Las organizaciones luchan con la proliferación de secretos de máquinas y la necesidad de abordar las brechas relacionadas con las identidades. Según CyberArk, el 93% de las organizaciones experimentaron dos o más brechas de identidad en el último año. La mala higiene en el código privado conduce a fugas públicas, lo que subraya la importancia de abordar este problema.
‘
Abordar esto requiere un cambio en los procesos de creación, almacenamiento y manejo de identidades de máquinas. La detección, gestión, flujo de trabajo y rotación automática de secretos son pasos clave para resolver estas preocupaciones. Se deben implementar soluciones existentes de gestión de secretos y herramientas de detección y solución de secretos para avanzar en la seguridad de los secretos de extremo a extremo.
‘
El primer paso es detectar y recopilar secretos en texto plano a través del código y los sistemas de desarrollo de software. Luego, se debe realizar un balance de todos los secretos conocidos a través de un almacén centralizado. Ajustar los procesos y herramientas para facilitar la creación, almacenamiento y llamada segura de secretos es esencial, al igual que el monitoreo continuo en busca de nuevos secretos añadidos en texto plano. Además, la rotación automática de secretos válidos también es fundamental para reducir su posible explotación.
‘
La implementación de herramientas de escaneo de secretos automatizadas, como las de GitGuardian, es crucial para facilitar la detección y solución de secretos. Asimismo, la adopción de almacenes empresariales cifrados y soluciones estándar para el flujo de trabajo del desarrollador es fundamental. La integración de herramientas de escaneo de secretos en cada interacción compartida y la implementación de rotación automática de secretos válidos también son prácticas recomendadas.
‘
En resumen, abordar la seguridad de los secretos de extremo a extremo requiere un plan integral que combine la detección, gestión, flujo de trabajo y rotación automática de secretos. Es fundamental para cualquier empresa abordar estos problemas para garantizar un mejor control sobre las identidades de máquinas y los secretos en toda la organización.
Vía The Hacker News