Sai mantenere un segreto? E l’ambiente dati della tua organizzazione?
In una rete IT, un “segreto” è qualsiasi dato compatto che deve rimanere riservato. In genere, i segreti vengono utilizzati per l’autenticazione o come input a un algoritmo di crittografia. I segreti più comuni includono:
- Credenziali degli account privilegiati
- Chiavi SSH
- API e altre chiavi e credenziali delle applicazioni, inclusi quelli utilizzati all’interno di container, sistemi CI/CD, processi di automazione, software di protocollo desktop remoto (RDP) e persino software di sicurezza
- Password per database e altre password da sistema a sistema.
- TLS/SSL e altri certificati privati per comunicazioni sicure
- Chiavi di crittografia private
Poiché i segreti delle reti IT consentono di accedere a sistemi e dati con privilegi elevati la loro protezione è tanto fondamentale quanto quella delle password degli utenti finali per prevenire gli attacchi informatici. Circa il 75% degli attacchi ransomware sfrutta le credenziali compromesse, la maggior parte delle volte, credenziali RDP.
Come vengono compromessi i segreti
Una delle sfide più grandi per la gestione dei segreti è lo sprawl, che avviene quando le organizzazioni utilizzano un approccio ad hoc alla gestione dei segreti. Dipartimenti, team e singoli dipendenti gestiscono in modo indipendente i segreti sotto il loro controllo.
All’inizio questo approccio può sembrare ragionevole. Ad esempio, un nuovo microsito ha bisogno di accedere a un database. L’amministratore ha già un file di configurazione con dati sensibili, quindi perché non proteggere la chiave di accesso al database nello stesso file di configurazione e quindi assicurarsi che anche quel file sia protetto? Questo approccio funziona quando un’organizzazione ha un numero relativamente ridotto di segreti da proteggere.
Tuttavia, con la crescita delle organizzazioni, crescono anche i loro ambienti dati e i segreti al loro interno. Prima che il team IT se ne accorga, i segreti si sono moltiplicati come i Tribble di Star Trek (possono esserci migliaia di chiavi SSH) e vengono distribuiti in tutta la rete, senza un ordine particolare.
Le credenziali con codifica fissa o incorporate rappresentano un altro ostacolo alla gestione dei segreti. Molte soluzioni software, dispositivi IoT e altri hardware vengono venduti con credenziali predefinite con codifica fissa. Se questi dispositivi e queste app vengono distribuiti senza cambiare le credenziali predefinite, i criminali informatici possono facilmente accedervi utilizzando gli strumenti di scansione in combinazione con dizionari di forza bruta o altri attacchi basati su password, oppure possono semplicemente consultare il manuale del dispositivo o dell’app, che contiene le credenziali predefinite.
Negli ambienti DevOps, i più comuni strumenti di pipeline CI/CD come Jenkins, Ansible, Github Actions e Azure DevOps utilizzano i segreti per accedere a database, server SSH, servizi HTTP e altri sistemi sensibili. Questi segreti vengono archiviati in un file di configurazione per il sistema di distribuzione o in una delle dodici diverse casseforti di archiviazione, tutte con funzionalità molto diverse a seconda del prodotto. Se gli amministratori non archiviano le credenziali nei file o nei sistemi di configurazione, è probabile che queste vengano archiviate nei loro ambienti DevOps. In ogni caso, gli amministratori potrebbero avere o meno la possibilità di controllare o di ricevere avvisi sull’uso di questi segreti.
Nonostante alcuni strumenti includano gestori dei segreti integrati, che consentono alle organizzazioni di rimuovere le credenziali con codifica fissa/incorporate, i gestori dei segreti funzionano solo con questi strumenti, il che non risolve il problema dello sprawl.
Keeper Secrets Manager: sicurezza zero-trust e zero-knowledge per i segreti della tua rete
Keeper è lieta di annunciare il lancio di Keeper Secrets Manager, la prima e unica soluzione zero-trust e zero-knowledge basata sul cloud per la protezione dei segreti dell’infrastruttura. Keeper Secrets Manager è completamente gestito e utilizza una nuova architettura di sicurezza in attesa di brevetto. Inoltre, sfrutta lo stesso modello di sicurezza zero-knowledge dell’Enterprise Password Management (EPM) di Keeper.
Con Keeper Secrets Manager, tutti i server, le pipeline CI/CD, gli ambienti degli sviluppatori e il codice sorgente estraggono i segreti da un endpoint API sicuro. Ogni segreto viene crittografato con una chiave AES a 256 bit, a sua volta crittografata da un’altra chiave dell’applicazione AES-256. Il dispositivo client recupera il testo cifrato dal cloud Keeper e i segreti vengono decrittografati e utilizzati in locale sul dispositivo, non sui server Keeper.
Ready to see Keeper Secrets Manager for yourself?
Talk to an Expert
Inoltre, tutte le richieste dei server vengono ulteriormente crittografate con una chiave di trasmissione AES-256, in aggiunta al metodo TLS, in modo da prevenire gli attacchi MITM o di replay. Se stai tenendo il conto, sono un sacco di chiavi di crittografia! Questa crittografia a più livelli viene gestita in modo trasparente attraverso i nostri SDK lato client, facili da integrare in qualsiasi ambiente.
Mentre le soluzioni di gestione dei segreti della concorrenza richiedono ai clienti di acquistare hardware speciale, installare un servizio proxy o utilizzare un fornitore di servizi cloud specifico, Keeper Secrets Manager si integra perfettamente in quasi tutti gli ambienti dati, senza richiedere hardware aggiuntivo o infrastrutture ospitate nel cloud. Offre integrazioni pronte all’uso con un’ampia varietà di strumenti DevOps, tra cui Github Actions, Kubernetes, Ansible e altro ancora.
Keeper Secrets Manager è una naturale estensione di Keeper enterprise password manager (EPM). È incorporato nella cassaforte web, nell’app desktop e nella console di amministrazione di Keeper, con integrazioni nel modulo di segnalazione e avvisi avanzati di Keeper, nei moduli BreachWatch, nei webhook, nell’integrazione SIEM e negli strumenti di conformità. Ad esempio, tutte le credenziali con codice fisso o incorporate archiviate nella Keeper Vault di un’organizzazione verranno scansionate tramite BreachWatch e gli amministratori IT saranno avvisati se una di queste credenziali dovesse venire compromessa.
Scopri di più su Keeper Secrets Manager e richiedi una demo!