La gestión deficiente de datos secretos corporativos ha sido durante mucho tiempo un desafío en la industria de TI, especialmente con credenciales comprometidas y secretos que se clasifican regularmente entre los principales factores involucrados en incidentes de seguridad en reportes de líderes, como IBM.
Sin embargo, con la llegada de los ecosistemas nativos de la nube y las prácticas de DevSecOps, la expansión de la mala gestión de secretos se ha visto exacerbada. Las organizaciones que producen estudios sobre el tema, como GitGuardian, descubrieron que hay más de 6 millones de datos secretos expuestos en repositorios públicos de GitHub solo en 2021, el doble que el año anterior.
La mayoría de los problemas relacionados con la gestión deficiente de datos secretos y la exposición de credenciales se pueden atribuir a prácticas ineficaces o inexistentes de inventario de secretos, centralización de enfoques de gestión de secretos organizacionales y falta de concienciación entre el personal. Con la introducción de contenedores e Infraestructura como código (IaC), junto con el código de la aplicación, el problema solo se está acelerando.
Las fases de su plan de acción
Dado que este problema es tan generalizado, las organizaciones deben estar preparadas no para cuando ocurra una fuga de credenciales o una exposición secreta, sino para qué hacer cuando ocurra. Necesitan tener procesos establecidos e incluso ejercitarlos con anticipación para que puedan responder y mitigar el impacto no solo para ellos mismos sino también para sus clientes y socios comerciales. Estas prácticas se relacionan con tener un Plan de Respuesta a Incidentes (IRP) organizacional más amplio.
Al igual que otras actividades de IR, implicará un plan que se desarrolla en fases, como preparación, identificación, contención, erradicación y recuperación. También implicará capturar las lecciones aprendidas y reforzar las prácticas de gestión de secretos existentes para evitar que la situación vuelva a ocurrir y también mejorar las actividades de IR de gestión de secretos que pueden no haber ido bien durante el incidente anterior.
Preparación
Durante la preparación, se identificará a los miembros del equipo involucrados en las actividades y las rutas de escalada asociadas con la respuesta. También debe asegurarse de que existan suficientes mecanismos de registro para respaldar sus actividades de IR e identificar si las credenciales comprometidas se utilizan o se han utilizado. Esto ayudará a dar una idea de las actividades de los actores malintencionados.
Identificación
En la fase de identificación, debe determinarse el método inicial por el cual se comprometió el secreto o las credenciales. Esto puede involucrar humanos y métodos de ingeniería social o actividades técnicas para encontrar secretos expuestos.
Cuando haya identificado el método utilizado para llegar al compromiso, ahora cuenta con información para buscar también a otras víctimas. Esto podría involucrar información de otro personal o telemetrías técnicas, como registros del sistema y de acceso. Al usar estos registros, puede ver para qué se usaron las credenciales y qué otros sistemas, datos o usuarios pueden verse afectados.
Contención
A través de la contención, comenzará a mitigar el impacto y aislar su alcance de su organización e infraestructura más amplias. Puede revocar las credenciales y los secretos comprometidos para que ya no se pueda abusar de ellos y revocar temporal o permanentemente las credenciales, los tokens o los secretos asociados con las actividades. Los sistemas involucrados en las actividades se pueden identificar y aislar para evitar cualquier impacto adicional en su organización.
Recuperación
A partir de estos pasos, sus procesos involucran la preservación de evidencia asociada con el compromiso. También implican la reconstrucción potencial de los sistemas y la infraestructura que pueden haber estado involucrados y que no pueden verse comprometidos. Las organizaciones pueden restaurar, a partir de imágenes del sistema, copias de seguridad, instantáneas y otros métodos, cuando los sistemas aún no se habían visto comprometidos y se encuentran en un estado “bueno conocido”.
Las organizaciones deben estar preparadas para notificar a los clientes y socios si el compromiso pone en riesgo sus datos o sistemas. Esto es cada vez más común con datos confidenciales o clientes si opera como proveedor de servicios administrados (MSP) o proveedor de servicios en la nube (CSP).
Mejorar la gestión de sus secretos
Las organizaciones también pueden capturar las lecciones aprendidas del incidente para mejorar tanto su gestión de secretos como su capacidad para responder a futuros incidentes.
Esto es, por supuesto, una gran simplificación y una descripción general de un proceso complejo, especialmente según la naturaleza de su infraestructura y el tamaño de la organización y el compromiso. Dicho esto, las organizaciones definitivamente deberían recurrir a la guía, como la Guía de manejo de incidentes de seguridad informática 800-61 del NIST , así como a la guía de los líderes de la industria, como SANS, para formalizar y reforzar realmente sus capacidades de IR.
Autor: Chris Hughes