00f3nde se filtran? \u00bfC\u00f3mo prepararse para lo peor? Esto solo podr\u00eda resultar ser un salvavidas en una situaci\u00f3n de emergencia. Descubra cu\u00e1l es su posici\u00f3n con respecto a la cuestionario<\/a> y aprender a d\u00f3nde ir desde all\u00ed con el papel blanco<\/a>.<\/p>\n A ra\u00edz de los recientes ataques a los entornos de desarrollo y las herramientas comerciales, las empresas que quieran defenderse de manera efectiva deben asegurarse de que las \u00e1reas grises de su ciclo de desarrollo se eliminen lo antes posible.<\/p>\n <\/p>\nModelo de madurez de gesti\u00f3n de secretos<\/h2>\n
\n
\n
Los hackers encontrar\u00e1n tus secretos<\/h2>\n
\u00faltima palabra<\/h2>\n