Los ataques basados en la identidad están en aumento. Los ataques que asumen la identidad de una entidad que permite a los actores maliciosos acceder fácilmente a los recursos y acceder fácilmente a los datos confidenciales en los últimos años. Varios informes recientes estiman que el 83% de los ataques involucrarán secretos comprometidos. Informes como Verizon DBIR muestran que los atacantes están ganando su primera base, en lugar de explotar vulnerabilidades o conceptos erróneos, utilizando credenciales robadas con más frecuencia.
Sin embargo, los atacantes no son solo identidades humanas que pueden imaginar. En términos más generales, son después de la identidad no humana (NHIS), superando la identidad humana corporativa en al menos 50: 1. A diferencia de los humanos, las máquinas no tienen una buena manera de lograr la autenticación multifactorial. Muy a menudo, dependen únicamente de sus credenciales, en forma de claves API, tokens portadores y JWTS.
Tradicionalmente, la gestión de identidad y acceso (IAM) se ha basado en la idea de los rasgos humanos que persisten con el tiempo. Es raro que una persona cambie su nombre, huella digital o ADN. Si pasa por el proceso de verificación de identidad, puede suponer que se confirma que es la persona que afirma. En base a esto, puede obtener permisos específicos que dependen de los roles y los niveles de confianza dentro de su organización.
Proteger la identidad de una máquina significa lidiar con rasgos únicos que realmente les importan los malos actores: las claves de acceso. El tratamiento de estos secretos de gran prestigio como una forma de identificar de manera única la identidad que están protegiendo puede usarla para la verdadera observabilidad sobre cómo se permite y se usa el acceso en toda la empresa.
Ocupa el NHIS a través de lentes fracturadas
Antes de buscar secretos como identificadores únicos, comencemos por pensar en cómo estamos hablando del NHI de la compañía actual.
La mayoría de los equipos luchan por definir NHI. La definición estándar es simplemente «no humana» y es necesariamente una amplia gama de preocupaciones. NHIS difiere entre proveedores de nubes, orquestadores de contenedores, sistemas heredados e implementaciones de borde. La cuenta de servicio de Kubernetes asociada con un POD tiene características distintas en comparación con una cuenta de identidad administrada de Azure o una cuenta de servicio de Windows. Históricamente, todos los equipos los han manejado como preocupaciones separadas. Este enfoque de mosaico hace que sea casi imposible automatizar la gobernanza en todo el medio ambiente, así como crear políticas consistentes.
El crecimiento exponencial de NHIS sigue siendo una brecha en las herramientas de inventario de activos tradicionales, y los revisores de acceso no pueden mantener su ritmo. La aplicación de la autoridad o los controles de seguridad en un conjunto tan diverso de identidades parece casi imposible. Esto se suma al sistema heredado de envejecimiento que no ha girado o auditado contraseñas en unos pocos años.
Lo que exacerba este problema es la falta de metadatos y la propiedad en torno a NHIS. Preguntas como «¿Para qué sirve esta identidad?» o «¿Quién posee este token?» A menudo no se responden porque las personas que crearon y liberaron esa identidad en el sistema se han movido. Esta brecha de responsabilidad hace que sea difícil aplicar prácticas básicas del ciclo de vida, como la rotación y el desmantelamiento. El NHIS creado para fines de prueba a menudo duran mucho después del sistema al que están conectados se suspende, lo que resulta en una acumulación tranquila de riesgo.
Zero Trust Uuid protege las superficies
Cualquiera sea la forma o formulario que tome NHI, para que funcione como parte de una aplicación o sistema, debe ser autenticado para acceder y trabajar con datos y recursos.
Más comúnmente, esto toma la forma de un secreto que parece una clave API, certificado o token. Todos estos son de naturaleza única y pueden actuar como huellas digitales criptográficas para todo el sistema distribuido. Cuando se usan de esta manera, los secretos utilizados para la autenticación se convierten en artefactos rastreables que están directamente vinculados al sistema que los generó. Esto permite la atribución y la auditoría a un nivel que es difícil de lograr con las cuentas de servicio tradicionales. Por ejemplo, un token de corta duración puede estar directamente vinculado a un trabajo de CI en particular, confirmación de GIT o carga de trabajo, lo que permite que el equipo responda no solo lo que está actuando, sino por qué, dónde y en nombre de cualquiera.
Este modelo de identificador como acceso puede aclarar el inventario y proporcionar una vista unificada de todas las máquinas, cargas de trabajo, corredores de tareas e incluso sistemas de IA basados en agentes. Los secretos proporcionan una forma consistente y verificada por la máquina para indexar NHIS, lo que permite a los equipos centrar la visibilidad en lo que existe, los propietarios y a qué pueden acceder, ya sea que estén ejecutando en Kubernetes, acciones de Github o en nubes públicas.
Es importante destacar que este modelo admite la gestión del ciclo de vida y los principios de confianza cero de manera más natural que los marcos de identidad heredados. Los secretos solo son válidos cuando están disponibles. Este es un estado probado y puede marcar automáticamente los secretos no utilizados o caducados para la limpieza. Esto le permite detener las cuentas de identidad fantasma y fantasmas que son endémicas en entornos de NHI pesados.
Impacto de la seguridad secreta para los identificadores de NHI
Cuando se habla de secretos como identificadores únicos para máquinas y cargas de trabajo, debe abordar el hecho de que tienden a ser permeables. Nuestro estado secreto se encontró en la investigación de 2025, con aproximadamente 23.8 millones de secretos filtrados en repositorios públicos de GitHub en 2024, un aumento del 25% respecto al año anterior. Peor aún, el 35% de los repositorios privados que encuestamos contenían ocho veces la cantidad de secretos que encontramos en los repositorios públicos.
Las violaciones de los últimos años, desde Uber hasta el Tesoro de los Estados Unidos, han demostrado que los secretos pueden ser invitaciones silenciosas para los atacantes si están dispersos sin una gestión constante entre tuberías, bases de código, contenedores y configuraciones en la nube. Estas fugas o credenciales robadas proporcionan a los atacantes un camino de baja fricción al compromiso.
Cualquiera que intente establecer una sesión válida utilizando utilizando una clave API filtrada o un token NHI no tiene mecanismo para validar su legitimidad o el contexto de su uso. Si el secreto está vinculado a una cuenta o cuenta de servicio no autorizada de larga duración, el atacante heredará inmediatamente toda esa confianza.
Cuando los secretos superan el objetivo, el problema se amplifica aún más. Los secretos huérfanos, las calificaciones son olvidadas, no abolidas, trabajos de CI/CD abandonados, o los proyectos únicos permanecen callados, a menudo con niveles peligrosos de acceso y visibilidad. Sin el proceso de propiedad, vencimiento o revocación, es un punto de entrada ideal para los atacantes que buscan sigilo y persistencia.
Gitguardian puede almacenar todos los secretos, no solo los filtrados
Los secretos solo pueden vivir en dos posibles lugares. Es donde pertenecen y se mantienen de manera segura en una seguridad de gestión secreta o filtradas en otro lugar. Hemos estado ayudando a las personas a encontrar ofertas de detección secreta y plataformas de vigilancia pública que se centran en nosotros, durante años, para encontrar secretos que se han filtrado a lugares impredecibles.
Actualmente, Gitguardian puede actuar como una plataforma de inventario NHI en todo el entorno, reconociendo qué secretos hay y obteniendo metadatos sobre cómo se usan. Gitguardian construye un inventario unificado y contextualizado de todos los secretos, independientemente de su origen o forma. Ya sea inyectado a través de Kubernetes, incrustado en un libro de jugadas Ansible, o recuperado de una caja fuerte como Hashicorp, cada secreto se toma y monitorea con huellas digitales.
Esta conciencia del entorno mutuo permite a los equipos ver de inmediato
Que NHI tiene una clave pública. Si se produce una fuga interna debido a esos mismos secretos. Si los secretos viven mucho y requieren rotación, los secretos se almacenan redundantemente en múltiples cajas fuertes
El Panel de Inventario de Gobierno de Gitguardian NHI muestra violaciones de políticas y puntajes de riesgo.
Es importante destacar que Gitguardian también detecta credenciales «zombies», secretos que persisten sin aprobación o vigilancia. Los metadatos ricos, como la atribución del creador, la esperanza de vida secreta, el alcance del permiso y el contexto, mejoran la gobernanza sobre estos actores no humanos, lo que permite la alineación y la responsabilidad del inventario en tiempo real.
Esta visibilidad no es solo operativa, sino también estratégica. Gitguardian permite la aplicación de políticas centralizadas en todas las fuentes secretas, transformando la detección secreta reactiva en una gobernanza de identidad agresiva. Al mapear secretos a NHIS y hacer cumplir las políticas del ciclo de vida, como la expiración, la rotación y la cancelación, Gitguardian cierra el bucle entre el descubrimiento, la bóveda y la aplicación
Ir más allá del inventario y hacia el gobierno de NHI
El aumento de las identidades no humanas ha cambiado el paisaje de la identidad, y con eso, la superficie de ataque ha cambiado. Sus credenciales no son solo su clave de acceso. Los secretos son mecanismos que permiten a los atacantes asumir una identidad que ya tiene acceso persistente a sus datos y recursos. Sin visibilidad de dónde viven estas credenciales, cómo se utilizarán y si aún son válidas, las organizaciones seguirán siendo vulnerables a compromisos tranquilos.
Secrets Security de Gitguardian + Gobierno NHI = Seguridad de identidad no humana
Tratar los secretos como UUID para cargas de trabajo modernas es el camino más claro hacia la gobernanza NHI escalable y multiplataforma. Pero ese enfoque solo funciona si puedes ver el panorama general de las bóvedas, tuberías, infraestructura efímera, todo lo demás.
Gitguardian proporciona esa opinión. Transforma las credenciales fragmentadas en un inventario práctico unificado. Al fijar la identidad del NHI a sus secretos percibidos y capas de metadatos ricos y controles de ciclo de vida, Gitguardian permite a los equipos de seguridad detectar problemas temprano, identificar derechos demasiado autorizados y aislados, y hacer cumplir las revocaciones antes de que ocurra una violación.
Ayudamos a empresas modernas complejas a reducir la probabilidad de ataques exitosos basados en la identidad. Una vez que se monitorizan las credenciales, el alcance y el tiempo real, ya no son frutos bajos para los atacantes.
Nos gustaría proporcionar una demostración completa de las características de la plataforma de seguridad NHI GitGuardian y ayudarlo a obtener información incomparable sobre la seguridad de NHIS y Secrets. Además, si quieres explorarte a ti mismo, ¡haz una visita guiada por Gitguardian con una demostración interactiva!
Source link
