GitHub ha anunciado una mejora en su función de escaneo de secretos que extiende las comprobaciones de validez a servicios populares como Amazon Web Services (AWS), Microsoft, Google y Slack.
Las comprobaciones de validez, introducidas por la subsidiaria de Microsoft a principios de este año, alertan a los usuarios si los tokens expuestos encontrados por el escaneo de secretos están activos, lo que permite tomar medidas efectivas de remedio. Inicialmente, esta función estaba habilitada solo para tokens de GitHub.
El servicio de alojamiento de código basado en la nube y de control de versiones anunció su intención de admitir más tokens en el futuro.
Para activar esta configuración, los propietarios de empresas u organizaciones y los administradores de repositorios pueden dirigirse a Configuración > Seguridad y análisis de código > Escaneo de secretos y marcar la opción "Verificar automáticamente si un secreto es válido enviándolo al socio relevante".
A principios de este año, GitHub también amplió las alertas de escaneo de secretos para todos los repositorios públicos y anunció la disponibilidad de la protección de envío para ayudar a los desarrolladores y mantenedores a proteger proactivamente su código escaneando secretos altamente identificables antes de que se envíen.
Este desarrollo se produce cuando Amazon presentó los requisitos mejorados de protección de cuentas que obligarán a los usuarios privilegiados (también conocidos como usuarios raíz) de una cuenta de AWS Organization a activar la autenticación multifactor (MFA) a partir de mediados de 2024.
"MFA es una de las formas más simples y efectivas de mejorar la seguridad de la cuenta, ofreciendo una capa adicional de protección para evitar que personas no autorizadas accedan a sistemas o datos", dijo Steve Schmidt, director de seguridad de Amazon.
Los métodos de MFA débiles o mal configurados también se encuentran entre las 10 configuraciones de red más comunes, según un nuevo aviso conjunto emitido por la Agencia de Seguridad Nacional (NSA) de Estados Unidos y la Agencia de Seguridad Cibernética e Infraestructura (CISA).
"Algunas formas de autenticación multifactor (MFA) son vulnerables a la suplantación de identidad, el 'bombardeo de envío', la explotación de vulnerabilidades en el protocolo de Sistema de Señalización 7 (SS7) y/o técnicas de 'cambio de tarjeta SIM'", declararon las agencias.
"Estos intentos, si tienen éxito, pueden permitir que un actor de amenazas acceda a las credenciales de autenticación de MFA o eluda MFA y acceda a los sistemas protegidos por MFA."
Las otras configuraciones de seguridad cibernética prevalentes son las siguientes:
- Configuraciones predeterminadas de software y aplicaciones.
- Separación inadecuada de privilegios de usuario/administrador.
- Monitoreo insuficiente de la red interna.
- Falta de segmentación de la red.
- Gestión deficiente de parches.
- Eludir los controles de acceso al sistema.
- Listas de control de acceso (ACL) insuficientes en comparticiones de red y servicios.
- Higiene deficiente de credenciales.
- Ejecución de código no restringida.
Como mitigaciones, se recomienda que las organizaciones eliminen las credenciales predeterminadas y refuercen las configuraciones; desactiven los servicios no utilizados e implementen controles de acceso; den prioridad a la aplicación de parches; auditen y supervisen cuentas administrativas y privilegios.
También se insta a los proveedores de software a implementar principios de diseño seguro, utilizar lenguajes de programación seguros para la memoria cuando sea posible, evitar incrustar contraseñas predeterminadas, proporcionar registros de auditoría de alta calidad a los clientes sin costo adicional y requerir métodos de autenticación multifactor resistentes al phishing.
"Estas configuraciones erróneas ilustran (1) una tendencia de debilidades sistémicas en muchas organizaciones grandes, incluso aquellas con posturas cibernéticas maduras, y (2) la importancia de que los fabricantes de software adopten principios de diseño seguro para reducir la carga sobre los defensores de redes", señalaron las agencias.
¿Quieres saber más?