Las redes empresariales modernas son entornos extremadamente complejos que dependen de cientos de aplicaciones y servicios de infraestructura. Estos sistemas deben interactuar de manera segura y eficiente sin la vigilancia humana constante de la identidad no humana (NHI). NHI ha explotado en los últimos años, incluidos los secretos de la aplicación, las claves API, las cuentas de servicio y los tokens OAuth. En algunas empresas, NHIS actualmente supera a la identidad humana hasta en 50: 1.
Sin embargo, NHIS presenta sus propios riesgos y desafíos de gestión que hacen que los líderes de seguridad sean una alerta máxima. Según un informe reciente del Grupo de Estrategia Enterprise, el 46% de las organizaciones han experimentado compromisos en sus cuentas o credenciales de NHI, con un 26% adicional sospechoso.
No es de extrañar que la dificultad de NHIS en la presentación del monitoreo, la reducción de riesgos y la gobernanza se haya convertido en un tema recurrente en el Foro CISO de Okta. Aquí exploramos su aumento, riesgos y cómo los CISO y los líderes de seguridad los manejan hoy.
El ascenso épico de la NHIS
El aumento en NHIS puede derivarse del mayor uso de servicios en la nube, IA y automatización, y flujos de trabajo digitales. Cada vez más tareas están automatizadas y los humanos no son parte de la ecuación, por lo que es probable que continúe.
NHIS permite que las aplicaciones se autenticen entre sí, tanto dentro de un dominio específico como en aplicaciones de terceros, como los servicios en la nube. Debido a que estos secretos, claves y tokens son tan sensibles como las credenciales utilizadas por los humanos y, en algunos casos, pueden proporcionar un fuerte acceso a ciertas aplicaciones y servicios en caso de que se filtre un enemigo.
CISO está prestando atención. De hecho, más del 80% de las organizaciones esperan aumentar el gasto en seguridad de identidad no humana.
Según Mark Sutton, CISO de Bain Capital, «La identidad no humana se ha convertido en el foco del equipo basado en la identidad y la madurez del programa de gestión de acceso. Con cierta resolución de la identidad del usuario, se está convirtiendo en el próximo incendio caliente.
En pocas palabras, una vez que una organización ha establecido protocolos fuertes para garantizar la identidad humana, el siguiente paso lógico es abordar NHIS. «Y también, las identidades no humanas son parte de la situación de amenaza y de dónde sigue adelante el atacante».
Nhis fugas secretas y otros riesgos
Al igual que cualquier otro conjunto de credenciales, los NHIS son sensibles y necesitan ser protegidos. Sin embargo, los humanos pueden emplear medidas de seguridad sólidas como MFA y autenticación biométrica para proteger las credenciales confidenciales, mientras que NHIS a menudo depende de medios de autenticación menos seguros. Esto hace que sea más fácil atacar a los atacantes.
Las filtraciones secretas de NHI también son una preocupación seria. Esto puede ocurrir de varias maneras, ya sea que lo incorpore en el código fuente de su aplicación o lo copie accidentalmente y lo pegue en un documento público. Las filtraciones secretas son un problema grave, y los secretos a menudo aparecen en los repositorios públicos de GitHub. De hecho, la compañía de seguridad Gitguardian descubrió más de 27 millones de nuevos secretos en un repositorio público el año pasado. Esto crea aún más problemas cuando considera que los secretos de NHI no están girando muy a menudo en la mayoría de los entornos. Por lo tanto, la vida útil de los secretos filtrados puede ser bastante larga.
Además, debido a que a menudo requiere permisos permanentes extensos para realizar tareas, NHIS puede acumular exceso de privilegios y aumentar aún más la superficie de ataque. Todo esto es un objetivo importante para NHIS y un gran desafío para CISO y sus equipos de seguridad.
Tres desafíos que enfrenta CISOS para asegurar NHIS
El NHIS se encuentra actualmente en Cisos Radar, pero asegurarlos es otra historia. A continuación se presentan los tres desafíos que hemos estado escuchando del CISO y cómo los manejan.
Ganar visión. El mayor obstáculo para tratar de asegurar y administrar NHIS es encontrarlos. La visibilidad de las ubicaciones de NHIS en el medio ambiente puede ser limitada, y descubrir todos o la mayoría de ellas es una tarea difícil. Muchas organizaciones tienen miles de NHI que ni siquiera sabían que existían. Aquí, el viejo dicho: «No puedo asegurarme de que no puedo garantizar que no pueda garantizar que no lo sepa». es cierto. Esto significa que el descubrimiento y el inventario son importantes. La implementación de una solución de gestión de astuta de seguridad de identidad ayuda a los administradores y expertos en seguridad a identificar NHIS en sus organizaciones. Priorizar y reducir el riesgo. El próximo desafío es priorizar los riesgos relacionados con el NHIS en el medio ambiente. No todos los NHI se crean por igual. Encontrar el NHIS más poderoso e identificar el NHIS privilegiado es un paso importante para garantizar estas identidades. Muchas cuentas de servicio y otros NHI tienen muchos más privilegios de los que realmente necesitan, creando riesgos para la organización. Identificar NHIS de alto valor y ajustar privilegios y permisos puede ayudar a reducir ese riesgo. «Se trata de comprender el radio de explosión asociado con cada identidad no humana y preguntar:» ¿Cuál es el riesgo? «No todos están albergando la misma amenaza», enfatizó Sutton. Establecer la gobernanza. Hoy, se crean muchos NHIS, la gobernanza se ha convertido en una verdadera espina por parte del CISO. Pero si no se gobiernan adecuadamente, pueden suceder cosas malas. Por ejemplo, considere una serie de violaciones de archivos de Internet que estaban vinculadas a tokens indiferentes en octubre de 2024. Comprenda quién está creando NHIS, cómo las están creando y qué propósitos es un buen primer paso. Los equipos de seguridad deben establecer un proceso claro para administrar identidades no humanas para que no puedan crearse a voluntad. «Tenemos que pensar en cuáles son nuestras políticas de autenticación y contraseña», dice Sutton. «Por ejemplo, puede haber muchas cuentas de servicio con contraseñas estáticas débiles que no han estado girando durante muchos años. ¿Cómo me aseguro de administrarlas?»
Pensamientos finales
La identidad no humana es esencial para las empresas actuales y ayuda a automatizar los procesos, habilitar la integración y garantizar una operación sin problemas. Desafíos: son difíciles de asegurar y son objetivos atractivos para los actores de amenazas. Debido a que a menudo no son expandidos, carecen de MFA, usan credenciales estáticas y tienen privilegios excesivos.
Después de todo, las identidades no humanas y las identidades humanas pueden tener diferentes características y necesidades, pero ambas requieren un enfoque de extremo a extremo para protegerlos. NHIS puede no ser una persona, pero son más y más poderosos actores en su entorno. Les permite ser urgentes en lugar de opcionales.
Únase a la webcast el 18 de agosto para aprender cómo las organizaciones reducen el riesgo y la complejidad al administrar todas sus identidades (humanas o no) bajo un sistema unificado.
Source link
