CASE STUDIES MORE NEWS SOFTWARE
La implementación de Talend de GitGuardian Public Monitoring protege a Talend de la exposición de secretos tanto en los repositorios de la empresa como en los repositorios personales de sus desarrolladores.
“Existe un error humano, pero la clave es recibir una alerta y poder tomar las medidas adecuadas cuando se encuentra una fuga”, dijo Anne Hardy, CISO de Talend.
Talend es líder mundial en soluciones de integración e integridad de datos y pionero en el mundo del código abierto. Talend fue la primera empresa en comercializar software de integración de datos de código abierto. Como resultado de este «ADN de código abierto», Talend utiliza GitHub.com ampliamente para colaborar y compartir código con la comunidad.
Cuando la CISO de Talend, Anne Hardy, se unió a la empresa en 2020, rápidamente identificó que había un problema relacionado con las credenciales de infraestructura y otros secretos que se filtraban a través de GitHub.
“Cuando llegué, me enteré de bastantes problemas con GitHub, incluidas las filtraciones de información privada, claves, contraseñas que nuestros desarrolladores o algunos de nuestros servicios profesionales podrían almacenar y exponer públicamente en GitHub. Absolutamente tuvimos que lidiar con el problema rápidamente”, dijo Hardy.
Talend ya había intentado solucionar este problema desarrollando una herramienta interna. Este complejo proyecto expuso rápidamente las limitaciones de construir soluciones de detección internas efectivas. La solución no solo tenía algunas fallas, sino que también resultó ser desafiante y costosa de mantener. Además (y de manera crucial), no pudo identificar ni monitorear los repositorios personales públicos de los desarrolladores.
“Esta es una limitación recurrente, pero también un punto ciego recurrente que la mayoría de las empresas no tienen en cuenta. A menudo escuchamos «No soy de código abierto, así que ¿por qué debería preocuparme por el GitHub público?», El problema es que la expansión de secretos ocurre la mayor parte del tiempo en los repositorios personales de los desarrolladores «, dijo Henri Hubert, director del equipo de secretos de GitGuardian.
Fue en este punto que Talend decidió buscar una solución lista para usar disponible en el mercado. La solución deseada necesitaba permitir el monitoreo activo de todos sus repositorios de código de GitHub, así como los repositorios de código personal público de sus desarrolladores.
Hardy dijo: “Comenzamos por buscar soluciones de código abierto, pero no cumplieron con nuestras expectativas. En particular, fue necesario declarar todos los directorios a monitorear, lo que representó una carga de trabajo sustancial”.
De hecho, es complicado identificar los repositorios personales que pertenecen a los desarrolladores, especialmente cuando se trata de equipos grandes. Automatizar este proceso era la única forma viable de avanzar.
Hardy agregó: “Luego descubrimos la solución GitGuardian y los analistas confirmaron que era una solución sólida y se adaptaba a nuestras necesidades.
“Una vez que decidimos implementar la solución de monitoreo público GitHub de GitGuardian, el aumento fue rápido. Tan pronto como tuvimos acceso a la plataforma, pudimos comenzar a remediar incidentes pasados ».
Paralelamente al despliegue de la solución, se implementó un procedimiento para tratar este tipo de fuga y se capacitó a los 400 desarrolladores en la gestión de secretos.
Hardy dijo: “Lo que he encontrado que es muy efectivo con GitGuardian es que podemos analizar el historial de alertas relacionadas con Talend en todo el perímetro de GitHub, ya sean nuestros directorios públicos oficiales o cualquier directorio público fuera del control de Talend.
“Lanzamos esta auditoría y se nos llamó la atención sobre varios secretos filtrados. Lo que fue muy interesante y lo que no anticipamos fue que la mayoría de las alertas provenían de los repositorios de códigos personales de nuestros desarrolladores «.
Hubert dijo: “Esto es lo que revela nuestro monitoreo constante de cada uno de los compromisos enviados al público en GitHub: el 85% de las filtraciones ocurren en los repositorios personales de los desarrolladores. Los secretos presentes en todos estos repositorios pueden ser personales o corporativos y aquí es donde radica el riesgo para las organizaciones, ya que algunos de sus secretos corporativos se exponen públicamente a través de los repositorios personales de sus desarrolladores actuales o anteriores «.
La primera prioridad de Talend después de tomar posesión de la solución fue revisar la lista de incidentes históricos y promulgar el nuevo procedimiento. Esto les permitió comenzar sobre una base sólida y confiar en las alertas en tiempo real de GitGuardian en el futuro.
Hardy dijo: «Nos tomó tres meses limpiar todo y resolver problemas, especialmente con los empleados que habían dejado la empresa».
En la actualidad, GitGuardian supervisa continuamente todas las confirmaciones dentro del perímetro de Talend, ya sea en repositorios propiedad de Talend o repositorios personales de desarrolladores. Las credenciales se detectan un par de segundos después de que se hacen visibles públicamente y luego se enumeran en el tablero junto con la información que facilitará la corrección.
“Esta alerta en tiempo real es un elemento clave para la seguridad de las empresas, ya que sabemos que los piratas informáticos pueden identificar y utilizar un secreto expuesto muy rápidamente. La mayoría de las soluciones de detección de secretos de código abierto no ofrecen esta capacidad de alerta en tiempo real ”, dijo Hubert.
Talend ha implementado GitGuardian para el equipo Infosec. También lo extenderán a su equipo de campeones de seguridad, desarrolladores que actuarán como una extensión del equipo de Infosec y fomentarán las mejores prácticas.
“En GitGuardian creemos que poner ‘a los desarrolladores en el bucle’ es clave para abordar la seguridad del código, ya que los desarrolladores son dueños del código, tienen el conocimiento y son fundamentales en el proceso de corrección”, dijo Hubert.