Al intentar gestionar y proteger las identidades y credenciales de la empresa, es posible que piense predominantemente en términos de las personas y sus roles dentro de una organización. ¿Cómo nos aseguramos de que Janet de Control de Calidad tenga las credenciales para acceder a los activos necesarios, y cómo nos aseguramos de que nadie más pueda acceder a esas credenciales?
Sin embargo, las identidades humanas son solo una pieza del rompecabezas de la seguridad. Si bien los empleados, socios, proveedores, clientes y consultores pueden ser algunas de las fuentes más cruciales de vulnerabilidades de seguridad en su organización, el volumen de identidades de máquinas está aumentando, creando puntos de entrada adicionales para hackers y malware.
El Informe sobre el Estado de la Identidad de Máquinas de 2022 del Ponemon Institute (del cual obtenemos las estadísticas a continuación, a menos que se indique lo contrario) revela los datos más recientes sobre la complejidad que puede alcanzar la gestión de identidades de máquinas.
¿Qué son las identidades de máquinas?
Las identidades de máquinas son las claves digitales, secretos y certificados que establecen la validez de las transacciones digitales. Incluyen certificados X.509, SSH y claves de cifrado, y certificados de firma de código para una comunicación segura entre servidores y VMS, estaciones de trabajo, scripts y bots, aplicaciones, servicios, etc.
La Infraestructura de Clave Pública está experimentando una explosión
Con la adopción del trabajo remoto, los servicios basados en la nube, IoT y las iniciativas de Zero Trust, el número y la importancia de las claves públicas y los certificados utilizados por las organizaciones están aumentando rápidamente. Los días de una o dos CA detrás de las cuatro paredes del centro de datos han quedado atrás, y la gestión de identidades de máquinas debe estar a la vanguardia de su postura de seguridad. En el informe Gartner Hype Cycle for IAM de 2021, Tricia Phillips, vicepresidenta gerente de Gartner, afirmó:
“La transformación digital ha provocado una explosión en el número de máquinas – como cargas de trabajo, código, aplicaciones y contenedores – que necesitan identificarse y comunicarse.”
Algunos de los elementos más comunes de la PKI incluyen:
- Software de PKI privada interna (AD CS, EJBCA, etc.)
- PKI gestionada o entregada como SaaS (EJBCA SaaS, PKIaaS, etc.)
- Certificados autofirmados (OpenSSL)
- Emisores de certificados integrados (Kubernetes, HashiCorp Vault, etc.)
- Servicio de CA privada proporcionado por un proveedor de servicios en la nube
- Servicio de CA pública (DigiCert, Entrust, Let’s Encrypt, etc.)
Asegurarse de que las identidades de máquinas estén protegidas se está convirtiendo en una tarea costosa y que consume mucho tiempo. La mayoría de las organizaciones afirman que el uso creciente de claves y certificados ha aumentado significativamente la carga operativa de sus equipos de TI y que les preocupa el aumento de la carga de trabajo y el riesgo de interrupciones debido a la menor vida útil de los certificados TLS.
Además, más de la mitad de las organizaciones encuestadas afirman que su organización ni siquiera sabe exactamente cuántas claves y certificados posee.
Los riesgos de la proliferación de identidades de máquinas y PKI
Si se descuidan, las identidades de máquinas pueden crear grandes brechas en su seguridad, ya que cualquier vulnerabilidad puede permitir a un actor de amenazas moverse lateralmente de un sistema a otros en la red.
En los últimos dos años, más del 95 por ciento de las organizaciones han experimentado los tres problemas relacionados con la PKI siguientes:*
- Fallos de auditoría: Hallazgos de auditoría inesperados debido a brechas en la gestión de PKI, claves y certificados
- Compromiso de identidad de máquina: Robo o uso indebido de claves por error, por un empleado malintencionado o por un actor de amenazas externo
- Interrupciones por certificados: Fallo de aplicación o servicio debido a un certificado caducado o no rastreado.
Los problemas de las interrupciones por certificados
Dado que pueden paralizar las operaciones, las interrupciones de certificados suelen acaparar la mayor atención. Casi el 40 por ciento de las interrupciones tardan más de cuatro horas en identificarse y remediarse, lo que puede ser costoso y perjudicial para la reputación de una empresa. La interrupción de Let's Encrypt en septiembre de 2021, por ejemplo, afectó las operaciones de grandes corporaciones como Cisco, Palo Alto, Bluecoat, AWS, Auth0, Fortinet, Heroku y otras.
Pero las interrupciones son solo la punta del iceberg, indicando riesgos mayores bajo la superficie que deben abordarse, incluidos procesos manuales, certificados wildcard, criptografía débil y CA mal configuradas o expuestas.
Las máquinas asumen el control
«El número de máquinas (cargas de trabajo y dispositivos) supera ahora a los humanos en un orden de magnitud, y las organizaciones deben establecer herramientas y procesos para controlar esas identidades». – Gartner: Gestión de identidades de máquinas, secretos, claves y certificados, Erik Wahlstrom, 16 de marzo de 2022
Si considera que no tiene un buen dominio sobre cómo proteger su infraestructura de clave pública, no está solo:
- El 50 % de las empresas no cuenta con personal suficiente dedicado a su PKI
- El 42 % de las empresas sigue utilizando hojas de cálculo para rastrear manualmente los certificados digitales
- El 59 % de las empresas no dispone de una gestión centralizada de las credenciales SSH
- El 50 % de las empresas no tiene políticas formales ni controles de acceso para las claves de firma de código
Además, alrededor del 40 por ciento de las organizaciones solo tienen una estrategia PKI limitada para aplicaciones o casos de uso específicos, y el 16 por ciento no tiene ninguna estrategia en absoluto.
Cómo abordar el problema
1. Empiece con la visibilidad
Debe saber qué certificados está utilizando para protegerlos eficazmente. Descubrir y crear un inventario de sus certificados y CA le proporcionará una visión general de cuáles tienen la máxima prioridad.
- Utilice múltiples fuentes de datos
- Triangule los puntos de datos
- Comprenda la información clave, incluyendo Emisor, Propietario, Uso/Aplicación, Aprobador, etc.
2. Establezca la titularidad
Cree un grupo de trabajo interfuncional para establecer la titularidad de las herramientas, los procesos y la estrategia, y para proporcionar supervisión y cerrar las brechas entre las unidades de negocio. Luego, defina las identidades de las máquinas para su organización, identifique los casos de uso para su PKI e IDs de máquinas, y analice su «tejido de identidad» o conjunto de herramientas existente.
3. Simplifique y consolide
Cuantas más identidades y fuentes de información tenga, mayor será la posibilidad de errores y/o vulnerabilidades. Una vez que tenga un buen control sobre las herramientas de gestión de PKI a su disposición, redúzcalas. Hágase preguntas como:
- «¿Necesito 5 implementaciones diferentes de PKI y CA?»
- «¿Debería consultar 3 fuentes diferentes para rastrear los certificados?»
- «¿Necesito herramientas separadas para gestionar identidades X.509 frente a SSH?»
- «¿Necesita cada desarrollador una clave de firma de código?»
4. Siente las bases
Es necesario definir políticas y mejores prácticas para su infraestructura de clave pública.
- Capacitar a los equipos sobre la importancia de la PKI y los certificados digitales
- Definir y distribuir directrices de mejores prácticas
- Reforzar los buenos hábitos y abandonar el uso de certificados autofirmados y comodín
- Establecer estrategias para tomar las decisiones adecuadas en cuanto a herramientas de cara al futuro
5. Transforme su estrategia de Operaciones a SecOps
La mayoría de los equipos de seguridad dedican al menos el 50% de su tiempo a tareas de mantenimiento y operativas. La clave es automatizar, automatizar, automatizar. La automatización reduce los riesgos relacionados con errores humanos y configuraciones incorrectas, y garantiza la capacidad de escalar ante nuevas demandas. Además, la automatización permite la integración con los flujos de trabajo existentes de DevOps y la nube.
6. Prepárese para la Criptoagilidad
Las amenazas de seguridad se adaptan rápidamente a los controles de seguridad, por lo que debe estar preparado para adaptarse con la misma rapidez. Para mantener las operaciones y prevenir incidentes relacionados con la PKI, es necesario formarse continuamente y mantener una postura de seguridad criptoágil:
- Evaluar las claves criptográficas, algoritmos y bibliotecas criptográficas existentes
- Planificar una transición a nivel empresarial hacia nuevas claves y algoritmos
- Automatizar y probar los procesos para prepararse ante la respuesta a incidentes
- Seguir el progreso de los algoritmos PQC
Obtenga el Informe Completo de Ponemon
Consulte el informe de 2022 del Ponemon Institute sobre el estado de la gestión de identidades de máquinas para mantenerse informado con los últimos datos y análisis de ciberseguridad. Con un análisis en profundidad del panorama de amenazas para la PKI y las identidades de máquinas a su disposición, podrá tomar decisiones informadas sobre qué medidas de seguridad implementar para mantener su organización segura y operando a plena capacidad.
