Gestión de secretos

Gestión de secretos

Tiempo de lectura estimado: 6 minutos


Esta conferencia magistral pertenece al Módulo 3 "Securización de entornos personales y de trabajo" de C1b3rWall Academy 2021. Sus objetivos pasan por:

  • Identificar claramente el tipo de información confidencial (secretos) que se maneja y, en base a sus atributos, definir un ciclo de vida detallado que garantice su control.
  • Definir un modelo de almacenamiento, compartición y gestión, idealmente con cifrado E2E, que asegure que el secreto no se ve comprometido.
  • Realizar un seguimiento detallado del ciclo de vida del secreto.
  • Saber qué exigir a una solución de gestión de secretos.
  • Establecer un ejemplo de solución de almacenamiento y compartición de secretos: GuardedBox.

Secretos

  • Taxonomía: no todos los secretos tienen la misma naturaleza, propósito, criticidad, impacto por exfiltración, etc.
  • Ciclo de vida: el secreto nace, se protege, se utiliza, se comparte y se extingue. ¿Cómo controlar que no se ve alterado?

Estado actual de la compartición de secretos

Multitud de plataformas, herramientas y soluciones permiten compartir todo tipo de secretos:

  • Whatsapp, iCloud, OneDrive, Slack, Telegram, WeTransfer, PGP/GPG, email, etc.
  • ¿Es posible confiar en ellas? ¿Desvelan cómo los almacenan y gestionan?
  • ¿Permiten realizar seguimiento del ciclo de vida?

Cifrado del secreto: diferenciar entre cifrado en reposo (en el medio de almacenamiento), en tránsito (cuando se transmite entre extremos) y en uso (para no ser expuestos durante su utilización).

  • Cifrado extremo a extremo (E2E): garantiza que el secreto se cifra desde el punto de origen al punto de destino. Importante: ¿Dónde se generan las claves y quién/cómo las custodia?

Requisitos exigibles a una solución de gestión de secretos:

  • Cifrado E2E que garantice que la clave privada solo es accesible para su propietario.
  • Capacidad para verificar las claves públicas del otro extremo.
  • Simplicidad de uso para cualquier tipo de usuario.
  • Proporcionar mercanismos sobre el control del ciclo de vida del secreto.
  • Garantizar que el compromiso del servidor no compromete los secretos.

Demo:

  • Utilización de las herramientas avanzadas de los navegadores web para contrastar cómo una solución concreta realiza el intercambio de información y si utiliza cifrado E2E realmente.
  • GuardedBox: solución de almacenamiento y compartición de secretos con cifrado E2E, con mecanismos de seguridad totalmente transparentes para el usuario y capacidades para controlar el ciclo de vida de los secretos, incluyendo notificaciones sobre la actividad que les afecta.

¿Cómo podemos gestionar los secretos propios o de nuestra organización?

Es preciso identificar todos los secretos, especialmente los destinados a ser compartidos, y asignarles propiedades como nivel de criticidad, de exposición, de renovación, de acceso, etc. para determinar qué tipo de control debemos imponer.

El compromiso de un secreto puede poner en serios apuros a su propietario.

Deben definirse políticas estrictas dentro de la organización que aseguren que nunca se compartirá un secreto fuera de los canales establecidos, y, en caso de que ello suceda, que permitan poder detectarlo. Los datos deben permanecer cifrados siempre que no se esté accediendo directamente a ellos por parte de los usuarios implicados en su tratamiento.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponentes: Juan José Torres García, Mónica Salas Blanco y Raúl Siles Peláez

Los tres ponentes pertenecen a DinoSec, una empresa especializada en servicios de ciberseguridad avanzados. También son desarrolladores de la plataforma GuardedBox, disponible de forma gratuita para gestión, almacenamiento y compartición de secretos.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/