El activo m\u00e1s preciado en la era de la informaci\u00f3n actual es el secreto protegido bajo llave y candado. Lamentablemente, mantener secretos se ha vuelto cada vez m\u00e1s desafiante, como lo destaca el Expansi\u00f3n del estado de los secretos en 2023<\/a> informe, el mayor an\u00e1lisis de la actividad p\u00fablica de GitHub. <\/p>\n El informe muestra un 67% de aumento a\u00f1o tras a\u00f1o<\/strong> en la cantidad de secretos encontrados, con 10 millones de secretos codificados detectados solo en 2022. Este aumento alarmante en los aspectos m\u00e1s destacados de la expansi\u00f3n de los secretos la necesidad de acci\u00f3n<\/strong> y subraya la importancia del desarrollo de software seguro.<\/p>\n La expansi\u00f3n de secretos se refiere a los secretos que aparecen en texto sin formato en varias fuentes, como el c\u00f3digo fuente, los scripts de compilaci\u00f3n, la infraestructura como c\u00f3digo, los registros, etc. entre desarrolladores, m\u00e1quinas, aplicaciones y sistemas de infraestructura aumenta la probabilidad de fugas.<\/p>\n Dos incidentes de seguridad cibern\u00e9tica de alto perfil que involucran a Uber y Toyota han subrayado la necesidad urgente de abordar el problema de la proliferaci\u00f3n de secretos y priorizar la seguridad del c\u00f3digo. A medida que crece la conciencia sobre este problema, es imperativo que las empresas prioricen la protecci\u00f3n de los secretos e inviertan en soluciones innovadoras que detecten y solucionen amenazas potenciales.<\/p>\n Uber sufri\u00f3 un ataque en el que un atacante obtuvo acceso a sistemas cr\u00edticos utilizando credenciales de administrador codificadas que se encuentran en un script de PowerShell. Por el contrario, Toyota expuso sin darse cuenta las credenciales que otorgaban acceso a los datos de los clientes en un repositorio p\u00fablico de GitHub durante casi cinco a\u00f1os. Ambos incidentes sirven como recordatorios evidentes de los riesgos asociados con la expansi\u00f3n de los secretos. Adem\u00e1s, como se\u00f1ala el informe, la mayor\u00eda de los incidentes de seguridad involucran, en alg\u00fan momento, secretos: pueden ser claves aprovechadas por los atacantes o expuestas a trav\u00e9s del c\u00f3digo fuente filtrado, por ejemplo.<\/p>\n Con 1 de cada 10 autores de c\u00f3digo<\/strong> Al exponer un secreto en 2022, es evidente que este problema trasciende los niveles de experiencia y afecta a los desarrolladores en todos los \u00e1mbitos. <\/p>\n La gesti\u00f3n de secretos est\u00e1 ganando cada vez m\u00e1s atenci\u00f3n a medida que m\u00e1s organizaciones examinan sus procesos de cadena de suministro de software tras una serie de infracciones de seguridad de alto perfil. Los equipos de ciberseguridad tradicionalmente se han centrado en identificar vulnerabilidades en lugar de descubrir credenciales mal protegidas. Como resultado, innumerables aplicaciones que se ejecutan en entornos de producci\u00f3n pueden tener problemas de gesti\u00f3n de secretos no descubiertos.<\/p>\n En un escenario perfecto, la adopci\u00f3n de las mejores pr\u00e1cticas de DevSecOps abordar\u00eda este problema creciente. Sin embargo, con la expansi\u00f3n constante de los repositorios de c\u00f3digo, aparecen errores m\u00e1s b\u00e1sicos. Al reconocer las vulnerabilidades de la cadena de suministro de software, los ciberdelincuentes escanean de forma proactiva los repositorios para encontrar secretos que podr\u00edan facilitar las violaciones de las aplicaciones.<\/p>\n Es probable que el problema empeore ya que se espera que aumenten los ataques a las cadenas de suministro de software.<\/strong>. A medida que la tecnolog\u00eda avanza y el c\u00f3digo se entrelaza m\u00e1s con nuestra vida diaria, los riesgos asociados con la expansi\u00f3n de los secretos se vuelven m\u00e1s apremiantes. <\/p>\n Se espera que el enfoque intensificado en asegurar las cadenas de suministro de software, especialmente a la luz de la Estrategia Nacional de Ciberseguridad de la administraci\u00f3n Biden, impulse a m\u00e1s organizaciones de TI a implementar medidas de seguridad de extremo a extremo dentro de sus ciclos de vida de desarrollo de software. Como resultado, los equipos de DevOps deben anticipar un mayor enfoque en la gesti\u00f3n de secretos por parte de los expertos en ciberseguridad.<\/p>\n Para combatir esta creciente amenaza, las organizaciones deben priorizar la protecci\u00f3n de sus secretos e invertir en soluciones para detectar y abordar posibles vulnerabilidades. <\/p>\n El crecimiento continuo del paradigma de todo como c\u00f3digo y la mercantilizaci\u00f3n de la infraestructura y los servicios digitales significa que el software, el c\u00f3digo y los secretos solo se volver\u00e1n m\u00e1s cr\u00edticos en sus operaciones comerciales diarias.<\/p>\n El riesgo de exposici\u00f3n de secretos no puede eliminarse por completo, incluso con sistemas centralizados de gesti\u00f3n de secretos. Pero se puede mitigar abordando las pr\u00e1cticas de higiene de secretos deficientes e implementando manuales de remediaci\u00f3n.<\/strong>.<\/p>\n Para medir cu\u00e1nto podr\u00eda aportar a su organizaci\u00f3n un programa de detecci\u00f3n y remediaci\u00f3n de secretos, puede utilizar nuestro programa gratuito Calculadora de valor<\/a> estimar el costo probable de no <\/em>lidiando con una deuda de seguridad que consiste en miles de secretos codificados en la actualidad.<\/p>\n Al aprender a vivir con este problema y poner en marcha las herramientas y los recursos adecuados, las empresas pueden reducir significativamente los riesgos asociados con secretos filtrados y explotados<\/a>.<\/p>\n En conclusi\u00f3n, la expansi\u00f3n de los secretos es una amenaza creciente que requiere la atenci\u00f3n inmediata de las organizaciones.<\/strong>. Con las herramientas y estrategias adecuadas, las empresas pueden mitigar los riesgos asociados con los secretos filtrados y explotados. Es hora de priorizar la gesti\u00f3n de secretos e invertir en soluciones innovadoras para garantizar que nuestros secretos permanezcan seguros y protegidos.<\/p>\n En un mundo donde la informaci\u00f3n es poder, es hora de actuar y garantizar que nuestros secretos permanezcan seguros bajo llave.<\/p>\n <\/p>\nLos incidentes de ciberseguridad resaltan los peligros de los secretos codificados <\/h2>\n
Un punto ciego importante en la seguridad de las aplicaciones<\/h2>\n
Adoptar medidas proactivas para mitigar los riesgos de expansi\u00f3n de secretos<\/h2>\n