Al intentar gestionar y proteger las identidades y credenciales de la empresa, es posible que piense predominantemente en términos de personas y sus funciones dentro de una organización. Cómo nos aseguramos de que Janet de Control de calidad tiene las credenciales para acceder a los activos necesarios, y cómo nos aseguramos de que nadie más puede acceder a esas credenciales?
Pero las identidades humanas son sólo una pieza del rompecabezas de la seguridad. Mientras que los empleados, socios, proveedores, clientes y consultores pueden ser algunas de las fuentes más cruciales de vulnerabilidades de seguridad en su organización, el volumen de identidades de máquinas está aumentando, creando puntos de entrada adicionales para los hackers y el malware.
El informe 2022 State of Machine Identity Report del Ponemon Institute (del que obtenemos las estadísticas que figuran a continuación a menos que se indique lo contrario) revela los datos más recientes sobre lo compleja que puede llegar a ser la gestión de la identidad de las máquinas.
¿Qué son las identidades de máquina?
Las identidades de máquina son las claves digitales, los secretos y los certificados que establecen la validez de las transacciones digitales. Incluyen Certificados X.509, SSH y claves de cifrado, y certificados de firma de código para una comunicación segura entre servidores y VMS, estaciones de trabajo, scripts y bots, aplicaciones, servicios, etc.
La infraestructura de clave pública está explotando
Con la adopción del trabajo a distancia, los servicios basados en la nube, IoTe iniciativas de confianza ceroel número y la importancia de las claves públicas y los certificados que utilizan las organizaciones están aumentando rápidamente. Los días de una o dos CA detrás de las cuatro paredes del centro de datos han quedado atrás, y gestión de identidades de máquinas debe estar a la vanguardia de su postura de seguridad. En el Gartner Hype Cycle for IAM en 2021, la vicepresidenta gerente de Gartner, Tricia Phillips, afirmó:
"La transformación digital ha provocado una explosión en el número de máquinas -como cargas de trabajo, código, aplicaciones y contenedores- que necesitan identificarse y comunicarse."
Algunos de los elementos más comunes de PKI incluyen:
- PKI privada interna software (AD CS, EJBCA, etc.)
- PKI gestionada o SaaS (EJBCA SaaS, PKIaaS, etc.)
- Certificados autofirmados (OpenSSL)
- Emisores de certificados integrados (Kubernetes, HashiCorp Vault, etc.)
- Servicio de CA privada prestado por un proveedor de servicios en la nube
- Servicio de CA pública (DigiCert, Entrust, Let's Encrypt, etc.)
Asegurarse de que las identidades de las máquinas están protegidas se está convirtiendo en una tarea costosa y que requiere mucho tiempo. La mayoría de las organizaciones afirman que el creciente uso de claves y certificados ha aumentado significativamente la carga operativa de sus equipos de TI y que les preocupa el aumento de la carga de trabajo y el riesgo de interrupciones debido a la reducción de la vida útil de los certificados TLS .
Además, más de la mitad de las organizaciones encuestadas afirman que ni siquiera saben exactamente cuántas claves y certificados tienen.
Los riesgos de la ID de máquina y la proliferación de PKI
Si se descuidan, las identidades de máquina pueden crear enormes brechas en su seguridad, ya que cualquier vulnerabilidad puede permitir a un actor de amenaza moverse lateralmente desde un sistema a otros en la red.
En los dos últimos años, más del 95% de las organizaciones han experimentado los tres de los siguientes problemas relacionados con PKI:*
- Fallos de auditoría: Hallazgos de auditoría inesperados debidos a lagunas en la gestión de PKI, claves y certificados.
- Compromiso del ID de la máquina: Robo o uso indebido de claves por error, información privilegiada maliciosa o actor de amenaza externo.
- Caídas de certificados: Fallo de la aplicación o del servicio debido a un certificado caducado o sin seguimiento.
El dolor de los cortes de suministro
Porque pueden paralizar las operaciones, interrupción de certificadosson las que más atención reciben. Casi el 40% de las interrupciones tardan más de cuatro horas en identificarse y solucionarse, lo que puede ser costoso y perjudicial para la reputación de una empresa. La interrupción de Let's Encrypt en septiembre de 2021, por ejemplo, afectó las operaciones de grandes empresas como Cisco, Palo Alto, Bluecoat, AWS, Auth0, Fortinet, Herokuy y otras.
Pero las interrupciones no son más que la punta del iceberg, ya que bajo la superficie se esconden riesgos mayores que hay que abordar, incluidos los procesos manuales, certificados comodíny las CA mal configuradas o expuestas.
Las máquinas toman el relevo
"El número de máquinas (cargas de trabajo y dispositivos) supera ahora al de humanos en un orden de magnitud, y las organizaciones deben establecer herramientas y procesos para controlar esas identidades." - Gartner: Managing Machine Identities, Secrets, Keys and Certificates, Erik Wahlstrom, 16 de marzo de 2022
Si cree que no sabe muy bien cómo proteger su infraestructura de clave pública, no es el único:
- El 50% de las empresas no tiene suficiente personal dedicado a su PKI
- El 42% de las empresas sigue utilizando hojas de cálculo para hacer un seguimiento manual de los certificados digitales.
- El 59% de las empresas no dispone de una gestión centralizada de las credenciales SSH
- El 50% de las empresas carece de políticas formales o controles de acceso para las claves de firma de código.
Además, alrededor del 40% de las organizaciones sólo tiene una estrategia PKI limitada para aplicaciones o casos de uso específicos, y el 16% no tiene ninguna estrategia en absoluto.
Cómo abordar el problema
1. Empezar por la visibilidad
Tiene que saber qué certificados está utilizando para protegerlos eficazmente. Descubrir y crear un inventario de tus certificados y CAs te dará una visión general de cuáles tienen mayor prioridad.
- Utilizar múltiples fuentes de datos
- Triangular los puntos de datos
- Comprender la información clave, incluido el Emisor, Propietario, Uso/Aplicación, Aprobador, etc.
2. Establecer la propiedad
Cree un grupo de trabajo interfuncional para establecer la propiedad de las herramientas, los procesos y la estrategia, así como para supervisar y salvar las distancias entre las unidades de negocio. A continuación, defina las identidades de máquina de su organización, identifique los casos de uso de su PKI y los ID de máquina, y analice su "tejido de identidades" o conjunto de herramientas existente.
3. Simplificar y consolidar
Cuantas más identidades y fuentes de información tenga, más posibilidades de errores y/o vulnerabilidades. Una vez que tenga una idea clara de las herramientas de gestión de PKI que tiene a su disposición, redúzcalas. Hágase preguntas como:
- "¿Necesito 5 implantaciones diferentes de PKI y CA?"
- "¿Debería buscar en 3 fuentes diferentes para rastrear los certificados?"
- "¿Necesito herramientas distintas para gestionar las identidades X.509 y SSH?
- "¿Necesitan todos los desarrolladores una clave de firma de código?"
4. Sentar las bases
Debe definir políticas y buenas prácticas para su infraestructura de clave pública.
- Educar a los equipos sobre la importancia de la PKI y los certificados digitales
- Definir y distribuir directrices de buenas prácticas
- Refuerce los buenos hábitos y abandone los certificados autofirmados y comodín.
- Establecer estrategias para tomar las decisiones correctas en materia de herramientas de cara al futuro.
5. Cambie su estrategia de Ops a SecOps
La mayoría de los equipos de seguridad dedican al menos el 50% de su tiempo a tareas de mantenimiento y funcionamiento. La clave está en automatizar, automatizar y automatizar. La automatización reduce los riesgos relacionados con el error humano y la mala configuración y garantiza que se pueda escalar con nuevas demandas. Además, la automatización permite la integración con los flujos de trabajo existentes de DevOps y la nube.
6. Prepararse para la criptoagilidad
Las amenazas a la seguridad se adaptan rápidamente a los controles de seguridad, por lo que usted debe estar preparado para adaptarse con la misma rapidez. Para mantener las operaciones y evitar incidentes relacionados con la PKI, debe formarse constantemente y mantener un entorno criptoágil una postura de seguridad criptoágil:
- Evaluar criptoclaves, algoritmos y criptobibliotecas existentes
- Planificar el cambio a nuevas claves y algoritmos en toda la empresa
- Automatizar y probar procesos para preparar la respuesta a incidentes
- Seguimiento del progreso de los algoritmos PQC
Obtenga el informe completo de Ponemon
Consulte el Ponemon Institute's 2022 State Machine Identity Management para mantenerse informado con los últimos datos y análisis sobre ciberseguridad. Con un análisis en profundidad del panorama de amenazas para PKI e ID de máquina a su disposición, puede tomar decisiones informadas sobre qué medidas de seguridad poner en marcha para mantener su organización segura y funcionando a pleno rendimiento.
