Por qué la seguridad basada en la identidad es una de las principales tendencias de seguridad en 2021

Una tormenta perfecta de acontecimientos ha provocado este año la rápida aceleración de proyectos de transformación digital ya planificados y la adopción de iniciativas de trabajo desde cualquier lugar, que han dejado obsoletas las fronteras corporativas tradicionales. En este nuevo mundo, todo el mundo (y cada "cosa") es ajeno a la organización, ya sea a distancia o en la oficina.

Ya lo ha oído antes: el concepto de "dentro están los buenos, fuera los malos" es un legado que ha quedado atrás. La confianza ha evolucionado hasta convertirse en una vulnerabilidad. Los atacantes pueden aprovechar fácilmente las credenciales comprometidas o robadas para infiltrarse en las redes corporativas y moverse lateralmente sin ser detectados. 

De hecho, la reciente versión 2021 del Data Breach Investigations Report (DBIR) muestra que el 61% de las violaciones de datos afectaron a credenciales, mientras que el 70% de todos los casos de uso indebido lo fueron de privilegios.

En una era en la que las estrategias de seguridad se están adaptando al mantra "no confíes en nadie, verifica en todas partes y en todo momento", validar que sólo las personas y dispositivos autorizados y autenticados pueden acceder a datos e infraestructuras críticos es una necesidad.

En otras palabras... La identidad no es el nuevo perímetro, sino la base de la seguridad en un mundo sin perímetros. 

Las empresas necesitan evolucionar su programa de gestión de identidades para "permitir que las personas adecuadas accedan a los recursos adecuados en el momento adecuado y por las razones adecuadas", como afirma señala Gartner. Por ello, Gartner ha destacado la seguridad basada en la identidad como una de las principales tendencias en seguridad y riesgos para 2021. principal tendencia de seguridad y riesgo para 2021.

"El ataque a SolarWinds demostró que no estamos haciendo un buen trabajo de gestión y supervisión de las identidades. Aunque se ha invertido mucho dinero y tiempo en la autenticación multifactor, el inicio de sesión único y la autenticación biométrica, se ha invertido muy poco en la supervisión eficaz de la autenticación para detectar ataques contra esta infraestructura" señala Peter Firstbrook, vicepresidente de investigación de Gartner.

Aunque las organizaciones han invertido en la evolución de sus soluciones de seguridad de acceso para incluir elementos como la autenticación sin contraseña, la identificación multifactor (MFA) y el inicio de sesión único (SSO), lo cierto es que sólo se están centrando en una parte de su plantilla. 

Hoy en día, las máquinas constituyen una parte mucho mayor de su "mano de obra digital" que los humanos. Sin embargo, las inversiones en gestión y protección de identidades de máquinas, como los certificados X.509, a menudo palidecen en comparación con las inversiones en gestión de identidades y accesos (IAM) humanos.

La conclusión es que las identidades de las máquinas deben formar parte de su estrategia de IAM, especialmente a medida que cambiamos a una fuerza de trabajo más digital en la que los equipos que hacen crecer y operar el negocio dependen totalmente de las máquinas que sustentan nuestra infraestructura (es decir, servidores, contenedores, dispositivos móviles, etc.).

En la Sección 3 de la reciente Orden Ejecutiva (OE) de Biden, el documento establece órdenes para "Modernizar la Ciberseguridad del Gobierno Federal" y llama específicamente a los avances en "servicios en la nube y Arquitectura de Confianza Cero". 

La OE subraya que la Arquitectura de Confianza Cero "permite a los usuarios pleno acceso, pero sólo al mínimo que necesitan para realizar su trabajo". Un componente fundamental de la Arquitectura de Confianza Cero es la emisión y gestión de identidades digitales, tanto para humanos como para máquinas.

NIST SP 800-207 define la Infraestructura de Clave Pública (PKI) como un componente esencial para lograr una Arquitectura de Confianza Cero. De hecho, una encuesta ejecutiva mostró recientemente que el 96% de los líderes de seguridad de TI están de acuerdo en que la PKI y los certificados digitales son esenciales para la Confianza Cero.

Gartner señala que "la seguridad Identity-first sitúa la identidad en el centro del diseño de la seguridad y exige un cambio importante con respecto al pensamiento de diseño tradicional de los bordes LAN". El problema es que los equipos de seguridad luchan por aplicar las mejores prácticas en torno a la gestión y protección de estas credenciales.

Esto es crucial, ya que el número de identidades digitales se está disparando en todo el ecosistema empresarial: las identidades ya no se centran en el ser humano, sino que ayudan a autenticar y autorizar una amplia gama de dispositivos, procesos DevOps y servicios. 

Sin embargo, la investigación muestra que:

• El 55% de las organizaciones no dispone de suficiente personal de seguridad informática dedicado a su PKI.
• El 60% de las organizaciones no dispone de controles formales de acceso a las claves de firma de código.
• El 40% de las organizaciones sigue utilizando hojas de cálculo para hacer un seguimiento manual de los certificados digitales.

Confiar en procesos manuales propensos a errores y que consumen mucho tiempo deja muchos puntos ciegos y crea agujeros de seguridad que los adversarios siguen explotando para comprometer los datos. Los ataques de suplantación de identidad, las interrupciones relacionadas con certificados y el malware que se hace pasar por legítimo software son solo algunos de los ejemplos que deberían convencer a todos los CISO de que es hora de evolucionar sus prácticas de IAM para implicar tanto a humanos como a máquinas.

La criptografía es ahora una infraestructura crítica para los negocios digitales y las identidades de las máquinas son la base de la confianza digital. A medida que el mundo se transforma digitalmente, las máquinas seguirán desempeñando un papel más importante en las empresas y la sociedad.

Obtenga más información sobre cómo integrar eficazmente las máquinas en su estrategia IAM en nuestro seminario web con el vicepresidente y analista de Gartner, David Mahdi, sobre "Cómo PKI, Crypto y las máquinas hacen girar el mundo digital". Véalo aquí.