Las redes empresariales modernas son entornos altamente complejos que dependen de cientos de aplicaciones y servicios de infraestructura. Estos sistemas deben interactuar de manera segura y eficiente sin una supervisión humana constante, que es donde las identidades no humanas (NHIS) entran. NHIS, incluidos los secretos de la aplicación, las claves API, las cuentas de servicio y los tokens OAuth, han explotado en los últimos años, gracias a una matriz de aplicaciones y servicios que deben trabajar juntos e identificar entre sí en la mosca. En algunas empresas, NHIS ahora superan en número a las identidades humanas hasta 50 a 1.
Sin embargo, NHIS introduce riesgos únicos y desafíos de gestión que tienen líderes de seguridad en alerta máxima. El cuarenta y seis por ciento de las organizaciones han experimentado compromisos de cuentas o credenciales de NHI durante el año pasado, y otro 26% sospechan que lo han hecho, según un informe reciente de Enterprise Strategy Group.
No es de extrañar que NHIS, y las dificultades que presentan con supervisión, reducción de riesgos y gobernanza, hayan sido un tema recurrente en el Foro CISO de Okta. Aquí, exploraremos su aumento, riesgos y cómo los CISO y los líderes de seguridad los administran hoy.
El ascenso espectacular de NHIS
El aumento en NHIS se puede rastrear al uso creciente de servicios en la nube, IA y automatización, y flujos de trabajo digitales. Es una tendencia que probablemente continúe, ya que cada vez más tareas son automatizadas y los humanos son menos parte de la ecuación.
NHIS permite que las aplicaciones se autenticen entre sí, tanto dentro de un dominio específico como con aplicaciones de terceros como los servicios en la nube. Esos secretos, claves y tokens son tan sensibles como las credenciales utilizadas por los humanos, y en algunos casos, aún más, ya que pueden proporcionar a los adversarios un poderoso acceso a aplicaciones y servicios específicos si se filtran.
Los CISO se están dando cuenta. De hecho, más del 80% de las organizaciones esperan aumentar el gasto en seguridad de identidad no humana.
Según Mark Sutton, CISO de Bain Capital, «las identidades no humanas se han convertido en un foco para los equipos basados en la madurez de sus programas de gestión de identidad y acceso. Se está convirtiendo rápidamente en el próximo incendio más popular porque las personas tienen identidades de usuarios algo resueltas. La progresión natural es comenzar a mirar las cuentas de servicio e identidades no humanas de máquina a máquina, incluidas las API».
En pocas palabras, una vez que las organizaciones establecen protocolos fuertes para asegurar las identidades humanas, el siguiente paso lógico es abordar NHIS. «Eso, y las identidades no humanas son parte del panorama de amenazas, y es a donde los atacantes van a continuación».
Fugas secretas y otros riesgos de NHIS
Al igual que cualquier otro conjunto de credenciales, los NHIS son sensibles y necesitan ser protegidos. Pero si bien los humanos pueden emplear medidas de seguridad sólidas, como MFA o biometría para proteger las credenciales confidenciales, los NHI a menudo dependen de medidas menos seguras para la autenticación. Eso puede hacerlos objetivos fáciles para los atacantes.
La fuga de los secretos de NHI también puede ser una preocupación seria. Esto puede suceder de varias maneras, ya sea por codificación dura en el código fuente de una aplicación o copiarlos y pegarlos accidentalmente en un documento público. La fuga secreta es un problema importante, y los secretos a menudo aparecen en los repositorios públicos de GitHub. De hecho, la firma de seguridad Gitguardian encontró más de 27 millones de nuevos secretos en repositorios públicos el año pasado. Esto plantea un problema aún mayor cuando considera que los secretos NHI no se giran muy a menudo en la mayoría de los entornos, por lo que la vida útil de un secreto filtrado podría ser bastante larga.
Y, debido a que a menudo requieren permisos amplios y persistentes para realizar tareas, NHIS puede acumular permisos excesivos, aumentando aún más la superficie de ataque. Todo esto hace de NHIS un objetivo principal para los atacantes y un gran desafío para CISOS y sus equipos de seguridad.
Tres desafíos que enfrentan los CISO para asegurar NHIS
Mientras que los NHI ahora están en el radar de Cisos, asegurarlos es otra historia. Aquí hay tres desafíos que escuchamos de CISO y cómo los administran:
- Ganando visibilidad. El mayor obstáculo para tratar de asegurar y administrar NHIS es encontrarlos. La visibilidad de dónde se encuentra en un entorno puede ser limitada, y descubrir todos o incluso la mayoría de ellos es una tarea difícil. Muchas organizaciones tienen miles de NHI que ni siquiera sabían que existían. El viejo adagio «No puedes asegurar lo que no sabes» es cierto aquí. Eso significa que descubrir e inventario de NHIS es crítico. Implementar una solución de gestión de postura de seguridad de identidad puede ayudar a los administradores y profesionales de seguridad a identificar NHIS en toda su organización.
- Priorización y reducción del riesgo. El próximo desafío es priorizar los riesgos asociados con el NHIS en el medio ambiente. No todos los NHI son iguales. Encontrar el NHIS más poderoso e identificar NHIS demasiado privilegiado es un paso clave para asegurar estas identidades. Muchas cuentas de servicio y otros NHI tienen muchos más privilegios de los que realmente necesitan, lo que puede crear riesgos para la organización. Identificar NHIS de alto valor y ajustar privilegios y permisos puede ayudar a reducir ese riesgo. «Se trata de comprender el radio de explosión asociado con cada identidad no humana y preguntar ‘¿Cuál es el riesgo?’ No todos tienen la misma amenaza «, enfatizó Sutton.
- Establecer la gobernanza. Con tantos nhis creados hoy, la gobernanza se ha convertido en una verdadera espina en el lado de Cisos. Pero cuando no se gobiernan adecuadamente, pueden suceder cosas malas: por ejemplo, la serie de violaciones de archivos de Internet vinculadas a fichas no grabadas en octubre de 2024. A menudo, los desarrolladores crean los desarrolladores para satisfacer las necesidades a corto plazo, pero rara vez se rastrean o se desmantelan correctamente. Comprender quién está creando NHIS, cómo los están creando y para qué propósito es un buen primer paso. Luego, los equipos de seguridad deben establecer un proceso claro para administrarlos para que las identidades no humanas no se puedan crear arbitrariamente. «Tenemos que pensar en cuáles son nuestras políticas de autenticación y contraseña», dice Sutton. «Por ejemplo, es probable que haya muchas cuentas de servicio con contraseñas débiles y estáticas que no han sido rotadas durante años. ¿Cómo nos aseguramos de que las administremos?»
Pensamientos finales
Las identidades no humanas son esenciales para las empresas hoy en día, ayudándoles a automatizar procesos, habilitar integraciones y garantizar operaciones sin problemas. El desafío: son difíciles de asegurar y son un objetivo atractivo para los actores de amenaza porque a menudo no son federados, carecen de MFA, usan credenciales estáticas y tienen privilegios excesivos.
Al final del día, las identidades no humanas y las identidades humanas pueden tener diferentes características y necesidades, pero ambas requieren un enfoque de extremo a extremo que los proteja antes, durante y después de la autenticación. NHIS puede no ser personas, pero son actores cada vez más poderosos en su entorno. Eso hace que asegurarlos no sea opcional, sino urgente.
Únase a nuestra transmisión web el 18 de agosto para saber cómo las organizaciones están reduciendo el riesgo y la complejidad al administrar todas las identidades, humanas o no, bajo un sistema unificado.