Organización de los esfuerzos de mitigación para la información confidencial filtrada

Organice y administre sistemáticamente la corrección de secretos filtrados mediante campañas de seguridad y asignaciones de alertas.

¿Quién puede utilizar esta característica?

Organization owners, security managers, and users with the admin role

En este artículo

Introducción

En este tutorial, organizará los esfuerzos de remediación para información confidencial filtrada. Aprenderá a:

  • Creación de campañas de seguridad para realizar un seguimiento del trabajo de corrección
  • Asignación de alertas basadas en la propiedad
  • Supervisión del progreso de la corrección
  • Comunicación con las partes interesadas

Prerrequisitos

Paso 1: Revisar sus alertas de detección de secretos

Antes de tomar medidas, debe comprender el estado actual de las alertas de seguridad de la organización.

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral izquierda, en "Alertas", haga clic en el símbolo a la derecha de Secret scanning.

  4. En la lista desplegable, seleccione Default. Default se relaciona con los patrones admitidos y los patrones personalizados especificados.

  5. Como alternativa, puede seleccionar Generic, para revisar secretos no estructurados como contraseñas. Sin embargo, los patrones genéricos suelen producir más falsos positivos que los patrones predeterminados, por lo que considere revisar estas alertas después de abordar las fugas de mayor prioridad.

  6. Revise el número total de alertas abiertas y repositorios afectados.

  7. Use filtros para identificar las alertas más urgentes y priorizar los esfuerzos de corrección.

    • Para mostrar fugas en repositorios públicos , use publicly-leaked.
    • Para mostrar las fugas de secretos que se encuentran en más de un repositorio dentro de la misma organización o empresa, use is:multi-repository.
    • Para mostrar secretos que siguen siendo válidos, use validity:active.
    • Para filtrar por credenciales de servicio específicas (AWS, Azure, GitHub), use provider:.
    • Para filtrar por tipos de token específicos, use secret-type:.

  8. Opcionalmente, en la barra lateral, bajo "Métricas", haga clic en Secret scanning para ver:

    • Tipos de secretos que se han bloqueado o omitido con más frecuencia
    • Repositorios con las inserciones o las omisiones más bloqueadas

Paso 2: Crear una campaña de seguridad

Puede configurar una campaña de seguridad para organizar y realizar un seguimiento del trabajo de corrección entre repositorios.

  1. Vaya a su organización y haga clic en Seguridad.
  2. En el panel izquierdo, seleccione Campañas.
  3. Haga clic en Crear campaña , a continuación:
    • Seleccione una plantilla predefinida de campaña Secrets.
    • Use filtros personalizados para dirigirse a alertas específicas (por ejemplo, is:open provider:azure o is:open validity:active).
  4. Revise las alertas (máximo 1000) y ajuste los filtros si es necesario.
  5. Haga clic en Guardar como y elija Publicar campaña.
  6. Rellene la información de la campaña y haga clic en Publicar campaña.

Paso 3: Asignación de alertas a los miembros del equipo

Después de crear la campaña, querrá asignar alertas individuales a los desarrolladores responsables de corregirlas.

  1. En la página de la campaña, haga clic en para expandir un repositorio y ver sus alertas.
  2. Haga clic en una alerta para abrir su página de detalles.
  3. En la barra lateral derecha, haga clic en Asignados.
  4. Seleccione un desarrollador que quiera corregir la alerta. Normalmente, esta es la persona que ha cometido el secreto o el administrador del repositorio donde se detecta la filtración. Deben disponer de acceso de escritura.

Paso 4: Supervisar el progreso de la corrección

Una vez asignadas las alertas, debe realizar un seguimiento periódico del progreso de la campaña para garantizar la finalización oportuna.

  1. En la página de la campaña, revise el resumen de la campaña. Verá: * Progreso de la campaña: cuántas alertas están cerradas (fijas o descartadas) o aún quedan por revisar * Estado: ¿cuántos días faltan para la fecha de vencimiento de la campaña?
  2. Puede explorar los detalles de la campaña:
    • Expanda cualquier repositorio para ver su progreso en la corrección de alertas.
    • Establezca Agrupar por en Ninguno para mostrar una lista de todas las alertas.
    • Use filtros para centrarse en repositorios o alertas específicos.
  3. Identifique las áreas que necesitan atención según los repositorios con más alertas abiertas o sin ningún progreso reciente. Luego, póngase en contacto con los mantenedores de esos repositorios o los responsables asignados para apoyarlos.

Paso 5: Comunicarse con las partes interesadas

A lo largo del proceso de corrección, debe mantener a las partes interesadas informados con actualizaciones de progreso periódicas. Puede usar información del panel de campaña para ayudarle a generar estas actualizaciones.

  1. Vaya al panel de control de la campaña.
  2. Identifique la información que desea incluir en los informes. Tenga en cuenta estas métricas clave:
    • Alertas resueltas esta semana
    • Alertas abiertas restantes
    • Elementos correctamente encaminados frente a elementos en riesgo
    • Logros o bloqueadores importantes
  3. Incorpore las métricas a la actualización y, a continuación, distribuya por correo electrónico, Slack, Teams o reuniones de seguridad.

Paso 6: Procedimientos de corrección de documentos

Por último, debe crear procedimientos estandarizados para que los esfuerzos de corrección futuros sean más eficaces.

  1. Elabore guías específicas para cada tipo de secreto. Por ejemplo: * Credenciales de AWS: Rotación de claves de acceso y actualización de servicios 
    •           **Tokens GitHub**: cómo revocar y regenerar Personal Access Tokens

    •      **Claves de API**: procedimientos de rotación específicos del servicio

    •      **Credenciales de base de datos**: rotación segura sin interrupción del servicio
  2. Cree una lista de comprobación de corrección.
    1. Compruebe que el secreto se ha filtrado realmente.
    2. Determine si el secreto sigue activo.
    3. Revoque o actualice el secreto comprometido.
    4. Actualice todos los sistemas con el secreto antiguo.
    5. Pruebe que los sistemas funcionan con nuevas credenciales.
    6. Documente los pasos de incidente y corrección.
    7. Marque la alerta como resuelta.
  3. Establecer rutas de escalación.
    • Defina cuándo escalar al liderazgo de seguridad.
    • Identificar expertos en la materia para diferentes tipos de secretos.
    • Cree procedimientos de respuesta a incidentes para fugas críticas.