Por qué importan las identidades de las máquinas (y qué hacer al respecto)

El tema de la Semana 4 del Mes de concienciación sobre la ciberseguridad, "La ciberseguridad ante todo", ofrece una oportunidad para ayudar a los profesionales de TI e infoseguridad a educar a sus equipos sobre la importancia de la ciberseguridad. Este blog pretende ser una herramienta para ayudar a educar a su organización sobre por qué la infraestructura de clave pública (PKI) y las identidades de máquina son importantes, y el papel que desempeñan para convertirse en una empresa con ciberseguridad ante todo.

Si ha trabajado en ciberseguridad, probablemente no lo describiría como un arte, ni como una ciencia. Tampoco es exactamente una serie dramática de Netflix (piense en Mr. Robot). En realidad, es un trabajo duro. 

Proteger las redes, los dispositivos y los datos contra la amenaza de ataques no es una tarea fácil, y la presión para adelantarse a los ciberdelincuentes pesa mucho. A veces puede ser un subidón de adrenalina, otras veces puede resultar mundano y repetitivo. 

Puede implicar responder a tickets, buscar anomalías, revisar registros, trabajar en estrategias a largo plazo, evaluar tecnologías y, lo que es más importante, educar a los usuarios finales sobre la importancia de la ciberseguridad (incluso cuando eso signifique responder a preguntas "estúpidas").

La creación de una cultura que dé prioridad a la ciberseguridad va mucho más allá de su pila de TI y de los equipos que la aplican. Por desgracia, muchos artículos se centran en la última tecnología (la "ciencia") o en la falta de personal cualificado (el "arte") en ciberseguridad, pero no reconocen la importancia de la educación, especialmente para los usuarios no técnicos y los líderes empresariales.

En este blog, pretendemos informar a los equipos sobre un componente esencial de la ciberseguridad que a menudo se pasa por alto y no se comprende. identidades de máquina.

Empecemos por algo familiar: la identidad. Nuestra identidad lo es todo. Abarca desde quiénes somos hasta aquello a lo que tenemos acceso. Los seres humanos dependen de las identidades todos los días para conducir sus coches, viajar internacionalmente, comprar bienes y servicios y acceder a todo, desde su cuenta de Instagram hasta su ordenador portátil en el trabajo o en casa.

Nuestra familiaridad con la identidad significa que la mayoría de los líderes y profesionales de TI reconocen y comprenden la importancia de la gestión de identidades y accesos (IAM). Por eso las organizaciones gastaron casi 14 mil millones de dólares en IAM en 2021, lo que la convierte en una de las principales partidas presupuestarias de gasto en seguridad de la información entre la seguridad de la nube y de las aplicaciones.

Hasta la fecha, la mayor parte del enfoque de la IAM se ha dedicado a proteger las identidades de los usuarios (o humanos). Para cumplir los requisitos de la IAM, aprovechan herramientas como el inicio de sesión único (SSO), la autenticación multifactor (MFA) y la gestión de accesos privilegiados (PAM). 

El problema es que los humanos son sólo una parte de la mano de obra.

Hoy en día, las máquinas superan con creces a los humanos. Pero lejos de cualquier noción de ciencia ficción de un futuro distópico gobernado por robots, las máquinas nos ayudan a los humanos a liberarnos de tareas peligrosas, lentas o simplemente aburridas que preferiríamos evitar. 

Estas máquinas se componen de dispositivos hardware , como dispositivos móviles, dispositivos IoT/OT, servidores y ordenadores de sobremesa, y cargas de trabajo definidas en software, incluidos contenedores, máquinas virtuales (VM), servicios y aplicaciones.

Al igual que los humanos, cada máquina necesita una o varias identidades únicas para autenticarse y comunicarse entre sí de forma segura. Sin embargo, a diferencia de los humanos, las identidades de las máquinas reciben mucha menos atención.

Según Gartnerlas herramientas IAM más comunes, como la gestión de accesos (AM), el gobierno y la administración de identidades (IGA) y las herramientas PAM, se han orientado históricamente a la necesidad más inminente de gestionar las identidades humanas. Ahora hay que prestar la misma atención a la gestión y el gobierno de las máquinas".

Cuando empezamos a pensar en la gestión de identidades de máquina, como los certificados X.509, es cuando las cosas se ponen borrosas para la mayoría de la gente. A pesar del uso generalizado de claves y certificados por parte de desarrolladores, administradores de TI, ingenieros de infraestructuras y similares, se sabe muy poco sobre ellos. 

El problema subyacente es que las identidades de máquina y la infraestructura de clave pública(PKI) que las sustenta se consideran "mercancías". En otras palabras, todos y cada uno de los miembros de la organización de TI necesitan un certificado, pero la mayoría no sabe dónde obtenerlos ni cómo configurarlos e instalarlos correctamente. Los distintos equipos y usuarios finales buscan la solución más fácil y barata, lo que conduce a una proliferación incontrolada de emisores(CA) y certificados.

¿Qué es lo que ocurre? Ya sea por parte de un adversario, un socio, un contratista o un empleado interno, los certificados pueden ser fácilmente mal configurados y mal utilizados. En el último año, hemos visto varios incidentes derivados de esta emisión y uso incontrolados de identidades de máquina:

• Fortinet, Palo Alto, Cloudflare, y docenas de empresas líderes en tecnología experimentaron problemas de servicio cuando caducó la CA raíz X3 de IdenTrust DST (utilizada por Let's Encrypt).
• La NSA advirtió a las organizaciones que evitaran el uso de certificados comodín TLS para minimizar el riesgo de una nueva forma de ataque de descifrado TLS conocido como "ALPACA".
• Fortnite experimentó un apagón generalizado de horas de duración que comenzó con un certificado comodín TLS caducado instalado en cientos de servicios de producción diferentes.
• Microsoft culpó a un problema de rotación de claves de una interrupción a gran escala que afectó a muchos de sus servicios de Microsoft 365 durante más de 14 horas.

Tomar el control de la situación requiere un cambio fundamental de mentalidad. La PKI y las identidades de máquina no son una "mercancía", son una infraestructura crítica que sustenta la seguridad y disponibilidad de prácticamente todos los dispositivos y cargas de trabajo de la empresa.

¿Cómo controlar la situación? Empezando por la educación y la concienciación, y siguiendo por la revisión de la tecnología y los procesos. Todos, desde los usuarios finales hasta los responsables de TI, deben comprender mejor la importancia y el papel de las identidades automáticas en las iniciativas que emprenden. Aquí hemos recopilado algunos consejos y estrategias para empezar:

Para equipos de PKI y seguridad:

• Enseñe a los empleados de la organización de TI la importancia de los certificados y cómo deben gestionarse. Cree hojas de trucos y guías sobre cómo obtener certificados, cómo asegurarse de que se ajustan a la política y, si no existe automatización, cómo instalar y renovar correctamente sus certificados.
• Asegúrese de que los usuarios finales y los equipos de aplicaciones disponen de una forma rápida y sencilla de obtener certificados. Si no puede satisfacer las solicitudes de certificados de forma eficiente para sus usuarios, puede apostar a que buscarán en otra parte. Los certificados autofirmados y las CA integradas insuficientes (por ejemplo, Kubernetes Secrets, HashiCorp Vault) no deben utilizarse a ciegas.
• Desarrolle su conjunto de herramientas de visibilidad y automatización. La educación es el punto de partida, pero es la tecnología la que impulsará las mejores prácticas. Evalúe soluciones de gestión de certificados que ofrezcan descubrimiento y automatización del ciclo de vida del ciclo de vida.

Para los usuarios finales:

• Evite utilizar certificados comodín. Por supuesto, certificados comodín son una solución a corto plazo, pero el riesgo supera con creces la recompensa. No hay más que ver la reciente advertencia de la NSA o la interrupción de más de 5 horas de Fortnite para ver por qué deben evitarse. En su lugar, consulte a su PKI o equipo de seguridad sobre cómo obtener certificados de confianza.
• No utilice certificados autofirmados en sistemas de producción. Los certificados autofirmados tienen su lugar, pero no en dominios de producción o de cara al público. Los ciberdelincuentes pueden aprovecharse de los certificados autofirmados mal gestionados para realizar ataques man-in-the-middle (MitM) con el fin de suplantar la confianza.
• Si los certificados son una molestia, ayude a impulsar el caso empresarial. Si está frustrado por tener que solicitar, instalar y renovar certificados manualmente, lo más probable es que su equipo de PKI/seguridad también esté cansado. En lugar de señalar con el dedo, ayude a impulsar el caso de negocio para una mayor automatización que puede hacer las cosas más fáciles para todos.

Para los responsables de TI:

• Haga de las identidades de máquinas una prioridad en su estrategia IAM. Cambiar la percepción de la criptografía como un concepto altamente técnico a un concepto ya bien entendido de "identidad" ayudará a impulsar una mejor comprensión y estandarización en toda la empresa.
• Defina las identidades de máquina y desarrolle un plan claro Ayude a definir una imagen clara de las identidades de máquinas en su entorno y desarrolle un marco de políticas para toda la empresa sobre cómo deben utilizarse y gestionarse.
• Ayude a formar un centro de excelencia criptográfica (CCOE). Una vez que haya establecido una estrategia y una política básicas, tendrá que asegurarse de que sus equipos desarrollen una orientación clara para los usuarios de certificados. Esto incluye asignar la propiedad de las herramientas y procesos que se utilizarán para los distintos tipos de identidades de máquina.

• Lea el Informe sobre el estado de la gestión de identidades de equipos 2021 y compártelo con tus equipos para concienciar a la empresa.
• Visite el sitio web del producto para saber cómo funciona la Keyfactor Plataforma Crypto-Agility proporciona visibilidad, control y automatización completos para cada identidad de máquina.