[01/06/2022] Las identidades de las máquinas son una parte importante y de rápido crecimiento de la superficie de ataque de las empresas. El número de máquinas -servidores, dispositivos y servicios- está creciendo rápidamente, y los esfuerzos para asegurarlas a menudo se quedan cortos.
Los ciberdelincuentes y otros actores de amenazas se han aprovechado rápidamente. Los ciberataques que implican el uso indebido de las identidades de las máquinas han aumentado un 1.600% en los últimos cinco años, según un informe publicado el otoño pasado por el proveedor de ciberseguridad Venafi.
La empresa de investigación Gartner nombró la identidad de las máquinas como una de las principales tendencias de ciberseguridad del año, en un informe publicado la primavera pasada. En el 2020, el 50% de las fallas de seguridad en la nube serán consecuencia de una gestión inadecuada de las identidades, los accesos y los privilegios, según otro informe de Gartner. En el 2023, ese porcentaje aumentará al 75%.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Gastamos miles de millones de dólares cada año en la gestión de identidades y accesos para humanos -desde la biometría hasta la gestión de accesos privilegiados-, pero muy poco tiempo de inversión se destina a la defensa de las identidades de nuestras máquinas", señala Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi. "Sin embargo, al igual que ocurre con las identidades humanas, en manos de la persona equivocada, la identidad de una máquina puede tener un mal uso".
Las empresas suelen confiar demasiado en los dispositivos de sus redes, afirma Chris Owen, director de gestión de productos de Saviynt. "Esto significa que pueden conectarse a otros recursos de la red sin intervención humana o formas tradicionales de autenticación", sostiene. "Así que, si uno de ellos se ve comprometido, los atacantes podrían moverse por la red utilizando estas vías de dispositivo a dispositivo".
Afortunadamente, las empresas están empezando a tomar conciencia del problema. Según un informe publicado por el Instituto Ponemon y Keyfactor en marzo, el 61% de los profesionales de TI dicen que el robo o el mal uso de las identidades de las máquinas es una preocupación seria, frente al 34% del año pasado.
La concientización es el primer paso para abordar el problema, pero las empresas pueden tomar otras medidas más específicas para empezar a controlar el problema de la identidad de las máquinas. He aquí siete de ellas.
1. Conozca sus certificados, claves y activos digitales
Según Ponemon, la organización de TI media tiene más de 267 mil certificados internos, un aumento del 16% en comparación con el año pasado. Los certificados y las claves están asociados a la infraestructura operativa, a la IoT, a la infraestructura de TI local, a la infraestructura en la nube y a la infraestructura en contenedores. Algunos de estos certificados y claves son antiguos. Algunos están codificados. Algunos están entrelazados con otras identidades.
Según una encuesta realizada por Vanson Bourne a los responsables de la seguridad informática en nombre de AppViewX, publicada la pasada primavera, el 61% de las organizaciones carecen de un conocimiento completo de los certificados y claves de sus activos digitales. De las que carecen de visibilidad, el 96% afirma haber sufrido consecuencias. ¿El problema más común? Las violaciones de la ciberseguridad, señaladas por el 55% de los encuestados. El 35% de los encuestados informó de interrupciones del sistema, y el 33% de pérdidas financieras.
Ian Reay, vicepresidente de ingeniería de Hitachi ID Systems, señala que ha visto casos en los que las empresas se han metido en serios problemas por no saber qué pasaba con las identidades de las máquinas. Por ejemplo, una importante organización estadounidense estaba realizando el mantenimiento de sus impresoras de marketing y necesitaba cambiar las contraseñas.
"Solo las impresoras. ¿Qué podría salir mal?", pregunta Reay. "Siguieron todos los controles de cambio y cambiaron las contraseñas. Entonces se dieron cuenta de que sus sistemas de producción se desconectaron, y no sabían por qué".
Un par de horas después de cortes globales muy estresantes, se dieron cuenta de lo que había pasado. "Hace unos 20 años, uno de los administradores utilizaba la cuenta de la impresora para otros fines", comenta Reay. "Se enredó. Se utilizaba tanto para las impresoras como para el entorno de producción. Eso es increíblemente difícil de ver y predecir con antelación".
Cuando intentaron volver a cambiar la contraseña a la antigua, no pudieron. La antigua contraseña ya no cumplía con sus políticas de contraseñas de Active Directory. Los altos ejecutivos tuvieron que intervenir para permitir una excepción a la política de contraseñas.
Las empresas suelen tener varias listas, listas que están fracturadas, mal mantenidas y llenas de errores, anota Reay. "Lo que descubrimos con nuestros clientes, incluso con los que están a la cabeza, es que la mayoría no está en condiciones de afrontar este problema. Es demasiado desalentador".
2. Cambiar las claves y los certificados con frecuencia
Cuando las claves y los certificados son estáticos, se convierten en objetivos propicios para el robo y la reutilización, señala Anusha Iyer, cofundadora y CTO de Corsha, un proveedor de ciberseguridad. "De hecho, los ataques de relleno de credenciales se han desplazado en gran medida desde los nombres de usuario y las contraseñas humanas a las credenciales de las API, que son esencialmente apoderados de la identidad de la máquina hoy en día", anota.
Como los ecosistemas de APIs están experimentando un inmenso crecimiento, este problema no hace más que aumentar. Una gestión inadecuada de las identidades de las máquinas puede dar lugar a vulnerabilidades de seguridad, coincide Prasanna Parthasarathy, director de soluciones senior en el Centro de Excelencia de Ciberseguridad de Capgemini Americas. En el peor de los casos, los atacantes pueden acabar con áreas enteras del entorno informático de una sola vez, afirma.
"Los atacantes pueden utilizar llamadas a la API conocidas con un certificado real para acceder a los controles de los procesos, las transacciones o la infraestructura crítica, con resultados devastadores".
Para protegerse contra esto, las empresas deben tener una autorización estricta de las máquinas de origen, las conexiones de la nube, los servidores de aplicaciones, los dispositivos de mano y las interacciones de la API, anota Parthasarathy. Lo más importante es que los certificados de confianza no deben ser estáticos, añade. "Deben cambiarse o actualizarse con frecuencia. Nunca deben estar codificados en una llamada a la API".
Parthasarathy admite que puede ser difícil cambiar los certificados para cada transacción, pero con actualizaciones más frecuentes, las empresas tendrán un entorno más seguro. Además, las empresas deben contar con procesos para revocar los certificados y las claves inmediatamente cuando los dispositivos o los procesos se retiren. Gartner recomienda que las empresas eliminen la confianza implícita de toda la infraestructura informática y la sustituyan por una confianza adaptativa en tiempo real.
3. Adoptar soluciones de gestión de la identidad de las máquinas
Gartner incluye la gestión de la identidad de las máquinas en la categoría de tecnologías de gestión de la identidad y el acceso (IAM, por sus siglas eninglés). Según el último hype cicle de la empresa, la gestión de la identidad de las máquinas se está acercando a la cima de las expectativas infladas, y aún faltan de dos a cinco años para la "meseta de la productividad".
Según la encuesta de Vanson Bourne, el 95% de las organizaciones están implementando o planean implementar flujos de trabajo automatizados para la gestión de la identidad de las máquinas, la gestión de la identidad de las máquinas como servicio, o la capacidad de gestionar los ciclos de vida de los certificados en modelos de implementación híbridos. Sin embargo, solo el 32% ha implementado completamente la gestión moderna de la identidad de la máquina. Según la encuesta, el 53% de las organizaciones sigue utilizando hojas de cálculo como núcleo de su gestión de la identidad de las máquinas, y el 93% tiene hojas de cálculo en alguna parte del proceso.
Uno de los problemas, señala Chris Hickman, CSO de Keyfactor, es que, en la mayoría de las organizaciones, la propiedad de la identidad de una máquina está implícita, en lugar de ser asignada expresamente. "Por lo tanto, muchas organizaciones terminan con un enfoque de silo para la gestión de la identidad de las máquinas y, lo que es peor, muchas de estas identidades no son gestionadas por nadie". Recomienda que las empresas establezcan grupos centrales de funciones cruzadas con responsabilidad específica para la gestión de todas las identidades de las máquinas.
4. Adoptar la automatización
Según la encuesta de Vanson Bourne, las empresas que han automatizado los flujos de trabajo como parte de la gestión de la identidad de las máquinas obtienen importantes beneficios. El 50% de las que cuentan con automatización son capaces de realizar un seguimiento de todos los certificados y claves, en comparación con solo el 28% de las que no cuentan con automatización. Solo el 33% de las organizaciones ha implementado completamente los flujos de trabajo automatizados, y el 48% aún está en proceso de hacerlo. Otro 15% tiene planes para poner en marcha la automatización, y solo el 4% no tiene ningún plan de automatización en esta área.
Los responsables de la seguridad informática afirman que esperan que la automatización reduzca los costos, disminuya el tiempo dedicado a la gestión de claves y certificados, y simplifique y agilice los flujos de trabajo. "La automatización es esencial", afirma Bocek de Venafi. "Las iniciativas de transformación digital se estancan sin una gestión automatizada". La automatización también reducirá la posibilidad de que se produzcan errores humanos, añade, lo que puede abrir el camino a las brechas de seguridad.
5. Incluir la nube en los planes de gestión de la identidad de las máquinas
A medida que las empresas trasladan la infraestructura de las instalaciones a la nube, el 92% ha tenido que replantearse y cambiar las soluciones de gestión de la identidad de las máquinas, según la encuesta de Vanson Bourne. Y el 76% dice que la solución que tienen en marcha no es totalmente capaz de soportar despliegues en la nube o híbridos.
En un informe reciente, Laurence Goasduff, analista de Gartner, afirma que un enfoque de "cristal único" para la gestión de la identidad de las máquinas todavía no es práctico en los entornos multi-nube. Las empresas pueden implementar un único marco general que centralice algunas funciones, pero que deje espacio a las herramientas nativas, afirma.
Según la encuesta de Vanson Bourne, menos de la mitad de las empresas planean tener una única solución de gestión de la identidad de las máquinas que cubra todos los despliegues en la nube. En cambio, el 37% planea tener un sistema de gestión de la identidad de las máquinas independiente para cada nube, con una política central para cubrirlas todas, y el 22% planea tener sistemas separados sin una política central.
6. Incluir los robots en los planes de gestión de la identidad de las máquinas
Durante la pandemia mundial, las empresas han acelerado sus estrategias de automatización. Según Forrester, el mercado mundial de software de automatización de procesos robóticos alcanzará los 6.500 millones de dólares en el 2025, frente a los 2.400 millones de dólares del 2021. Estas identidades robóticas de software también necesitan ser gestionadas, anota Goasduff en el informe de Gartner. "Comience por definir las mejores prácticas y los principios rectores sobre cómo integrar las herramientas de RPA en el tejido de la identidad", sostiene, "y trate a los robots de software de RPA como otra carga de trabajo que necesita una identidad de máquina".
7. Incluir las máquinas en los planes de confianza cero
La confianza cero es una de las principales prioridades de seguridad de las empresas, si no la principal. Según una encuesta publicada este mes de febrero por el Information Security Media Group, el 100% afirma que la confianza cero es importante para reducir los riesgos de seguridad.
La confianza cero no consiste únicamente en exigir a los usuarios que se autentiquen completamente en todo momento. También se aplica a los procesos y dispositivos. "La gestión de las identidades de las máquinas es especialmente importante en el nuevo modelo de seguridad de confianza cero", afirma Bo Lane, jefe de arquitectura de soluciones de Kudelski Security. "Cuando un dispositivo de la empresa no recibe ningún estatus de confianza especial en la red, debe tener una forma de identificar y autorizar las interacciones con otros dispositivos, servicios o datos".
Según una encuesta de Fortinet publicada a principios de este año, el 84% de las organizaciones tienen una estrategia de confianza cero en marcha o en desarrollo. Sin embargo, la capacidad de autenticar los dispositivo de forma continua es un problema para el 59% de las empresas, según la encuesta.
Basado en el artículo de Maria Korolov (CSO) y editado por CIO Perú
Puede ver también: