La gestión de las identidades de máquinas puede ser tan importante como la de los humanos, especialmente en los entornos de confianza cero.
Las identidades de las máquinas son una parte muy importante y hacen crecer de manera muy rápida la superficie de ataque corporativa. La cantidad de servidores, dispositivos y servicios hace que los esfuerzos para asegurarlos se puedan quedar cortos. Los ciberdelinucentes se están aprovechando y los ataques que involucraron el uso indebido de identidades de máquinas aumentaron un 1600% en los últimos cinco años, según un informe de Venafi.
La consultora Gartner estimó que este tipo de identidades es una de las principales tendencias de la industria para este ejercicio. En 2020, el 50% de las fallas en la nube se debieron a una gestión inadecuada de las identidades, el acceso y los privilegios, tal y como cita la firma de análisis. En 2023, ese porcentaje aumentará al 75%. “Gastamos miles de millones de dólares cada año en gestión de acceso e identidad para humanos, desde biometría hasta accesos privilegiados, pero se dedica muy poco tiempo a la defensa de las identidades de nuestras máquinas”, aseguró Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi. “Sin embargo, al igual que con las identidades humanas, en manos de la persona equivocada, estas también pueden ser mal utilizadas”.
Las empresas suelen confiar demasiado en las máquinas de sus redes, dijo Chris Owen, director de gestión de productos de Saviynt. “Esto significa que pueden conectarse a otros recursos en red sin intervención humana o formas tradicionales de autenticación. Entonces, si una máquina se ve comprometida, los atacantes podrían moverse utilizando esas rutas de máquina a máquina”.
Afortunadamente, las empresas están empezando a darse cuenta del problema. Según un informe publicado por Ponemon Institute y Jeyfactor, el 61% de los profesionales de TI aseguró que el robo o mal uso de las identidades de las máquinas es una preocupación grave, frente al 34% del año pasado. La concienciación es el primer paso para abordar el desafío, pero las empresas pueden tomar otras medidas más específicas para comenzar a controla el problema.
1) Conozca sus certificados, claves y activos digitales
Según Ponemon, de media, las organizaciones de TI tienen más de 267.000 certificados internos, lo que supone un aumento del 16% en comparación con 2021. Los certificados y claves están asociados con la infraestructura operativa, con el Internet de las Cosas (IoT, de sus siglas inglesas), con la infraestructura local, en nube y con los contenedores. Algunos de estos certificados y claves son antiguos, otros están codificados y otros entrelazados con otras identidades.
Según una encuesta de Vanson Boorne, el 61% de las organizaciones desconoce por completo los certificados y las claves de sus activos digitales. De aquellos que carecen de visibilidad, el 96% dijo que había experimentado consecuencias. Los problemas más comunes fueron las interrupciones del sistema y pérdidas financieras asociadas.
Ian Reay, vicepresidente de ingeniería de Hitachi ID Systems, dijo que ha visto casos en los que las empresas se han metido en serios escollos como resultado de no saber qué estaba pasando con las identidades de las máquinas. Por ejemplo, una gran compañía estadounidense estaba realizando el mantenimiento de sus impresoras y necesitaba cambiar las contraseñas. “¿Qué podría salir mal?”, señaló. “Siguieron todos los controles de cambio, pero luego se dieron cuenta de que sus sistemas de producción se estaban desconectando y no sabían por qué”. Después de un par de horas muy estresantes de interrupciones globales, se dieron cuenta de lo que había sucedido. “Hace unos 20 años, uno de los administradores usó la cuenta de la impresora para otros fines y, desde entonces, se usó tanto para las impresoras como para los sistemas de producción. Esto es algo increíblemente difícil de ver y de predecir”.
2) Cambie las claves y los certificados con frecuencia
Cuando las claves y los certificados son estáticos, los convierte en objetivos perfectos para el robo y la reutilización, expresó Anusha Iyer, cofundadora y CTO de Corsha. “De hecho, los ataques de credential stuffing se han desplazado en gran medida de nombres de usuario y contraseñas humanas a credenciales API, que son esencialmente representantes de la identidad de la máquina en la actualidad”.
A medida que los ecosistemas API experimentan un crecimiento inmenso, este problema es un desafío cada vez mayor. La gestión inadecuada de las identidades de las máquinas puede generar vulnerabilidades de seguridad. En el peor de los casos, los atacantes pueden acabar con áreas enteras en el entorno de TI de una sola vez. “Los atacantes pueden usar API conocidas con un certificado real para obtener acceso a controles de procesos, transacciones o infraestructura ruptura, con resultados devastadores”. Para protegerse contra esto, las empresas deben tener una autorización estricta de las máquinas de origen, las conexiones en la nube, los servidores de aplicaciones, los dispositivos portátiles y las interacciones API. Lo más importante es que los certificados de confianza no deben ser estáticos y han de cambiarse y actualizarse con frecuencia. Nunca deben ser codificados en una API.
Puede ser complicado cambiar los certificados para cada transacción, pero con actualizaciones más frecuentes, las empresas tendrán un entorno más seguro. Además, las empresas deben contar con procesos para revocar certificados y claves inmediatamente cuando los dispositivos o procesos se dan de baja. Gartner recomendó que las empresas eliminen la confianza implícita de toda la infraestructura informática y, en su lugar, la reemplacen con confianza adaptable en tiempo real.
3) Adopte soluciones de gestión de identidades de máquinas
Gartner coloca la gestión de identidades de máquinas en la categoría de tecnologías de gestión de identidades y accesos (IAM). De acuerdo con su último informe, esto se está acercando al pico de las expectativas y todavía deberán pasar entre dos y cinco años para llegar a su máxima productividad. Según la encuesta de Vanson Borune, el 95% de las organizaciones está implementando, o planea hacerlo, flujos de trabajo automatizados de administraciones de identidades de máquinas, ya sea en modelos híbridos o como servicio. Sin embargo, solo el 32% ha instalado completamente la gestión moderna de este apartado. Según el estudio, el 53% todavía usa hojas de cálculo como el núcleo de la gestión de identidad de sus máquinas, y el 93% tiene estas hojas para algún momento del proceso.
Un problema, dijo Chris Hickman, CSO de Keyfactor, es que en la mayoría de las organizaciones, la propiedad de la identidad de la máquina está implícita en lugar de ser asignada expresamente. “Por lo tanto, muchas empresas terminan con un enfoque en silos para la gestión de identidades de máquinas, y, lo que es peor, muchas de estas no las gestiona nadie. Por eso, aconsejó que las compañías establezcan grupos centrales de funciones cruzadas con responsabilidades específicas para la gestión de todas las identidades de máquinas.
4) Adopte la automatización
Las empresas que tienen flujos de trabajo automatizados como parte de la gestión de la identidad de sus máquinas ven beneficios significativos. De los que cuentan con la automatización, el 50% puede realizar un seguimiento de todos los certificados y claves, en comparación con solo el 28% de los que no cuentan con esta tecnología. Según la encuesta de Vanson Bourne, solo el 33% ha implementado completamente flujos de trabajo automatizados, y el 48% está en proceso de hacerlo. Otro 15% tiene planes para implementarla y el 4% no tiene ningún tipo de estrategia en este sentido.
Los tomadores de decisiones de TI dijeron que esperan que la automatización reduzca los costes, el tiempo dedicado a administrar claves y certificados y simplifique y optimice los flujos de trabajo.
5) Incluya la nube en los planes de gestión de identidad de las máquinas
A medida que las empresas trasladan la infraestructura de las instalaciones a la nube, el 92% ha tenido que repensar y cambiar las soluciones de gestión de identidad de las máquinas, tal y como reza el mismo informa. Y el 76% mencionó que la solución que tiene implementada no es totalmente compatible con arquitecturas híbridas o en la nube.
Un enfoque único no es práctico en entornos de múltiples nubes. Las empresas pueden implementar un único marco general que centralice algunas funciones pero deje espacio para las herramientas nativas. Menos de la mitad de las empresas pretenden tener una única solución de administración de identidades de máquinas que cubra todas las implementaciones en la nube. En su lugar, el 37% planea tener un sistema de administración de identidad de máquina separado para cada nube, con una política central para cubrirlos a todos, y el 22% busca tener sistemas separados sin una política central.
6) Incluir robots en los planes de gestión
A lo largo de la pandemia, las empresas han acelerado sus estrategias de automatización. Según Forrester, el mercado mundial de software de automatización de procesos robóticos (RPA, de sus siglas inglesas) alcanzará los 6.500 millones de dólares en 2025, frente a los 2.400 millones de 2021. Estas identidades también deben administrarse comenzando por definir las mejores prácticas y los principios rectores sobre cómo integrar estas herramientas en el tejido de la identidad.
7) Incluya máquinas en planes de confianza cero
La confianza cero es una de las principales prioridades de seguridad, si no la principal. Según un informe de Information Security Media Group, el 100% dijo que la confianza cero es importante para reducir el riesgo de seguridad. Esta filosofía no trata solo de exigir que los usuarios estén completamente autenticados en todo momento, sino que también se aplica a procesos y dispositivos. “Administrar las identidades de los dispositivos es especialmente importante en el nuevo modelo de seguridad”, indicó Bo Lane, jefe de arquitectura de Kudelsku Security. “Cuando un dispositivo empresarial no recibe ningún estado de confianza especial en la red, debe tener una forma de identificar y autorizar interacciones con otros dispositivos, servicios o datos”.
-Maria Korolov, cio.com