Los ataques de phishing se producen cuando los cibercriminales engañan a sus víctimas para que compartan información personal, como contraseñas o números de tarjetas de crédito,
Una gestión adecuada de los secretos de TI es esencial para proteger su organización de las amenazas cibernéticas, especialmente en entornos de DevOps, donde las herramientas de canalización de CI/CD comunes, como Jenkins, Ansible, Github Actions y Azure DevOps utilizan secretos para acceder a bases de datos, servidores SSH, servicios HTTP y otros sistemas altamente sensibles.
A pesar de la enorme importancia que tiene la gestión de secretos, el Informe del Censo de Seguridad Cibernética de 2022 elaborado por Keeper concluyó que cerca de una tercera parte de las organizaciones (32 %) carecen de una solución dedicada para proteger sus secretos. Además, nada menos que el 84 % de las organizaciones expresaron sus preocupaciones sobre los riesgos asociados con las credenciales codificadas en el código fuente, y el 25 % no tienen ningún software para eliminarlas.
¿Qué es DevSecOps?
Antes de definir DevSecOps, es necesario que entendamos lo que es DevOps. DevOps es una filosofía de desarrollo de software que pretende derribar muros entre el desarrollo de software y las operaciones de TI (de ahí el nombre: «Dev», que alude a «desarrollo» y «Ops», que hace referencia a «operaciones»). El objetivo es poder ofrecer un software de calidad en unos plazos más reducidos. DevOps complementa el desarrollo ágil de software y se apoya en gran medida en la automatización de los procesos a lo largo del ciclo de vida del desarrollo de software (el «SDLC», por sus siglas en inglés).
Sin embargo, DevOps no versa únicamente sobre el desarrollo y las operaciones, ya que no podemos perder de vista la seguridad, por la importancia que reviste. De ahí la introducción de DevSecOps, que busca integrar las iniciativas de seguridad en todos los niveles del SDLC para crear con agilidad aplicaciones robustas y seguras.
¿Qué es la gestión de secretos?
La gestión de secretos hace referencia a las herramientas y los métodos utilizados para gestionar las credenciales de autenticación con las que se accede a los sistemas con altos niveles de privilegios y a la información sensible.
A grandes rasgos, los secretos no son más que contraseñas. Sin embargo, a diferencia de otras contraseñas, los usuarios de los secretos son equipos y aplicaciones, nunca personas. He aquí los principales tipos de secretos:
- Credenciales de inicio de sesión no humanas (por ejemplo, para cuentas sensibles);
- Contraseñas para bases de datos y otras contraseñas de sistema a sistema;
- Claves criptográficas y de cifrado;
- Credenciales de acceso a los servicios en la nube;
- Claves de la interfaz de programación de aplicaciones (la «API», por sus siglas en inglés);
- Tokens de acceso; y
- Claves SSH (Secure Shell).
Además de proteger los secretos de TI de los agentes que representan amenazas cibernéticas, las ventajas que las soluciones de gestión de secretos ofrecen a los equipos de DevSecOps incluyen la visibilidad de su entorno de datos, lo que les ayuda a evitar la dispersión de secretos y a compartir secretos de forma segura.
Desafíos de la gestión de secretos para DevSecOps
Los equipos de DevSecOps se enfrentan a importantes riesgos y desafíos a la hora de gestionar secretos. Veamos los problemas más comunes.
1. Dispersión de secretos
La dispersión de secretos se produce cuando una organización almacena sus secretos en toda la red, sin utilizar ninguna solución para organizarlos, gestionarlos y protegerlos. Este problema se agrava por la adopción generalizada de aplicaciones SaaS y de modelos de desarrollo nativos en la nube, lo cual ha causado un aumento drástico del número de secretos que tienen las organizaciones, al tiempo que ha descentralizado su almacenamiento. En este tipo de entorno, los equipos de DevOps no tienen visibilidad ni políticas de gestión uniforme que necesitan para controlar sus secretos, lo cual amplía la superficie de ataque de la organización y aumenta el riesgo de una violación de datos.
2. Credenciales codificadas e integradas
Las credenciales codificadas o integradas desempeñan un papel importante tanto en la dispersión de secretos como en las violaciones de datos. Muchos dispositivos inteligentes, otras plataformas de hardware e incluso de software se suministran con credenciales codificadas de forma predeterminada. Se supone que dichas credenciales se deben cambiar antes de que se ponga en marcha el producto, pero si los equipos de DevSecOps no tienen visibilidad de su entorno de datos, ese cambio no siempre se lleva a cabo. Si implementamos los dispositivos y las aplicaciones sin cambiar las credenciales predeterminadas, los cibercriminales podrán acceder a ellos con facilidad mediante herramientas de exploración y el manual de instrucciones del dispositivo o la aplicación. Dichos manuales están disponibles online y contienen las credenciales predeterminadas.
Además, los desarrolladores a veces codifican los secretos en el código fuente. Se trata de un incumplimiento grave de las mejores prácticas de seguridad de las aplicaciones, pero los equipos de DevSecOps no pueden evitarlo de forma efectiva si no tienen visibilidad.
3. Conjuntos de herramientas múltiples y dispares
Muchas herramientas que se utilizan en los entornos de DevSecOps incluyen gestores de secretos integrados que permiten a los equipos eliminar las credenciales codificadas o integradas. Sin embargo, dichas herramientas de gestión de secretos son patentadas y solo funcionan con las soluciones con las que forman un mismo paquete, lo cual no resuelve el problema de la dispersión de secretos más amplio.
4. Prácticas deficientes de seguridad de contraseñas
Como se explicó anteriormente en este blog, los secretos no son más que otro tipo de contraseña, por lo que podrían verse afectados por los mismos problemas de seguridad que otras contraseñas. A veces, los secretos se almacenan en texto sin formato, lo que hace que el acceso a los secretos esté desprotegido. Los miembros del equipo pueden reutilizar secretos en varias aplicaciones o elegir secretos no seguros (por ejemplo, patrones en el teclado o palabras del diccionario). Los secretos no pueden modificarse ni revocarse cuando los empleados que tienen acceso a ellos se van de la empresa. Todos estos problemas aumentan de manera importante el riesgo de vulneración que podría causar una violación de datos.
Aspectos importantes de una solución de gestión de secretos de DevSecOps
La mejor forma de luchar contra la dispersión de secretos y evitar las violaciones de datos es utilizar una solución de gestión de secretos dedicada que incluya un cofre seguro y centralizado para almacenar secretos.
Al evaluar las soluciones de gestión de secretos de DevSecOps, analice las siguientes funcionalidades:
- Un modelo de implementación flexible: los entornos de datos actuales son muy complejos, con características únicas. Asegúrese de que su gestor de secretos funcione en todo su entorno, ya sea en las instalaciones, en la nube, en un entorno multinube o en una configuración híbrida.
- Cifrado AES: para proteger los secretos de forma efectiva, los gestores de secretos deben cifrar los datos tanto en tránsito como en reposo, pero eso no es todo. Asegúrese de que la solución que elija utilice cifrado AES de 256 bits, el estándar gold que utilizan los bancos y las agencias gubernamentales.
- Integración con otras aplicaciones y servicios: la solución de gestión de secretos de su organización debe integrarse a la perfección con los sistemas de CI/CD más comunes y con todas las demás herramientas que utilicen sus entornos de desarrollo.
Cómo Keeper protege los secretos de su empresa
Keeper Secrets Manager es una solución cloud-based zero-trust y zero-knowledge que ofrece a los equipos de DevSecOps un cofre centralizado, optimizado para los entornos de DevOps. Gracias a Keeper Secrets Manager, todos los servidores, los canales de CI/CD, los entornos de desarrollo y el código fuente pueden extraer secretos de un terminal de API seguro. Cada secreto se cifra con una clave AES de 256 bits, que luego se vuelve a cifrar con otra clave de aplicación AES-256.
Keeper Secrets Manager, una solución complementaria de la plataforma Enterprise Password Management (EPM) de Keeper, se integra en su cofre web, consola de administración y app de escritorio. También ofrece integraciones adicionales en el módulo de informes avanzados y alertas de Keeper, la herramienta de control de la dark web de BreachWatch, la integración SIEM, los webhooks y las soluciones de cumplimiento.
Solicite una demo de Keeper Secrets Manager para ver cómo su empresa puede poner fin a la dispersión de secretos y proteger su entorno.