La mayoría de las empresas actualmente utilizan aplicaciones digitales para poder realizar sus operaciones. Estas aplicaciones pueden ser desarrollos tanto internos como externos, en ambos casos requieren cumplir con los mayores niveles de ciberseguridad para que no pongan en riesgo los secretos empresariales.
Desarrollar una aplicación suele implicar un proceso complejo y que requiere mucho trabajo de planeación, muchas veces los equipos de desarrollo dejan de lado integrar desde el principio la revisión de la seguridad del código, esto puede ser por falta de conocimiento, o bien por falta de tiempo. En otras ocasiones los desarrolladores utilizan piezas de código que ya existente en las librerías de sistemas abiertos sin reparar en si estos son seguros o no.
Los secretos en el mundo de la ciberseguridad son, como su nombre lo indica, algo que tiene que permanecer privado y que no puede ser del conocimiento de otros, por lo que tiene que estar bien resguardado. En este tipo de entornos de desarrollos de aplicaciones se refiere a todas aquellas credenciales que ceden privilegios para acceder a sistemas, o a información sensible.
Estas llaves conservan el acceso a información que debe de ser resguardada, por ello, al igual que procuramos que la llave de nuestro hogar esté siempre con nosotros y en un lugar seguro, lo mismo debemos cuidar estas llaves de aplicaciones, contenedores, entornos de nube, o de DevOps, a través de una buena gestión de secretos.
De acuerdo con CyberArk algunos de los secretos más comunes son:
- Credenciales de cuentas con privilegios
- Contraseñas
- Certificados
- Claves SSH
- Claves de API
- Claves de cifrado
- Credenciales de aplicaciones tipo contenedor
- Credenciales de procesos de automatización
- Credenciales de aplicaciones
- Acceso a software de seguridad
El equipo encargado de la ciberseguridad de las organizaciones a menudo enfrenta retos importantes para gestionar los secretos, porque significa salvaguardar la información de muchos usuarios, que tienen acceso a diferentes aplicaciones y recursos en las organizaciones y cuando un ciberatacante logra tener acceso a estos secretos, es posible que el daño para la empresa sea mayor que la simple infección que pudiera tener con un malware u otro tipo de ataque, porque obtiene los secretos de identidades (no humanas) para acceder directamente a información que tiene mucho valor para las organizaciones.
Una filtración no autorizada a los secretos puede concretar un ataque a los procesos de automatización de una empresa y el coste puede ser muy alto. Es por ello por lo que es importante aplicar políticas de seguridad a identidades tanto humanas como no humanas, para evitar que alguien pueda obtener acceso a los recursos empresariales.
Los principales retos en la gestión de secretos
- Administración de un gran número de secretos
Los principales retos en la gestión de secretos provienen, por ejemplo, de ambientes con arquitectura multinube, esquemas híbridos, así como de entornos multiservicio. En todos estos ambientes existe comunicación maquina a máquina que es necesaria para el buen funcionamiento de la red, y para comunicarse es necesario que se generen diversas claves o secretos que son usadas de forma frecuente.
La descentralización y el gran número de estos secretos representa un reto importante para la organización debido a la carga administrativa que pueden representar, ya que pueden existir diversos repositorios de secretos en diferentes plataformas.
2. Falta de visibilidad:
Este último problema se relaciona con otro desafío común en la gestión de secretos que es la falta de visibilidad que también se ve reflejada en la carga operativa, ya que al vivir en diferentes plataformas puede ser difícil de visualizar cada uno de ellos para los equipos de administración, lo que puede ser complejo de gestionar.
3. Soluciones de bóveda:
Debido a la complejidad de los entornos resulta difícil configurar bóvedas de claves on-premise, o en nube, en donde muchas veces dependen de las configuraciones del proveedor y no admiten cargas que no correspondan a su ecosistema.
Si desea conocer más acerca de la gestión de secretos mántenganse al pendiente de nuestras futuras entradas de blog en las que detallaremos todas las características y soluciones relacionadas a este tema. O bien, si requiere alguna consultoría o solución en ciberseguridad consulte a alguno de nuestros especialistas.
