A pesar de haber tenido lugar hace más de seis meses, está cada vez más claro que nadie puede medir la magnitud del reciente ataque a SolarWinds, el principal proveedor multinacional de servicios de TI. La compañía tenía uno de sus servidores comprometido por agentes maliciosos, supuestamente piratas informáticos estatales patrocinados por el gobierno ruso, que infectaron uno de sus programas con malware. Quien haya descargado la versión maliciosa de dicho programa terminó en manos de delincuentes.
Toda la charla actual sobre el ataque SolarWinds se refiere a la magnitud de este ataque: ¿quién se ha visto comprometido? ¿Qué nivel de acceso se obtuvo? ¿Qué hacer si se ha visto comprometido? Sin embargo, como profesional de la seguridad que ha ayudado a muchas organizaciones con la firma de códigos, no puedo evitar alertar sobre los simples errores que se cometieron y que llevaron a este compromiso generalizado.
Firma de código tradicional vs firma de código moderna
Tradicionalmente, la firma de código a menudo implica almacenar claves en escritorios, compartir claves y no tener visibilidad sobre las actividades de firma. Si no se gestiona con cuidado, esta firma de código tradicional puede provocar un uso indebido e incluso la firma de malware. La mala gestión del almacenamiento de claves y el intercambio de claves puede pasarse por alto o ser difícil de rastrear si no está rastreando todas sus actividades de firma de código. Además, el código sin firmar o las claves privadas expuestas, pueden ser perjudiciales para su reputación y causar pérdidas económicas importantes.
“Su equipo debe confiar en una solución de firma de código como servicio y administrar la firma de código de manera más rápida, adaptándose fácilmente a sus flujos de trabajo de desarrollo. Un administrador de firma de código ofrece firma automatizada mediante la integración de API incorporada y puede planificar y aprobar las ventanas de firma para versiones y actualizaciones seguras”. Afirmo Brian Trzupek, vicepresidente senior de gestión de productos en DigiCert. “No solo le devolverá el tiempo, sino que también hará que su código sea más Seguro, para brindarle más tranquilidad”, agregó el ejecutivo.
Un administrador o solución de firma de código le brinda visibilidad y conocimiento sobre cualquier señal de alerta para simplificar la verificación de posibles problemas. Por lo tanto, si surge un problema, se puede responder de manera rápida y eficiente para mantener la seguridad. Además, un administrador de firma de código lo ayuda a cumplir con los requisitos de firma de código a un costo mínimo. Los administradores pueden controlar el acceso basado en permisos, con visibilidad de quién puede firmar con qué claves privadas y certificados. Esto puede hacer cumplir la responsabilidad sobre los usuarios y las actividades de firma y evitar que se compartan las claves de firma de código.
Solución innovadora para la firma de código de su empresa
Una forma moderna de administrar la firma de código es habilitar la seguridad automatizada en las canalizaciones de Integración Continua / Entrega Continua (CI / CD) con modelos de implementación portátiles y flexibles y administración de claves segura. Además, en soluciones tan innovadoras, las claves se generan en la nube, por lo que cuando no están en uso están en modo fuera de línea para garantizar que no se compartan, pierdan o roben.
“DigiCert ha desarrollado Secure Software Manager que integra código de firma en sus procesos de desarrollo de productos fácilmente mientras delega operaciones criptográficas, actividades de firma y administración de una manera controlada y auditable”, concluye Brian Trzupek.
El uso de Secure Software Manager reduce el riesgo de robo y uso indebido de claves al fortalecer la seguridad en torno a la accesibilidad y el almacenamiento de claves. La firma de hash permite a los desarrolladores proteger la propiedad intelectual, ya que no se cargan archivos en la nube. Además, las organizaciones de TI deben cumplir con una variedad de regulaciones que cambian rápidamente que requieren protecciones clave sólidas en entornos cada vez más dinámicos y orquestados. También requieren capacidades completas de informes y auditoría para garantizar el cumplimiento.