[12/04/2023] El proveedor de seguridad de código GitGuardian ha añadido un nuevo módulo honeytoken a su plataforma para ayudar a los clientes a proteger su ciclo de vida de desarrollo de software y sus cadenas de suministro de software con asistencia para la detección de intrusiones y fugas de código.
Los honeytokens son scripts de código que contienen credenciales señuelo, que pueden colocarse dentro de los entornos de desarrollo de un cliente para atraer a los atacantes que buscan atacar entornos DevOps críticos, como los sistemas de gestión de control de código fuente (SCM), los conductos de despliegue continuo de integración continua (CI/CD) y los registros de artefactos de software.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Nuestras honeytokens se ven como cualquier otro secreto para los atacantes, tentándoles a explotarlos para un mayor movimiento lateral dentro de la organización de la víctima", señaló Soujanya Ain, gerente de marketing de producto de GitGuardian. "En lugar de permitir el acceso a los recursos reales de un cliente, actúan como cables trampa que revelan información sobre el atacante".
Los equipos de seguridad podrán monitorizar sus honeytokens y, basándose en los disparadores, priorizar la protección de las credenciales más atacadas por los hackers dentro de la consola existente de GitGuardian. Esta capacidad estará disponible inicialmente en versión beta de forma gratuita para los clientes existentes sobre una base bajo demanda, con planes para la disponibilidad general en el futuro con cargos adicionales por uso.
Disparadores por cualquier escáner secreto utilizado por los atacantes
Las contraseñas, los tokens de acceso y otra información sensible dentro del entorno de un cliente suelen rastrearse a través de una herramienta automatizada de escáner de secretos diseñada para escanear repositorios de código, código de aplicaciones y otras fuentes de código de software, identificando secretos que no deberían ser de acceso público.
Los actores maliciosos a menudo explotan la funcionalidad de estos escáneres de secretos para extraer secretos de los repositorios de los usuarios. Los honeytokens de GitGuardian están pensados para que estos escáneres de secretos puedan detectarlos y revelar la infraestructura de hackeo de un atacante (direcciones IP).
"Hemos diseñado nuestras honeytokens para que sean activadas por todo tipo de escáneres secretos, incluidos proyectos de código abierto como TruffleHogs, Gitleaks y Gitrob. Cada vez que un pirata informático utilice cualquiera de estos escáneres secretos, activará el honeytoken, disparando una alerta que notifica a los equipos de seguridad un posible incidente de seguridad", explicó Ain.
Cuando son activados por un atacante, los honeytokens de GitGuardian están diseñados para rastrear información crítica sobre el origen del intento. Estos útiles datos incluyen la fecha y hora del ataque, el tipo de acción realizada; por ejemplo, GetCallerIdentity, ListBuckets, etc., y la fuente de la honeytoken que indica la ubicación del objetivo.
GetCallerIdentity y ListBuckets son dos llamadas cruciales a la API de Amazon Web Services que proporcionan acceso a secretos y buckets (contenedores de archivos, imágenes y otros datos) almacenados en diferentes cuentas de AWS.
El número de honeytokens que recibe un cliente suscrito depende del tamaño de la organización, el número de desarrolladores implicados y la colección de activos a salvaguardar, según Ain.
Colocación única que detecta fugas de código
GitGuardian supervisa en tiempo real las actividades en GitHub público. GitHub público se refiere a todos los repositorios públicos de la plataforma GitHub a los que puede acceder y contribuir cualquier persona de la plataforma, a diferencia de los repositorios privados que restringen el acceso a determinadas cuentas y colaboradores.
Esta monitorización en tiempo real permite a GitGuardian detectar cualquier filtración de secretos en Github público, notificando a los desarrolladores cómo y cuándo se producen. Estas detecciones pueden alertar a los equipos de seguridad sobre el origen de la brecha y los recursos comprometidos mediante el rastreo de la colocación realizada para el honeytoken filtrado.
"Recomendamos desplegar cada honeytoken en una ubicación única para garantizar la detección y respuesta más precisas ante posibles amenazas a la seguridad. Si un honeytoken se repite en varias ubicaciones, cuando se activa, puede resultar más difícil localizar el activo específico que se ha visto comprometido", afirmó Ain.
Por eso, a pesar de ser un trozo de código aislado que puede copiarse y pegarse fácilmente en distintos recursos para colocar señuelos, cada honeytoken debe ser único y colocarse en una ubicación única para rastrear eficazmente cada incidente hasta la ubicación de origen.
No obstante, el precio de una honeytoken de GitGuardian no se verá afectado por el número de veces que se copie, pegue o active una única honeytoken, afirmó Ain.
Los honeytokens "expuestos públicamente" se identifican y filtran de la lista de honeytokens del panel de control de GitGuardian.
"Cuando se activa un honeytoken, si reconocemos la IP de origen como una de la infraestructura de GitGuardian, indica que su código se ha filtrado en el GitHub público. Entonces etiquetamos el evento y el honeytoken como 'Públicamente expuesto'", señaló Ain.
El año pasado, GitGuardian lanzó ggcanary, un proyecto gratuito de código abierto que permite a las organizaciones desplegar honeytokens en su código base o archivos de configuración para detectar intrusiones en sus entornos DevOps.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú