Más allá de FIDO y la autenticación de dispositivos, los CISO necesitan adoptar algunas de las tecnologías de gestión de acceso e identidad en evolución que ofrecen una serie de empresas emergentes.
En mi más reciente colaboración para CIO, describí algunos de los problemas de ciberseguridad en torno a la autenticación de usuarios para la verificación de cuentas comerciales y de consumidores.
Entre otras cosas, abogué por que en esta era de trabajo remoto/híbrido, los CISO deben proteger el acceso de su empresa a los datos al tener un plan de ataque cibernético listo para implementar, comprender las nuevas herramientas y tácticas que usan los ladrones cibernéticos y estar al tanto de las nuevas tecnologías basadas en Inteligencia Artificial que pueden disminuir los riesgos de ciberseguridad. Pero ante todo, hice hincapié en que, para proteger mejor a sus organizaciones, los CISO necesitaban adoptar (si es que aún no lo habían hecho) algunas de las tecnologías de gestión de acceso e identidad en evolución que ofrecen una serie de empresas emergentes.
Las respuestas de otros profesionales de la industria generalmente coincidieron en que existen problemas relacionados con la autenticación, incluida la autenticación multifactor (MFA), pero algunos preguntaron: “¿No se supone que la Fast Identity Online (FIDO) elimina los riesgos de todo eso? ¿Acaso la FIDO Alliance no anunció recientemente nuevas pautas de UX para acelerar la adopción de MFA con claves de seguridad FIDO? Bueno, sí, pero los profesionales de la tecnología pueden hacer más. Explicaré más abajo.
¿Por qué FIDO?
FIDO, como una iniciativa de la industria, se creó hace una década para estandarizar la necesidad de tecnologías sólidas de autenticación/contraseña.
Básicamente, FIDO es un conjunto más fuerte de medidas de autenticación de seguridad, en esencia, un mejor “apretón de manos” de seguridad entre el dispositivo y un servicio de terceros.
Las empresas de la alianza incluyen miembros a nivel de directorio como Apple, Amazon, Meta, Microsoft, Google y otros bateadores tecnológicos. Colectivamente, buscan resolver los problemas causados por los usuarios que necesitan crear, mantener y recordar múltiples nombres de usuario y contraseñas.
Si bien estas iniciativas son excelentes, sólo resuelven un problema de autenticación entre el dispositivo y el servicio final. FIDO proporciona una autenticación segura y sin inconvenientes a un servicio desde un navegador, su teléfono o una aplicación. Pero la realidad es que se trata de una autenticación de dispositivo, no humana. Todavía hay un paso en la interfaz, donde el usuario debe autenticarse con el dispositivo, y esto puede verse comprometido.
Identidad y acceso: el desafío de la autenticación de usuarios
Por ejemplo, al usar el acceso de reconocimiento facial de mi teléfono, mis hijos pueden acercar mi teléfono a mi cara y ¡boom!, tienen acceso. Toda la protección adicional proporcionada por FIDO acaba de desaparecer. Mis hijos podrían haber usado (y abusado) de mis cuentas. Afortunadamente, los he criado bien. ¡O al menos eso espero!
Además, alguien podría crear una identidad falsa que me represente en su dispositivo. A partir de ese momento, el servicio de terceros cree que soy el usuario porque el dispositivo o el navegador han sido autenticados, aunque en realidad es un hacker que ha secuestrado mi identidad para configurar el dispositivo.
Obviamente, todavía existe la necesidad de una capa de autenticación continua y administración de la identidad del usuario para ayudar a protegerse contra estas vulnerabilidades. Se trata de identificar al usuario frente a la máquina de forma continua, no solo durante la configuración o el inicio de sesión.
¿Cómo podemos identificar mejor quiénes son nuestros usuarios reales y, al mismo tiempo, eliminar a los antiguos usuarios (empleados y contratistas) de las filas de aquellos que tienen acceso a algunos de los sistemas más críticos?
Aquí es donde creo que algunos de los productos más nuevos que emergen del mundo de las empresas emergentes serán muy beneficiosos para proteger a nuestras organizaciones.
Hombre vs. máquina
Resolver el problema de la identidad y autenticación del usuario humano es sólo una parte del problema. Un artículo reciente en Security Affairs señala que “mientras que las personas necesitan nombres de usuario y contraseñas para identificarse, las máquinas también necesitan identificarse entre sí. Pero en lugar de nombres de usuario y contraseñas, las máquinas usan claves y certificados que sirven como identidades de máquina para que puedan conectarse y comunicarse de forma segura”. Estos también pueden verse comprometidos por piratas informáticos.
La gestión de la identidad de los dispositivos utilizados en los servicios en la nube, las aplicaciones SaaS y otros sistemas quizás se esté convirtiendo en un problema aún mayor. Las organizaciones a menudo configuran un nuevo servicio web, crean una identidad para él y los activos de TI asociados con él, y una vez que está en funcionamiento, es probable que el personal de TI no se apresure a cambiar o actualizar las configuraciones de seguridad en esos sistemas. Una vez que se establecen las dependencias iniciales entre los dispositivos, se vuelve mucho más difícil cortar o actualizar esas relaciones complejas.
Sin embargo, una buena perspicacia en seguridad determinaría que se deberían actualizar, lo que puede ser un gran problema de gestión. Como resultado, las credenciales más antiguas y obsoletas se convierten en un objetivo más fácil de atacar.
Los piratas informáticos explotan cada vez más las credenciales de las máquinas, no de los humanos, para lanzar sus ataques. Al igual que engañar a otros humanos, los piratas informáticos pueden engañar a otras máquinas para que entreguen datos confidenciales. Según Security Affairs, dado que las identidades de las máquinas son las partes menos entendidas y débilmente protegidas de las redes empresariales, no debería sorprender que los ciberdelincuentes las exploten agresivamente. Desde Stuxnet hasta SolarWinds, los atacantes abusan cada vez más de las identidades de máquinas desprotegidas para lanzar una variedad de ataques. De hecho, en los últimos cuatro años, las amenazas dirigidas a identidades de máquinas débiles han aumentado en un 400 %.
Este es un gran problema.
La fotografía más grande
En última instancia, a medida que las empresas continúen expandiendo su uso de servicios digitales híbridos y de múltiples nubes, habrá más entidades humanas y de máquinas para administrar.
Los CIO deben liderar los equipos de operaciones de TI para garantizar la gestión de todo el ciclo de vida de identidad y acceso tanto para humanos como para máquinas. Es probable que esto involucre nuevas herramientas conectadas a IA que manejen sin problemas la integración, la detección y la automatización. Estas herramientas pueden igualmente limitar o extender el acceso a ciertas funciones tanto para el personal humano como para las acciones automatizadas, lo que mejora la seguridad y reduce los costos al eliminar licencias de cuentas innecesarias.
Además, estas soluciones llenarán un vacío que todavía genera grandes dolores de cabeza en torno al cumplimiento y la generación de informes. Construir una pista de auditoría completa en sus sistemas existentes es un comienzo. Con las automatizaciones ya implementadas, el personal de TI puede administrar mejor la gobernanza.
Listos o no, los CIO y CISO deben adaptarse al panorama cambiante de la administración de identidades y accesos para adoptar una estrategia holística o correr el riesgo de infracciones de seguridad, cumplimiento fallido y multas costosas.
Rick Grinnell, CIO.com