Ciberseguridad
Identidad
Autenticación

¿Qué son las identidades no humanas y por qué son importantes?

Cuando los sistemas digitales necesitan acceso y permisos, requieren de credenciales al igual que los seres humanos. Estas identidades no humanas permiten que muchos componentes de sistemas complejos trabajen juntos, pero plantean importantes problemas de seguridad.

identidad digital
Foto de Vadim Bogulov (Unsplash).

La gestión de identidades y accesos (IAM, por sus siglas en inglés) es tan crítica para la ciberseguridad que ha generado axiomas universales como "la identidad es el nuevo perímetro" o "los hackers no piratean, inician sesión" para subrayar su importancia. 

No es de extrañar cuando fuentes reputadas como el informe Verizon Data Breach Investigations Report nombran habitualmente las credenciales comprometidas como vector de ataque central de incidentes y filtraciones de datos. La preocupación universal por la IAM ha llevado a todo el sector a impulsar el zero trust y la disolución del modelo de perímetro de red heredado en ciberseguridad. 

El debate en torno a la IAM suele centrarse en proteger los nombres de usuario y las contraseñas y las identidades asociadas a usuarios humanos. Pero las identidades no humanas (NHI, por sus siglas en inglés) -credenciales digitales y automáticas asociadas a aplicaciones, dispositivos u otros sistemas automatizados- tienen una huella de acceso mucho mayor que la de los humanos. 

 

Las identidades no humanas superan en número a las humanas en una proporción de hasta 50 a 1

Algunas organizaciones han descubierto que por cada 1.000 usuarios humanos, las organizaciones suelen tener 10.000 conexiones o credenciales no humanas; en algunos casos, las NHI pueden superar en número a las identidades humanas hasta en un 50 a 1. 

Las NHI pueden incluir tipos de identidad como cuentas de servicio, cuentas de sistema, roles IAM y otras identidades basadas en máquinas utilizadas para facilitar las actividades de autenticación en una empresa y está orientada en torno a claves API, tókenes, certificados y secretos. 

También sabemos que los secretos siguen siendo un reto en rápido crecimiento en la era de los entornos y metodologías nativos de la nube, con millones de secretos detectados en escaneos de repositorios públicos de GitHub y miles expuestos en violaciones de datos, como la sufrida por Samsung. 

Esta explosión de los NHI ha sido liderada por factores como el empuje hacia los microservicios, los clústeres y contenedores Kubernetes, las integraciones y automatización en la nube, y la proliferación de servicios SaaS de terceros que las organizaciones están consumiendo. 

 

Una NHI es esencial para el acceso y la autenticación de máquina a máquina 

Cada tipo de identidad tiene su propia forma única de facilitar y gobernar el uso de los NHI para el acceso y la autenticación de máquina a máquina. Las NHI no sólo son gigantes en número, sino que su gobernanza es aún más complicada, ya que existen en toda la empresa, entre diferentes herramientas, servicios, entornos y más, todo ello a menudo con una seguridad que tiene una visibilidad y un control limitados sobre su uso seguro o a lo largo de su ciclo de vida de identidad. 

La importancia de proteger las NHI no pasa desapercibida para los CISO y los responsables de seguridad: la empresa de inversión Felicis publicó una encuesta realizada a más de 40 CISO estadounidenses líderes del sector y descubrió que las NHI eran el principal punto conflictivo que necesitaba una solución satisfactoria. Esto ilustra cuántos líderes de seguridad están identificando lagunas en su pila de seguridad de identidades cuando se trata de abordar este riesgo emergente. 

La importancia de proteger las identidades de las máquinas se subraya en la publicación fundacional del zero trust del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos Zero Trust Architecture, en la que se hace hincapié en que a menudo se conceden privilegios especiales a las NHI, que actúan en nombre de los desarrolladores y administradores de sistemas. 

 

Las NHI suponen un reto exponencialmente mayor que las identidades humanas 

Los equipos de seguridad dedican mucha energía y recursos a asegurar las credenciales e identidades humanas, como el aprovisionamiento, el control de acceso menos permisivo, el alcance, el desmantelamiento y medidas de seguridad sólidas como la autenticación multifactor (MFA). 

Pero la mera escala y opacidad de las NHI dentro de la empresa y fuera de ella -cuando se tienen en cuenta terceras partes como proveedores de servicios externos, socios, entornos y más- las hace exponencialmente más desafiantes. 

Los desarrolladores, ingenieros y usuarios finales de toda la organización y el ecosistema en general a menudo crean NHI y les conceden acceso sin una comprensión profunda de las implicaciones de estas credenciales de larga duración, su nivel de acceso y su potencial explotación por parte de actores maliciosos. Todo, sin la gobernanza o la participación de los equipos de seguridad. 

Las implicaciones de esto se están manifestando en identidades excesivamente permisivas. Algunas empresas de seguridad nativas de la nube han descubierto que sólo el 2% de los permisos concedidos se utilizan realmente, lo que sugiere que existe una proliferación masiva de identidades no gobernadas, a menudo no seguras, con muchos más accesos y permisos de los necesarios, lo que las hace propicias para la explotación y el abuso por parte de los atacantes. 

 

El acceso a las NHI se ve facilitado por Open Authorization

Las NHI son una parte fundamental de la habilitación de actividades, flujos de trabajo y tareas en entornos empresariales, a menudo utilizando software y servicios ampliamente generalizados y populares como Google, GitHub, Salesforce, Microsoft 365/Azure AD, Slack y más. 

Gran parte del acceso programable basado en máquinas se facilita mediante un popular estándar de autorización en línea conocido como Open Authorization (OAuth). Se puede utilizar para facilitar el acceso delegado para varios tipos de clientes, como aplicaciones basadas en navegador, aplicaciones móviles, dispositivos conectados y más. 

OAuth utiliza tókenes de acceso, que son piezas de datos utilizadas para representar la autorización para acceder a los recursos en nombre de los usuarios finales en la empresa o fuera de ella. OAuth utiliza componentes básicos para facilitar esta actividad, incluyendo servidores y propietarios de recursos, servidores de autorización y clientes.

 

Los ataques a la cadena de suministro de software están cada vez más extendidos 

Lo que hace que el uso de OAuth sea potencialmente problemático es que el consumidor o usuario final no tiene control sobre cómo se almacenan esos tókenes. Todo esto es manejado por el proveedor de servicios externos o aplicación. 

Esto no es intrínsecamente problemático, excepto porque sabemos que los ataques a la cadena de suministro de software van en aumento. Los atacantes se han dado cuenta de que es mucho más eficaz atacar a proveedores de software de uso generalizado que a un único individuo u organización cliente. 

Estos ataques no sólo se centran en componentes de software de código abierto ampliamente utilizados, como Log4j y XZ Utils, sino también en las mayores empresas de software del mundo, como Okta, GitHub y Microsoft. El ataque a Microsoft involucró a hackers de Estados-nación que abusaron de Microsoft Office 365 y su uso de OAuth. 

El incidente incluso impactó al Gobierno de los Estados Unidos, lo que llevó a un informe de la Junta de Revisión de Seguridad Cibernética (CSRB) que hizo algunas afirmaciones condenatorias sobre la cultura de seguridad en una de las mayores empresas de software del planeta. En las propias directrices de Microsoft para el personal de respuesta ante el ataque de Estado-nación se explicaba cómo la APT era "experta en identificar y abusar de las aplicaciones OAuth para moverse lateralmente por entornos en la nube".

OAuth no es más que uno de los focos de estos ataques, como ya se ha comentado, pero los atacantes también se están aprovechando de los tókenes de acceso personal (PAT), las claves API, las cuentas de servicio, los tókenes y otras formas de secretos que pueden utilizarse para comprometer sistemas y datos internos o dirigirse a clientes y conexiones externas. 

 

Las NHI están aumentando en uso y como vector de ataque

Esto no sólo pone de relieve la necesidad de proteger las NHI, sino también de que las organizaciones cuenten con un sólido plan de gobernanza de SaaS, debido al hecho de que cuando se trata de la seguridad en la nube, la mayoría de las organizaciones pueden estar utilizando dos o tres proveedores de IaaS, pero varios cientos de proveedores de SaaS, que a menudo no están bajo la competencia de los equipos de seguridad interna y con poca o ninguna seguridad o rigor en relación con el nivel de acceso, los tipos de datos o la visibilidad de los proveedores externos de SaaS en caso de que se vean afectados por un ataque a la cadena de suministro de software

El papel de los proveedores externos de servicios de Internet en incidentes importantes de ciberseguridad está llegando incluso a los archivos 8-K de la Comisión de Bolsa y Valores de Estados Unidos, como uno presentado recientemente por Dropbox, en el que se afirmaba: "El actor comprometió una cuenta de servicio que formaba parte del back-end de Dropbox Sign, que es un tipo de cuenta no humana utilizada para aplicaciones ejecutivas y ejecutar servicios automatizados". 

Esto demuestra tanto la omnipresencia de las NHI en la empresa moderna como su creciente papel como objetivo de los actores maliciosos. Las NHI son fundamentales para el ecosistema digital moderno y se utilizan mucho, tanto internamente para la nube, el desarrollo y la automatización, como externamente para integrarse con el sólido ecosistema SaaS en el que viven ahora todas las organizaciones. 

Sin un enfoque integral para asegurar las NHI, los CISO y los equipos de seguridad pueden encontrarse vulnerables y con una brecha crítica en su estrategia de seguridad de identidades. 



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper