Hoy en día, las organizaciones automatizan muchos procesos empresariales y flujos de trabajo clave utilizando herramientas como la automatización de procesos robóticos (RPA) y, recientemente, asistentes de IA. Al igual que los usuarios humanos, estas entidades no humanas necesitan credenciales, a menudo llamadas "secretos", para acceder a los recursos de la organización.
Los usuarios no humanos suelen necesitar privilegios elevados para completar sus tareas. Por ejemplo, un proceso de copia de seguridad automatizado puede tener acceso a archivos confidenciales y configuraciones del sistema.
Estas cuentas privilegiadas no humanas son objetivos de gran valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas críticos mientras evaden la detección. De hecho, el secuestro de cuentas válidas es el vector de ciberataque más común en la actualidad, según el IBM X-Force Threat Intelligence Index. Estos ataques representan el 30 % de todos los incidentes a los que X-Force ha respondido recientemente.
Los sistemas y procesos de gestión de secretos permiten a las organizaciones crear, controlar y asegurar los secretos que las entidades no humanas utilizan para acceder a los recursos de TI. Mediante el uso de herramientas de gestión de secretos para gestionar y proteger las credenciales no humanas a lo largo de todo su ciclo de vida integral, las organizaciones pueden agilizar los flujos de trabajo automatizados al tiempo que evitan la vulneración de datos, la manipulación, el robo y otros accesos no autorizados.
Un secreto es una credencial digital contenida dentro de una aplicación o servicio que permite a los usuarios no humanos comunicarse y realizar acciones en un servicio, base de datos, aplicación u otro recurso de TI. Los secretos ayudan a las organizaciones a reforzar su posición de seguridad al garantizar que solo los usuarios autorizados tengan acceso a datos y sistemas confidenciales.
Los ejemplos de secretos incluyen, pero no se limitan a:
Las herramientas de gestión de secretos de nivel empresarial ayudan a las organizaciones a detectar, prevenir y corregir el acceso no autorizado y el uso indebido de datos y sistemas confidenciales, como la información de identificación personal (PII). Las organizaciones pueden reducir el riesgo de vulneraciones de datos y robos de datos, lo que evita la pérdida de datos valiosos, posibles multas y daños a la reputación.
La administración de secretos es uno de los pilares de la administración de acceso privilegiado (PAM), el subconjunto de la gestión de identidades y accesos (IAM) que se centra en proteger las cuentas y los usuarios con privilegios.
Los otros tres pilares de PAM son:
La gestión de secretos es importante para la metodología DevOps, que hace hincapié en la entrega automatizada y continua de software.
Los equipos de DevOps a menudo utilizan múltiples herramientas de configuración u orquestación para gestionar ecosistemas digitales, flujos de trabajo y endpoints completos. Las herramientas a menudo utilizan automatización y scripts que requieren acceso a secretos para iniciarse. Sin un servicio de gestión de secretos de nivel empresarial, el uso aleatorio de secretos podría aumentar la vulnerabilidad del sistema.
Muchas organizaciones integran funciones de gestión de secretos en la canalización de integración continua y entrega continua, o canalización CI/CD. Esto ayuda a garantizar que todas las partes móviles (desarrolladores, herramientas y procesos automatizados) tengan acceso seguro a los sistemas sensibles que necesitan cuando lo necesitan.
La gestión de secretos se considera un componente central de DevSecOps, una evolución de la metodología DevOps que integra y automatiza continuamente la seguridad a lo largo del ciclo de vida de DevOps.
El proceso de gestión de secretos suele basarse en herramientas de gestión de secretos. Estas herramientas, que pueden implementarse en entornos locales o como servicios en la nube, pueden ayudar a centralizar, automatizar y agilizar la creación, el uso, la rotación y la protección de secretos.
Algunas capacidades comunes de las herramientas de gestión de secretos incluyen:
Con un servicio de gestión de secretos de nivel empresarial, las organizaciones pueden gestionar varios tipos de secretos en un único panel.
En lugar de dejar que los usuarios individuales gestionen los secretos en pequeños silos, las soluciones de gestión de secretos pueden almacenar los secretos en una ubicación central y segura denominada "bóveda secretas".
Cuando un usuario autorizado necesita acceder a un sistema sensible, puede obtener el secreto correspondiente de la bóveda. La herramienta de gestión de secretos puede verificar, autorizar y conceder automáticamente a los usuarios los permisos que necesitan para llevar a cabo sus flujos de trabajo.
La estandarización puede ayudar a prevenir la proliferación de secretos. La dispersión de secretos se produce cuando los secretos se almacenan en varios lugares de una organización, a menudo codificados en aplicaciones o como texto sin formato en un documento compartido. La proliferación de secretos dificulta proteger los secretos de actores maliciosos y rastrear cómo se utilizan los secretos.
Los secretos creados en un gestor de secretos pueden ser estáticos o dinámicos. Un secreto estático es un secreto que permanece válido durante mucho tiempo, generalmente hasta que se modifica manualmente o alcanza una fecha de vencimiento predeterminada.
En cambio, un secreto dinámico es creado por el gestor de secretos a petición, en el momento en que se necesita. Los secretos dinámicos caducan con bastante rapidez. Incluso pueden ser de un solo uso.
Un caso de uso de un secreto dinámico sería proteger un recurso confidencial mediante la generación dinámica de claves de API cada vez que se lee o se accede a ese recurso. Esto ayuda a garantizar que los actores malintencionados no puedan robar y reutilizar las claves de API.
Muchos gestores de secretos también pueden automatizar la rotación de secretos, es decir, el acto de cambiar los secretos con regularidad. La rotación de secretos se puede automatizar según lo programado o bajo demanda sin necesidad de volver a implementar o interrumpir las aplicaciones. El tiempo de vida (TTL) o la duración de la concesión se pueden definir para un secreto en su creación para acortar la cantidad de tiempo que existe el secreto.
Los secretos solo se pueden conceder a entidades o grupos específicos para organizar y restringir el acceso. El acceso a los secretos suele concederse mediante el principio de privilegio mínimo, es decir, a cada proceso se le concede únicamente el conjunto de privilegios más restrictivo necesario para realizar una tarea. Los usuarios solo pueden acceder a los secretos necesarios para realizar sus tareas autorizadas.
Muchos gestores de secretos pueden rastrear cómo los usuarios y las aplicaciones interactúan con los secretos y los utilizan para verificar que los secretos se gestionen adecuadamente a lo largo de sus ciclos de vida. Esto permite a la organización realizar una monitorización integral y en tiempo real de las autenticaciones y autorizaciones.
Los gestores de secretos pueden identificar rápidamente los intentos no autorizados de ver o utilizar secretos y cortar el acceso, deteniendo así a los hackers, las amenazas internas y otros actores maliciosos.
Además de utilizar soluciones de gestión de secretos, muchas organizaciones siguen prácticas básicas comunes en sus procesos de gestión de secretos. Estas prácticas incluyen:
A medida que los ecosistemas informáticos se vuelven más complejos, la gestión de secretos resulta cada vez más difícil de controlar con eficacia. Los desafíos comunes de la gestión de secretos pueden incluir:
Los ecosistemas descentralizados en los que administradores, desarrolladores y usuarios gestionan sus secretos por separado pueden introducir riesgos, ya que es posible que las brechas de seguridad y el uso de secretos no se monitoricen o auditen adecuadamente.
Las soluciones centralizadas de gestión de secretos pueden ofrecer a las organizaciones más visibilidad y control sobre los secretos.
Cuando las contraseñas u otros secretos se incrustan como texto sin formato en el código fuente o scripts, los atacantes pueden descubrirlos fácilmente y utilizarlos para acceder a información confidencial.
Los secretos codificados pueden aparecer en muchos lugares, incluidas las cadenas de herramientas de CI/CD, los dispositivos de Internet de las cosas (IoT), las plataformas de orquestación de contenedores como Kubernetes, los servidores de aplicaciones, los escáneres de vulnerabilidades y las plataformas de automatización de procesos robóticos.
La rotación periódica de secretos puede ayudar a evitar robos y abusos, pero la rotación puede ser incoherente o ineficaz sin un sistema de gestión de secretos. Si un secreto permanece inalterado durante demasiado tiempo, un pirata informático podría desbloquearlo mediante conjeturas de ensayo y error o un ataque de fuerza bruta.
Cuanto más tiempo se utilice una contraseña, más usuarios tendrán acceso y mayores serán las posibilidades de que se produzca una filtración.
El crecimiento de los sistemas de TI puede provocar una proliferación de secretos, con secretos repartidos por muchas partes aisladas del sistema. La proliferación de secretos puede ser especialmente preocupante en los ecosistemas multinube híbridos, donde las organizaciones mezclan entornos de nube pública y nube privada entregados por múltiples proveedores de servicios en la nube.
Las organizaciones pueden tener miles, incluso millones, de secretos en todas sus aplicaciones nativas en cloud, contenedores, microservicios y otros Recursos. Esta proliferación crea una enorme carga de seguridad y amplía la posible superficie de ataque.
En todos los servicios, la visibilidad puede ser limitada y la gestión de secretos puede volverse difícil de manejar rápidamente si se realiza un seguimiento manual o mediante sistemas dispares. La falta de un servicio centralizado de gestión de secretos podría dificultar o imposibilitar la aplicación de una higiene adecuada de los secretos.
Cuando una organización carece de un sistema de gestión de secretos, los secretos pueden compartirse manualmente, como a través de correos electrónicos o mensajes de texto, donde los actores de amenazas pueden interceptarlos.
Conozca el panorama de la gestión de identidades y accesos de clientes (CIAM) y las tendencias actuales del mercado.
Descubra cómo simplificar la gestión de identidades con el enfoque agnóstico de productos de IBM para la orquestación de la estructura de identidades.
Obtenga una definición clara del tejido de identidades y descubra cómo este facilita el control y la visibilidad continuos.
Los costes de las vulneraciones de datos han alcanzado un nuevo máximo. Obtenga información esencial para ayudar a sus equipos de seguridad y TI a gestionar mejor el riesgo y limitar las posibles pérdidas.
Manténgase al día de las últimas tendencias y novedades sobre la gestión de identidades y accesos.