Cerrar menú
Identidad

Reduzca su superficie de ataque IAM a través de la Plataforma de Inteligencia y Visibilidad de Identidad (IVIP)

corp@blsindustriaytecnologia.comBy No hay comentarios9 minutos de lectura

El estado fragmentado de la identidad empresarial moderna

La IAM empresarial está a punto de romperse. A medida que las organizaciones crecen, las identidades se fragmentan cada vez más en miles de aplicaciones, equipos distribuidos, identidades de máquinas y sistemas autónomos.

El resultado es la identidad de la materia oscura. Esta es una actividad de identidad que está fuera de la visibilidad de IAM centralizada y fuera del alcance de los equipos de seguridad.

Según el análisis de Orchid Security, el 46% de la actividad de identidad empresarial ocurre fuera de la visibilidad centralizada de IAM. En otras palabras, casi la mitad de la identidad de una empresa puede estar operando de manera invisible. Esta capa oculta incluye aplicaciones no administradas, cuentas locales, flujos de autenticación opacos e identidades no humanas sobreautorizadas. Este problema se ve amplificado aún más por la desconexión de las herramientas, la propiedad aislada y el rápido aumento de la IA agente.

Como resultado, se amplía la brecha entre el acceso que las organizaciones de seguridad creen que tienen y el acceso que realmente existe. Esta brecha es lo que existe en el riesgo de identidad moderno.

Definición de categoría IVIP: capa de visibilidad y observabilidad

Para llenar estos vacíos, Gartner presentó la Plataforma de Inteligencia y Visibilidad de Identidad (IVIP) como un «sistema de sistemas» fundamental. Dentro del marco de Identity Fabric, IVIP ocupa la visibilidad y observabilidad de la Capa 5, proporcionando una capa de monitoreo independiente además de la gestión y el gobierno del acceso.

Por definición formal, las soluciones IVIP incorporan e integran rápidamente datos de IAM y aprovechan los análisis impulsados ​​por IA para presentar eventos de identidad, relaciones de usuarios y recursos, y estados en un único panel.

Características IAM tradicional / IGAIVIP / Observabilidad Visibilidad Alcance Solo aplicaciones integradas y administradas Integral: sistemas administrados, no administrados y no desconectados Certificación de datos de propiedad de la fuente y documentación manual Información continua sobre el tiempo de ejecución y telemetría a nivel de aplicación Métodos de análisis Revisiones de configuración estática y “razonamiento” Descubrimiento continuo e inteligencia de prueba basada en evidencia Lógica fundamental basada en reglas Detección de intenciones y análisis de comportamiento basados ​​en LLM

Lo que IVIP debería hacer realmente

Un IVIP confiable debería ser más que un simple depósito de identidad. Debe actuar como un motor de inteligencia activo para el ecosistema de identidad empresarial.

En primer lugar, debe poder descubrir continuamente identidades humanas y no humanas en todos los sistemas relevantes, incluidos aquellos fuera de la incorporación formal de IAM. En segundo lugar, debe servir como una plataforma de datos de identidad, consolidando información fragmentada de directorios, aplicaciones e infraestructura en una fuente de verdad más consistente y autorizada. En tercer lugar, se deben utilizar análisis e inteligencia artificial para transformar señales de identidad dispersas en conocimientos de seguridad significativos y proporcionar inteligencia.

Desde una perspectiva técnica, esto significa admitir funciones como la curación automática, que le permite corregir las brechas de postura directamente en su pila de IAM. Intercambio de señales en tiempo real. Desencadene acciones de seguridad inmediatas utilizando estándares como CAEP. La inteligencia basada en la intención ayuda a LLM a interpretar el propósito detrás de la actividad de identidad y a separar el comportamiento operativo normal de los patrones verdaderamente peligrosos.

Esta es una transición de la visibilidad de la identidad a la comprensión de la identidad y, en última instancia, al control de la identidad.

Orchid Security: Entrega de un avión de control IVIP

Orchid Security opera un modelo de plataforma de inteligencia y visibilidad de identidad (IVIP) transformando señales de identidad fragmentadas en inteligencia continua a nivel de aplicación. En lugar de depender únicamente de la integración centralizada de IAM, Orchid genera visibilidad directamente desde los propios activos de la aplicación, lo que permite a las organizaciones descubrir, integrar y analizar la actividad de identidad en todo el sistema que no se puede ver con las herramientas tradicionales.

1. Visibilidad y alcance de los datos: vea su aplicación completa y sus activos de identidad

Un requisito central de IVIP es el descubrimiento continuo de identidades y los sistemas en los que operan. Orchid logra esto a través de análisis binario e instrumentación dinámica, lo que le permite inspeccionar la autenticación nativa y la lógica de autorización directamente dentro de sus aplicaciones e infraestructura sin requerir API, cambios de código fuente o integraciones prolongadas.

Este enfoque ofrece importantes ventajas en el descubrimiento de activos de aplicaciones. Muchas empresas no pueden gestionar identidades entre aplicaciones que el equipo de seguridad central ni siquiera sabe que existen. No se puede evaluar, gestionar ni proteger lo que no se puede ver, por lo que Orchid saca estos sistemas a la superficie primero. Al identificar activos de aplicaciones reales, como aplicaciones personalizadas, COTS, sistemas heredados y TI en la sombra, Orchid descubre la materia oscura de identidad incorporada en ellos, incluidas cuentas locales, rutas de autenticación no documentadas e identidades de máquinas no administradas.

2. Integración de datos: creación de una capa de evidencia de identidad

La plataforma IVIP debe consolidar datos de identidad fragmentados en una imagen operativa consistente. Orchid logra esto capturando su propia telemetría de auditoría desde su aplicación y combinándola con registros y señales de su sistema IAM centralizado.

El resultado es una capa de datos de identidad basada en evidencia que muestra cómo se comportan realmente las identidades en diferentes entornos. En lugar de depender de requisitos previos de configuración y una integración incompleta, las organizaciones obtienen una visión unificada de:

Autenticación de identidad y flujos de autorización entre aplicaciones e infraestructura. Relaciones de privilegios y rutas de acceso externo.

Esta evidencia unificada permite a los equipos de seguridad conciliar la brecha entre la política documentada y el acceso operativo real.

3. Inteligencia: convierta la telemetría en conocimientos prácticos

IVIP debe transformar la telemetría de identidad en inteligencia procesable. La auditoría de identidad interestatal de Orchid muestra cuán poderosa puede ser esta capa cuando la actividad de identidad se analiza directamente a nivel de aplicación.

Orchid observa lo siguiente en entornos empresariales:

El 85% de las aplicaciones incluyen cuentas en dominios heredados o externos, y el 20% utiliza dominios de correo electrónico de consumidores, lo que genera importantes riesgos de violación de datos. El 70% de las aplicaciones incluyen privilegios excesivos y el 60% otorga acceso administrativo o API extenso a terceros. El 40 % de todas las cuentas están huérfanas, cifra que aumenta hasta el 60 % en algunos entornos heredados.

Estas ideas no se infieren de la política. Estos se observan directamente desde el comportamiento de identidad dentro de la aplicación. Esto hace que las organizaciones pasen de una postura de razonamiento basado en la configuración a una inteligencia de identidad basada en evidencia.

Extendiendo IVIP a la próxima frontera de identidad: agentes de IA

Los agentes autónomos de IA representan la próxima ola de materia oscura de identidad, y a menudo operan con una identidad y autoridad independientes que están fuera del alcance de los modelos de gobernanza tradicionales. Orchid extiende el marco IVIP a estas nuevas identidades a través de su arquitectura Guardian Agent, lo que permite a las organizaciones aplicar una gobernanza de confianza cero a las actividades impulsadas por la IA.

El despliegue seguro de agentes de IA se basa en cinco principios:

Atribución de persona a agente: todas las acciones de los agentes están asociadas con un propietario humano responsable. Auditoría de actividad: se registra la cadena de gestión completa (Agente → Herramientas/API → Acciones → Objetivos). Barreras de seguridad sensibles al contexto: las decisiones de acceso se evalúan dinámicamente en función de la sensibilidad de los recursos y los derechos del propietario humano. Mínimo privilegio: el acceso justo a tiempo reemplaza las credenciales privilegiadas persistentes. Corrección automática: el comportamiento riesgoso puede desencadenar respuestas automáticas, como la rotación de credenciales o la finalización de la sesión.

Al combinar el descubrimiento de activos de aplicaciones, la telemetría de identidad y la inteligencia impulsada por IA, Orchid cumple la misión principal de IVIP de convertir la actividad de identidad invisible en una superficie de seguridad administrada, observable y controlable.

Medición del éxito: métricas orientadas a resultados (ODM) y remediación

Las decisiones de identidad están determinadas por los datos que hay detrás de ellas. Los CISO deben pasar de los “controles introducidos” a las métricas basadas en resultados (ODM).

Ejemplo de ODM: en lugar de contar las licencias IGA, mida la reducción de las licencias no utilizadas (inactivas) del 70 % al 10 % en un trimestre fiscal. Acuerdo de nivel de protección (PLA): negocie los resultados objetivos con su empresa. Un EPL podría exigir que a los desertores se les revoque el acceso crítico en un plazo de 24 horas, lo que reduciría significativamente las oportunidades para los atacantes. ROI empresarial: pasar a la observabilidad continua permite a las organizaciones reducir la preparación de auditorías de meses a minutos mediante la generación automatizada de evidencia de cumplimiento.

Hoja de ruta de implementación estratégica para líderes de IAM

Recomendamos las siguientes acciones de alta prioridad para reducir su superficie de ataque:

Reúna un grupo de trabajo interdisciplinario: colabore con las operaciones de TI, los propietarios de aplicaciones, los propietarios de IAM y GRC para acabar con los silos técnicos. Realice un análisis de brechas de cuantificación de riesgos: comience con la identificación de la máquina, ya que a menudo representa el mayor riesgo y la menor visibilidad. Implemente soluciones sin código: resuelva automáticamente los cambios de postura (suspensiones de cuentas huérfanas, complejidad de contraseñas débiles, etc.) a medida que se descubran. Aproveche la visibilidad integrada para eventos de alto riesgo: aproveche la telemetría IVIP durante fusiones y adquisiciones o eventos de crecimiento para auditar el estado de identidad de los activos adquiridos antes de que se integren en la red principal. Auditoría de riesgos empresariales: utilice visibilidad continua para detectar infracciones a nivel de aplicación que las herramientas tradicionales pasan por alto.

Declaración final La visibilidad unificada ya no es una característica secundaria. Es un importante plano de control. Las organizaciones deben implementar la observabilidad de la identidad más allá de la “puerta de entrada cerrada” para gestionar la materia oscura detrás de la cual se esconden los atacantes modernos.

Nota: Este artículo fue escrito y contribuido por Roy Katmor, director ejecutivo de Orchid Security.

¿Fue interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo nuestro.

Source link

Share.

Related Posts

Add A Comment
Leave A Reply