Interpretación de los resultados de la evaluación de riesgos de secretos

Comprenda los resultados de su secret risk assessment y priorice la remediación de fugas.

¿Quién puede utilizar esta característica?

Organization owners, security managers, and users with the admin role

En este artículo

Introducción

En este tutorial, interpretará los resultados de la evaluación de riesgos secretos y aprenderá a:

  • Comprender las métricas de riesgo en el panel de control
  • Identificación de filtraciones de secretos de alto riesgo
  • Priorizar los secretos para la remediación

Requisitos previos

Debe generar un informe secret risk assessment y esperar a que se complete el análisis. Consulta Ejecución de la evaluación de riesgos secretos para su organización.

Paso 1: Descripción de las métricas del panel

Una vez completada la evaluación, revise las métricas clave en la parte superior del panel:

  •         **Total de secretos**: número total de fugas de secretos encontradas en toda la organización

  •           **Fugas públicas**: secretos distintos encontrados en repositorios **públicos**

  •           **Fugas evitables**: fugas que podría haber prevenido la protección activa

También puede determinar el número de secretos encontrados en los repositorios privados restando el número de filtraciones públicas de los secretos totales. Aunque la corrección de estos secretos es menos importante inmediatamente, siguen planteando riesgos si alguien obtiene acceso no autorizado a los repositorios o si se hace público un repositorio.

Paso 2: Descripción de las categorías de secretos

Examine la sección Categorías secretas para comprender qué tipos de secretos se han filtrado.

  •         **Patrones de proveedor**: formatos de secreto específicos para servicios conocidos (AWS, Azure, GitHub tokens)

  •         **Patrones genéricos**: formatos secretos genéricos como claves privadas, claves de API, contraseñas

Los patrones de proveedor suelen ser más fáciles de identificar y revocar porque sabe exactamente a qué servicio pertenecen. Los patrones genéricos pueden requerir más investigación.

Paso 3: Identificar cuántos repositorios se ven afectados

Compruebe la métrica Repositorios con filtraciones, que muestra cuántos de sus repositorios contienen filtraciones de secretos.

Si un alto porcentaje de repositorios contiene fugas, esto puede indicar lo siguiente:

  • Un problema cultural generalizado en torno a la administración de secretos
  • Necesidad de formación para toda la organización
  • Faltan límites de protección, como la protección de inserción, que bloquea los secretos antes de confirmarlos.

Si solo algunos repositorios contienen fugas, puede hacer lo siguiente:

  • Centrar los esfuerzos de corrección en equipos específicos
  • Utilizar la información de la fuga para determinar qué repositorios son áreas de alto riesgo

Paso 4: Revisión de los secretos filtrados por tipo

Desplácese hasta la parte inferior para ver la tabla de tipos secretos detallada, que incluye:

  •         **Tipo** de secreto: el tipo específico de secreto

  •         **Repositorios distintos: cuántos repositorios** diferentes contienen este tipo

  •         **Secretos encontrados**: recuento total de este tipo de secreto en todos los repositorios

La tabla se ordena por recuento más alto automáticamente, lo que le ayuda a identificar los mayores riesgos.

Si ve muchos secretos del mismo tipo (por ejemplo, varias claves de AWS), esto indica lo siguiente:

  • Es posible que los desarrolladores no usen variables de entorno
  • Falta documentación sobre la administración de secretos

Ahora que comprende las métricas, priorice la corrección en función del riesgo.

Los secretos de mayor prioridad son patrones de proveedor filtrados en repositorios públicos, ya que son:

  • Accesible para cualquier persona en Internet
  • A menudo es más fácil identificar y revocar, ya que sabe a qué servicio pertenecen

A continuación, puede abordar los secretos que presentan un riesgo menor o requieren esfuerzos más amplios para corregir. Estos pueden ser:

  •         **Patrones genéricos en repositorios públicos**, que pueden requerir investigación para identificar el servicio o el sistema al que pertenecen

  •         **Fugas de repositorio privado**, que representan un riesgo inmediato más bajo, pero que deben solucionarse

Por último, busque los siguientes indicadores, que pueden requerir esfuerzos de prevención adicionales más allá de la corrección de fugas:

  •         **Muchos repositorios con fugas**: indica la necesidad de entrenamiento en toda la organización y un reconocimiento mejorado de la seguridad.

  •         **Tipos de secreto repetidos**: sugiere flujos de trabajo o equipos específicos que necesitan una intervención dirigida

  •         **Categorías de secretos comunes**: puede apuntar a determinados procesos de CI/CD que requieren mejoras de seguridad.

Pasos siguientes

GitHub Secret Protection proporciona supervisión continua y protección de inserción para ayudar a corregir los secretos restantes y evitar fugas futuras. Para ayudarle a evaluar si GitHub Secret Protection es adecuado para su organización, puede calcular el coste antes de habilitarlo. Consulta Estimación del precio de la protección de secretos.