Ataques maliciosos a las API? - Se crea un campo minado para atacantes
AS-068-2022
Fecha: 02/Ago/2022
Resumen:
La semana pasada, la firma de gestión de claves GitGuardian lanzó una versión de la tecnología, ggcanary, como un proyecto de código abierto en GitHub. El proyecto, adaptado a las credenciales de Amazon Web Services (AWS), está diseñado para brindar a los desarrolladores una herramienta fácil de usar para detectar ataques en su canalización de desarrollo de software, dice Henri Hubert, desarrollador principal del equipo secrets de GitGuardian.
Los “canary tokens”, también conocidos como tokens de miel, obligan a los atacantes a cuestionar su buena fortuna cuando se encuentran con secretos de usuarios y aplicaciones.
La empresa promedio usa más de 15000 API, triplicándose en el último año, mientras que los ataques maliciosos a esas API se han multiplicado por siete, según una investigación publicada en abril (1).
¿Qué son los canary tokens?
Los “canary tokens”, son credenciales de acceso fabricadas, claves API y secretos de software que, cuando se usan, activan una alerta de que alguien está intentando usar el secreto falso. Debido a que las credenciales no son reales, los empleados legítimos nunca las utilizarían, por lo que cualquier intento de acceder a un recurso mediante el token canario es una señal de compromiso.
El proyecto, adaptado a las credenciales de Amazon Web Services (AWS), está diseñado para brindar a los desarrolladores una herramienta fácil de usar para detectar ataques en su proceso de desarrollo de software, dice Henri Hubert, desarrollador principal del equipo de claves de GitGuardian.
Los puede poner en casi cualquier partes, dice. El mejor lugar para colocarlos es en la canalización de CI/CD o en los artefactos utilizados en esa canalización, como las imágenes de Docker. Pero también puede colocarlos en sus repositorios privados y en su entorno local. Puede colocarlos en casi cualquier lugar que está relacionado con el trabajo de los desarrolladores.
Muchas empresas están utilizando canary tokens para crear campos de minas digitales. Al sembrar servidores de archivos, servidores de desarrollo y sistemas personales con archivos que contienen credenciales o enlaces que pueden actuar como trampas, las empresas hacen que el movimiento lateral dentro de sus sistemas sea mucho más peligroso para los atacantes, dice Haroon Meer, fundador y director ejecutivo de Thinkst, una consultora de ciberseguridad.
Recomendación.
Se recomienda a los desarrolladores incluir en su código estas credenciales de acceso fabricadas denominadas “canary tokens”.
Referencias:
https://www.darkreading.com/emerging-tech/credential-canaries-create-minefield-for-attackers
