Scarica Adesso

E-mail

Nome

Cognome

Azienda

Nazione

Stato

Grazie!

Error - something went wrong!

Racconti dell'orrore sulla gestione dei secret: quattro errori di sicurezza da evitare

December 18, 2025

Il recente worm npm Shai-Hulud ha mostrato quanto velocemente possa diffondersi una compromissione iniziale quando i secret sono gestiti in modo inadeguato. Dopo aver ottenuto l'accesso, il malware ha utilizzato strumenti come TruffleHog per raccogliere token e credenziali hardcoded, per poi scalare lateralmente attraverso pacchetti, pipeline e account cloud. Ciò ci ricorda chiaramente che, senza policy rigorose, la gestione decentralizzata dei secret estende il raggio d'azione degli attacchi.

Grazie alla collaborazione diretta con i clienti, il nostro team di servizi di sicurezza ha individuato quattro pratiche che mettono maggiormente a rischio le aziende:

- Accesso condiviso tra team: un secret o un account riutilizzato su più carichi di lavoro.
- Definizioni inadeguate dei namespace di Kubernetes - combinazione di sviluppo, test e produzione senza confini chiari.
- Pipeline sotto un'unica identità: job Jenkins o Ansible eseguiti con privilegi illimitati.
- Tutto su un unico account o piattaforma cloud – concentrando il rischio in un solo piano di identità.

Per ognuna, il nostro team di servizi di sicurezza condividerà storie reali su come gli attaccanti sfruttano queste pratiche, e le soluzioni collaudate che le principali aziende stanno adottando per correggerle. Scoprirai perché il vero rischio non è rappresentato solo dal secret, ma dall'identità che vi si cela, e come la centralizzazione della gestione dei secret riduca il raggio d'azione, migliori la visibilità e scali in modo sicuro, senza ostacolare gli sviluppatori.

Potrai approfondire:

- Come pratiche inadeguate di gestione dei secret favoriscono movimento laterale ed escalation delle violazioni.
- Quattro errori reali osservati negli ambienti dei clienti e metodi comprovati per correggerli.
- Come la centralizzazione rafforza governance, preparazione agli audit e resilienza.

Relatori:
John Walsh, Senior Product Marketing Manager, CyberArk
Nathan Whipple, Senior Manager, Security Services, DevSecOps, CyberArk
Benjamin Dorn, Senior Security Consultant, DevSecOps, CyberArk

Nessun video precedente

Flipbook successivo

Tre minacce post-login che preoccupano i CISO

Questo eBook analizza i punti ciechi post-login più comuni che conducono ad account takeover, utilizzo impr...

Approfondisci le tue competenze nella sicurezza consultando la nostra raccolta di risorse.

Racconti dell'orrore sulla gestione dei secret: quattro errori di sicurezza da evitare

Flipbook successivo

RIMANI IN CONTATTO

Racconti dell'orrore sulla gestione dei secret: quattro errori di sicurezza da evitare

Flipbook successivo

Altri contenuti in questo stream

Questo eBook analizza i punti ciechi post-login più comuni che conducono ad account takeover, utilizzo improprio da parte di insider e fallimento degli audit, e mostra come le aziende lungimiranti

I rinnovi di 47 giorni e le minacce quantistiche richiedono un intervento. Scopri come l'automazione dei certificati garantisce la conformità e rende la fiducia digitale a prova di futuro

Preparati ai certificati TLS di 47 giorni con il playbook sull'automazione di CyberArk: scala la governance, evita le interruzioni e modernizza la gestione dei certificati.

Scopri come proteggere le sessioni SaaS con un monitoraggio e una protezione in tempo reale, senza interrompere le attività degli utenti.

Scarica la Gartner® Buyers' Guide e ottieni un framework in cinque fasi per modernizzare PKI e CLM, che include automazione, valutazione dei fornitori, agilità crittografica e preparazione alla critto

La protezione delle API non è più facoltativa. Legga questo eBook per scoprire come proteggere le sue API e tutto ciò che è connesso ad esse.

Questo documento analizza le sfide della gestione delle password della forza lavoro negli ambienti aziendali, in cui gli strumenti tradizionali e le abitudini dei dipendenti spesso risultano insuffici

L’esplosione delle identità macchina, che superano quelle umane in un rapporto di oltre 80:1, ha creato nuove sfide di sicurezza per le aziende.

Gli attaccanti mirano alle credenziali della tua forza lavoro. Scopri perché gli strumenti tradizionali di gestione delle password non sono più sufficienti e come CyberArk WPM ti aiuta a riprendere il

Il futuro dei privilegi: fondamenta PAM comprovate e controlli di accesso moderni integrati in un'unica piattaforma per le aziende ibride di oggi.

Scopri come superare gli ostacoli all’adozione del passwordless e migliorare sicurezza, esperienza utente e produttività

Proteggi l’IA agentica con sicurezza delle identità e minimo privilegio. Scopri rischi, ricerche e soluzioni in questo webinar di esperti.

Scoprite chi è davvero nel tuo cloud e come proteggere le identità di sviluppatori e data scientist senza rallentare l'innovazione.

Scopri perché le aziende stanno sostituendo il controllo delle applicazioni legacy con il privilegio minimo per migliorare sicurezza, efficienza e conformità.

Il ciclo di vita di 47 giorni per i certificati TLS entrerà in vigore nel 2029. La gestione manuale del loro ciclo di vita non è più sostenibile.

Preparati alla riduzione della durata dei certificati TLS. Scarica la checklist di preparazione in quattro passaggi per valutare l'automazione e prevenire interruzioni.

Leader per la settima volta nel Magic Quadrant™ di Gartner® per il PAM. Accedi al report e scopri perché.

Scopri come automatizzare il rinnovo dei certificati su larga scala, aumentare l'affidabilità e monitorare il ROI in questo webinar con approfondimenti dai Discover Financial Services.

Scopri come una moderna gestione delle sessioni e Zero Standing Privileges rafforzano i programmi PAM, supportando cloud, conformità e lavoro ibrido.

L’evoluzione del cloud aumenta i rischi. Partecipa a CyberArk e IDC per scoprire come l’ingegneria delle piattaforme protegge l’accesso, gestisce i rischi e favorisce l’innovazione.