La debilidad secreta que los ejecutivos pasan por alto: las identidades no humanas

Durante años, proteger los sistemas de una empresa era sinónimo de proteger su «perímetro». Había lo que era seguro «dentro» y lo que era inseguro en el mundo exterior. Construimos cortafuegos resistentes e implementamos sistemas de detección sofisticados, confiados en que mantener a los bárbaros fuera de los muros mantendríamos seguros nuestros datos y sistemas.

El problema es que ya no operamos dentro de los confines de instalaciones físicas locales y redes controladas. Los datos y las aplicaciones ahora residen en entornos de nube y centros de datos distribuidos, a los que pueden acceder usuarios y dispositivos que se conectan desde cualquier parte del planeta. Los muros se han derrumbado y el perímetro se ha disuelto, abriendo la puerta a un nuevo campo de batalla: la identidad .

La identidad es el eje central de lo que la industria ha elogiado como el nuevo estándar de oro de la seguridad empresarial: la «confianza cero». En este paradigma, la confianza explícita se vuelve obligatoria para cualquier interacción entre sistemas, y no debe subsistir ninguna confianza implícita. Toda solicitud de acceso, independientemente de su origen, debe ser autenticada, autorizada y validada continuamente antes de conceder el acceso.

La naturaleza dual de la identidad

La identidad es un concepto amplio con una doble realidad. Por un lado, las personas necesitan acceder a su correo electrónico y calendario, y algunos (en particular los ingenieros de software) necesitan acceso privilegiado a un servidor o base de datos para realizar su trabajo. La industria ha ido perfeccionando la gestión de estas identidades durante los últimos 20 años a medida que los empleados se incorporan a la empresa, obtienen privilegios para determinados sistemas y, finalmente, abandonan la misma.

Por otro lado, tenemos otro tipo de identidad: las identidades de máquina, también denominadas identidades no humanas (NHIs) , que representan la gran mayoría de todas las identidades (se estima que superan en número a las identidades humanas al menos en un factor de 45 a 1 ).

A diferencia de sus contrapartes humanas, las NHI (que van desde servidores, aplicaciones o procesos) no están vinculadas a individuos y, por lo tanto, plantean un problema completamente diferente:

• Carecen de medidas de seguridad tradicionales porque, a diferencia de los usuarios humanos, no podemos simplemente aplicar MFA a un servidor o una clave API.
• Cualquier persona de la empresa puede crearlos en cualquier momento ( pensemos en el departamento de marketing que conecta su CRM con el cliente de correo electrónico) con poca o ninguna supervisión. Están dispersos en una gran variedad de herramientas, lo que hace que su gestión sea increíblemente compleja.
• Son abrumadoramente privilegiadas y muy a menudo «obsoletas»: a diferencia de las identidades humanas, las NHI tienen muchas más probabilidades de permanecer vigentes mucho tiempo después de haber sido utilizadas. Esto crea una situación de alto riesgo en la que las credenciales con exceso de privilegios y amplios permisos permanecen incluso después de que haya finalizado su uso previsto.

Todo esto en conjunto presenta la tormenta perfecta para las grandes empresas que se enfrentan a entornos de nube en expansión y cadenas de suministro de software intrincadas. No es sorprendente que las identidades mal administradas ( de las cuales la proliferación de secretos es un síntoma ) sean ahora la causa principal de la mayoría de los incidentes de seguridad que afectan a las empresas en todo el mundo.

Fuente y redacción: thehackernews.com