Hoy en día, las organizaciones automatizan muchos procesos y flujos de trabajo de negocio clave mediante el uso de herramientas como la automatización robótica de procesos (RPA) y, recientemente, agentes y asistentes de IA. Al igual que los usuarios humanos, estas entidades no humanas necesitan credenciales, a menudo llamadas "secretos", para acceder a los recursos de la organización.
Los usuarios no humanos suelen necesitar privilegios elevados para completar sus tareas. Por ejemplo, un proceso de copia de seguridad automatizado puede tener acceso a archivos confidenciales y configuraciones del sistema.
Estas cuentas privilegiadas no humanas son objetivos de gran valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas críticos mientras evaden la detección. De hecho, el secuestro de cuentas válidas es el vector de ciberataque más común en la actualidad, según el IBM X-Force Threat Intelligence Index. Estos ataques representan el 30 % de todos los incidentes a los que X-Force ha respondido recientemente.
Los sistemas y procesos de gestión de secretos permiten a las organizaciones crear, controlar y asegurar los secretos que las entidades no humanas utilizan para acceder a los recursos de TI. Mediante el uso de herramientas de gestión de secretos para gestionar y proteger las credenciales no humanas a lo largo de todo su ciclo de vida integral, las organizaciones pueden agilizar los flujos de trabajo automatizados al tiempo que evitan las filtraciones de datos, la manipulación, el robo y otros accesos no autorizados.
Un secreto es una credencial digital contenida dentro de una aplicación o servicio que permite a los usuarios no humanos comunicarse y realizar acciones en un servicio, base de datos, aplicación u otro recurso de TI. Los secretos ayudan a las organizaciones a fortalecer su postura de seguridad al garantizar que solo los usuarios autorizados tengan acceso a datos y sistemas confidenciales.
Algunos ejemplos de secretos incluyen, entre otros:
Las herramientas de gestión de secretos de nivel empresarial ayudan a las organizaciones a detectar, prevenir y remediar el acceso no autorizado y el uso indebido de datos y sistemas confidenciales, como la información de identificación personal (PII). Las organizaciones pueden reducir el riesgo de filtraciones de datos y robo de datos, evitando la pérdida de datos valiosos, posibles multas y daños a la reputación.
La gestión de secretos es uno de los pilares de la gestión de acceso privilegiado (PAM), el subconjunto de la gestión de identidad y acceso (IAM) que se centra en proteger cuentas y usuarios privilegiados.
Los otros 3 pilares de PAM incluyen:
La gestión de secretos es importante para la metodología DevOps, que hace hincapié en la entrega de software automatizada y continua.
Los equipos de DevOps suelen utilizar múltiples herramientas de configuración u orquestación para gestionar ecosistemas digitales completos, flujos de trabajo y endpoint. Las herramientas a menudo utilizan la automatización y scripts que requieren acceso a secretos para iniciarse. Sin un servicio de gestión de secretos de nivel empresarial, el uso desordenado de los secretos podría aumentar la vulnerabilidad del sistema.
Muchas organizaciones integran funciones de gestión de secretos en el pipeline de integración continua y de entrega continua, o pipeline de CI/CD. Esto ayuda a garantizar que todas las partes móviles (desarrolladores, herramientas y procesos automatizados) tengan acceso seguro a los sistemas confidenciales que necesitan cuando lo necesitan.
La gestión de secretos se considera un componente central de DevSecOps, una evolución de la metodología DevOps que integra y automatiza continuamente la seguridad a lo largo del ciclo de vida de DevOps.
El proceso de gestión de secretos suele basarse en herramientas de gestión de secretos. Estas herramientas, que se pueden desplegar on premises o como servicios entregados en la nube, pueden ayudar a centralizar, automatizar y optimizar la creación, uso, rotación y protección de secretos.
Algunas capacidades comunes de las herramientas de gestión de secretos incluyen:
Con un servicio de gestión de secretos de nivel empresarial, las organizaciones pueden administrar múltiples tipos de secretos en un único panel.
En lugar de dejar que los usuarios individuales gestionen los secretos en pequeños silos, las soluciones de gestión de secretos pueden almacenar los secretos en una ubicación central y segura denominada "bóveda secreta".
Cuando un usuario autorizado necesita acceder a un sistema confidencial, puede obtener el secreto correspondiente del almacén. La herramienta de gestión de secretos puede verificar, autorizar y otorgar automáticamente a los usuarios los permisos que necesitan para llevar a cabo sus flujos de trabajo.
La estandarización puede ayudar a prevenir la expansión secreta. La dispersión de secretos se produce cuando los secretos se almacenan en varios lugares de una organización, a menudo codificados en aplicaciones o como texto sin formato en un documento compartido. La proliferación de secretos dificulta proteger los secretos de actores maliciosos y rastrear cómo se utilizan los secretos.
Los secretos creados en un gestor de secretos pueden ser estáticos o dinámicos. Un secreto estático es un secreto que permanece válido durante mucho tiempo, generalmente hasta que se modifica manualmente o alcanza una fecha de vencimiento predeterminada.
En cambio, un secreto dinámico es creado por el gestor de secretos a petición, en el momento en que se necesita. Los secretos dinámicos caducan con bastante rapidez. Incluso pueden ser de un solo uso.
Un caso de uso de un secreto dinámico sería proteger un recurso confidencial mediante la generación dinámica de claves de API cada vez que se lee o se accede a ese recurso. Esto ayuda a garantizar que los actores malintencionados no puedan robar y reutilizar las claves de API.
Muchos gestores de secretos también pueden automatizar la rotación de secretos, es decir, el acto de cambiar los secretos con regularidad. La rotación de secretos se puede automatizar según lo programado o bajo demanda sin necesidad de volver a implementar o interrumpir las aplicaciones. El tiempo de vida (TTL) o la duración de la concesión se pueden definir para un secreto en su creación para acortar la cantidad de tiempo que existe el secreto.
Los secretos solo se pueden conceder a entidades o grupos específicos para organizar y restringir el acceso. El acceso a los secretos suele concederse mediante el principio de privilegio mínimo, es decir, a cada proceso se le concede únicamente el conjunto de privilegios más restrictivo necesario para realizar una tarea. Los usuarios solo pueden acceder a los secretos necesarios para realizar sus tareas autorizadas.
Muchos gestores de secretos pueden rastrear cómo los usuarios y las aplicaciones interactúan con los secretos y los utilizan para verificar que los secretos se gestionen adecuadamente a lo largo de sus ciclos de vida. Esto permite a la organización realizar un monitoreo integral y en tiempo real de las autenticaciones y autorizaciones.
Los gestores de secretos pueden identificar rápidamente los intentos no autorizados de ver o utilizar secretos y cortar el acceso, deteniendo así a los hackers, las amenazas internas y otros actores maliciosos.
Más allá de utilizar soluciones de gestión de secretos, muchas organizaciones siguen prácticas básicas comunes en sus procesos de gestión de secretos. Estas prácticas incluyen:
A medida que los ecosistemas de TI se vuelven más complejos, la gestión de secretos se vuelve cada vez más difícil de controlar de manera efectiva. Los desafíos comunes de la gestión de secretos pueden incluir:
Los ecosistemas descentralizados en los que administradores, desarrolladores y usuarios gestionan sus secretos por separado pueden introducir riesgos, ya que es posible que las brechas de seguridad y el uso de secretos no se monitoreen o auditen adecuadamente.
Las soluciones centralizadas de gestión de secretos pueden ofrecer a las organizaciones más visibilidad y control sobre los secretos.
Cuando las contraseñas u otros secretos se incrustan como texto sin formato en el código fuente o scripts, los atacantes pueden descubrirlos fácilmente y utilizarlos para acceder a información confidencial.
Los secretos codificados pueden aparecer en muchos lugares, incluidas las cadenas de herramientas de CI/CD, los dispositivos del Internet de las cosas (IoT), las plataformas de orquestación de contenedores como Kubernetes, los servidores de aplicaciones, los escáneres de vulnerabilidades y las plataformas de automatización de procesos robóticos (RPA).
La rotación regular de secretos puede ayudar a prevenir el robo y el abuso, pero la rotación puede ser inconsistente o ineficaz sin un sistema de gestión de secretos. Si un secreto permanece sin cambios durante demasiado tiempo, un hacker podría desbloquearlo mediante conjeturas de prueba y error o un ataque de fuerza bruta.
Cuanto más tiempo se utilice una contraseña, más usuarios tendrán acceso y mayores serán las posibilidades de una filtración.
El crecimiento de los sistemas de TI puede provocar una proliferación de secretos, con secretos repartidos por muchas partes aisladas del sistema. La proliferación de secretos puede ser especialmente preocupante en los ecosistemas multinube híbridos, donde las organizaciones mezclan entornos de nube pública y nube privada entregados por múltiples proveedores de la nube.
Las organizaciones pueden tener miles, incluso millones, de secretos en todas sus aplicaciones nativas de la nube, contenedores, microservicios y otros recursos. Esta proliferación crea una enorme carga de seguridad y amplía la posible superficie de ataque.
En todos los servicios, la visibilidad puede ser limitada y la gestión de secretos puede volverse difícil de manejar rápidamente si se realiza un seguimiento manual o mediante sistemas dispares. La falta de un servicio centralizado de gestión de secretos podría dificultar o imposibilitar la aplicación de una higiene adecuada de los secretos.
Cuando una organización carece de un sistema de gestión de secretos, los secretos pueden compartirse manualmente, por ejemplo, a través de correos electrónicos o mensajes de texto, donde los actores de amenazas pueden interceptarlos.
Conozca el panorama de la gestión de identidad y acceso de clientes (CIAM) y las tendencias actuales del mercado.
Descubra cómo simplificar la gestión de identidades con el enfoque agnóstico de productos de IBM para la orquestación de la estructura de identidades.
Obtenga una definición clara del tejido de identidades y descubra cómo este facilita el control y la visibilidad continuos.
Los costos de la filtración de datos alcanzaron un nuevo máximo. Obtenga insights esenciales para ayudar a sus equipos de seguridad y TI a gestionar mejor los riesgos y limitar las pérdidas potenciales.
Manténgase al día de las últimas tendencias y novedades sobre la gestión de identidad y acceso.