La autenticación continúa molestando a los líderes de seguridad a medida que las empresas se vuelven más digitalizadas, ágiles y dependientes de los empleados remotos.
La autenticación sigue siendo uno de los principales desafíos a los que se enfrentan los CISO en organizaciones de todos los tamaños. Este elemento fundamental continúa causando dolores de cabeza a los directivos, que buscan identificar y autorizar a los usuarios y dispositivos que, menudo, se encuentran en localizaciones distintas. Mientras tanto, los riesgos persistentes asociados con estrategias y procesos ineficaces amenazan a las empresas más ágiles y basadas en el teletrabajo, lo que requiere que los equipos de protección reconsideren sus estrategias.
Lamont Orange, CISO de Netskope, estimó que “usamos mucha terminología para describir lo que significa abordar los métodos de autorización y autenticación requeridos para dispositivos, aplicaciones y sistemas, además de para el respaldo de las políticas que rigen estas interacciones. Antes, se implementaba la autenticación en una construcción muy básica, como el inicio de sesión y contraseña”.
Sin embargo, la estrategia moderna requiere considerar la autenticación basada en API y tokens junto con las capacidades multifactor (MFA, de sus siglas inglesas), lo que presenta varios desafíos. A su vez, la autenticación es un objetivo de ataque constante, con nuevas amenazas y vulnerabilidades que requieren una reevaluación constante para proteger a los usuarios y los dispositivos, según contó Chris Hickman, CSO de Keyfactor. La expansión va más allá del perímetro tradicional y el cambio a la nube también juega un papel clave. “Los CISO experimentan una falta de visibilidad y capacidad para escalar a esos entornos. O sienten la necesidad continua de configurar y reconfigurar las puertas de enlace de autenticación y los proveedores de identidad para mantenerse al día con las demandas cambiantes”.
Asimismo, la fricción que se genera en relación con los crecientes niveles de rigor en la verificación de una identidad también es un problema importante. En algún momento, dijo Sammy Migues, de Synopsys, los niveles más altos de rigor en la autenticación se vuelven demasiado arduos para nuestras y organizaciones y empleados.
Interoperabilidad, usabilidad y vulnerabilidades
Los desafíos que plantea la autenticación moderna abarcan la interoperabilidad, la facilidad de uso, las limitaciones técnicas y las vulnerabilidades. “Muchas empresas aún luchan por resolver la identidad del usuario, y ahora las complejidades presentan oportunidades para resolver estos retos. Sin embargo, no todas las tecnologías son lo suficientemente maduras para adaptarse. Por lo tanto, hay modelos de gobierno dispares y, a veces, soporte implícito de protocolos heredados que introducen brechas de seguridad, mientras que el uso de API y la administración de métodos de acceso pueden ser dispares dada la madurez de las API”.
Para Greg Day, CISO global en Cyberreason, la experiencia del usuario plantea el mayor desafío. “A nadie le gusta tratar de recordar contraseñas largas y complejas, o que le pidan que las ingrese cada cinco minutos, o tener que recordar 100 credenciales diferentes para todos los procesos que utiliza. Pedir a los usuarios que ingresen su propio PIN único para cada transacción mejora la seguridad, pero agrega tiempo para completar las transacciones”.
Los paradigmas de autenticación cambiantes requieren que los equipos de seguridad y tecnología reconsideren los enfoques con modelos como el de confianza cero, dijo Hickman. Y, los conceptos emergentes de autenticación biométrica también presentan obstáculos notables. “La biometría humana tiene más seguridad pero es mucho más difícil de implementar a escala e, incluso, estos sistemas pueden falsificarse”.
Acceso no autorizado y divulgación de datos entre los riesgos de autenticación ineficaz
La autorización ineficaz presenta riesgos significativos para las organizaciones con resultados que pueden manifestarse en usuarios, sistemas, servicios y dispositivos con privilegios excesivos que pueden conducir al acceso no autorizado y la divulgación de datos. “En el ecosistema DevOps, los componentes de API pueden abrirse a varias vulnerabilidades y explotaciones, como autorizaciones de nivel de ‘objeto roto’. Las autorizaciones ineficaces también introducirán API con fugas que pueden representar una amenaza de multas por violaciones de privacidad, susceptibilidad a ataques emergentes y explotación exitosa de ransomware a través de la expansión de la superficie de ataque”, mencionó Orange.
De hecho, los datos son uno de los activos más valiosos que tiene cada empresa y si no puede controlar quién tiene acceso a ellos, se ponen los negocios en riesgo”, prosiguió Day. “Con frecuencia vemos las implicaciones en el mundo real de esto a través del ransomware y las demandas cada vez mayores de pagos que acompañan a estos ataques. Controlar quién tiene acceso a los datos y con quien se comparten es fundamental para el éxito”.
Mejores prácticas para una autenticación efectiva
Las mejores prácticas de autenticación son fáciles de enumerar, pero no necesariamente fáciles de implementar, especialmente en grandes organizaciones. “No intentes inventar tu propio sistema de fichas, encriptación, protocolos… Solo piense en cuántos avisos de seguridad recibe de compañías que literalmente hacen esto para ganarse la vida, y eso es para productos maduros de calidad empresarial con miles de usuarios”.
Migues recomendo trabajar hacia la autenticación sin contraseña y garantizar que la identificación de API a API recibe el mismo enfoque que los empleados que acceden a archivos confidenciales. Para Orange, las mejores prácticas pasan por involucrar a los equipos de gobierno, riesgo y cumplimiento para las autenticaciones modernas; realizar pruebas continuas para identificar debilidades, recuperar la visibilidad y el análisis contextual a través de las soluciones implementadas, y educar y capacitar agresivamente a la fuerza laboral sobre las amenazas relacionadas.
–Michael Hill, IDG.es