¿Por qué son importantes las identidades de máquina (y qué hacer al respecto)?

El tema de la Semana 4 del Mes de Concienciación sobre Ciberseguridad, 'Ciberseguridad Primero', ofrece una oportunidad para ayudar a los profesionales de TI y seguridad de la información a educar a sus equipos sobre la importancia de la ciberseguridad. Este blog está concebido como una herramienta para ayudar a educar a su organización sobre la importancia de la infraestructura de clave pública (PKI) y las identidades de máquinas, y el papel que desempeñan para convertirse en una empresa que prioriza la ciberseguridad.

Si ha trabajado en ciberseguridad, probablemente no la describiría como un arte ni como una ciencia. Tampoco es exactamente una serie dramática de Netflix (piense en Mr. Robot). En realidad, es un esfuerzo constante. 

Proteger redes, dispositivos y datos frente a la amenaza de ataques no es una tarea sencilla, y la presión por mantenerse un paso por delante de los ciberdelincuentes es considerable. A veces puede ser una descarga de adrenalina, otras veces puede ser monótono y repetitivo. 

Puede implicar responder a tickets, buscar anomalías, revisar registros, trabajar en estrategias a largo plazo, evaluar tecnologías y, lo que es más importante, educar a los usuarios finales sobre la importancia de la ciberseguridad (incluso cuando implica responder a preguntas que pueden parecer «tontas»).

Construir una cultura que priorice la ciberseguridad va mucho más allá de su infraestructura de TI y los equipos que la implementan. Desafortunadamente, muchos artículos se centran en la última tecnología (la «ciencia») o en la falta de personal cualificado (el «arte») en ciberseguridad, pero no logran reconocer la importancia de la educación, especialmente para usuarios no técnicos y líderes empresariales.

En este blog, nuestro objetivo es educar a los equipos sobre un componente esencial, pero a menudo incomprendido y pasado por alto, de la ciberseguridad: las identidades de máquinas.

Comencemos con algo familiar: la identidad. Nuestra identidad lo es todo. Se extiende desde quiénes somos hasta a qué tenemos acceso. Los seres humanos dependen de las identidades a diario para conducir sus coches, viajar internacionalmente, comprar bienes y servicios, y acceder a todo, desde su cuenta de Instagram hasta su ordenador portátil en el trabajo o en casa.

Nuestra familiaridad con la identidad significa que la mayoría de los líderes y profesionales de TI reconocen y comprenden la importancia de la gestión de identidades y accesos (IAM). Por eso, las organizaciones gastaron casi 14 mil millones de dólares en IAM en 2021, convirtiéndolo en uno de los principales elementos presupuestarios para el gasto en seguridad de la información, junto con la seguridad en la nube y de las aplicaciones.

Hasta la fecha, la mayor parte del enfoque de IAM se ha dedicado a proteger las identidades de usuario (o humanas). Para cumplir con los requisitos de IAM, aprovechan herramientas como el inicio de sesión único (SSO), la autenticación multifactor (MFA) y la gestión de accesos privilegiados (PAM). 

El problema es que los humanos son solo una parte de la fuerza laboral.

Las máquinas superan con creces en número a los humanos hoy en día. Pero lejos de cualquier noción de ciencia ficción de un futuro distópico dominado por robots, las máquinas nos ayudan a los humanos a liberarnos de tareas peligrosas, que consumen mucho tiempo o simplemente aburridas que preferiríamos evitar. 

Estas máquinas se componen de dispositivos Hardware, como dispositivos móviles, dispositivos IoT/OT, servidores y equipos de escritorio, y cargas de trabajo definidas por Software, incluyendo contenedores, máquinas virtuales (VMs), servicios y aplicaciones.

Al igual que los humanos, cada máquina necesita una o más identidades únicas para autenticarse y comunicarse de forma segura entre sí. Sin embargo, a diferencia de sus homólogos humanos, las identidades de máquinas reciben mucha menos atención.

Según Gartner, «Las herramientas de IAM comúnmente implementadas, como la gestión de accesos (AM), la gobernanza y administración de identidades (IGA) y las herramientas PAM, se han orientado históricamente hacia la necesidad más inminente de gestionar identidades humanas. Ahora debe prestarse la misma atención a la gestión y gobernanza de las máquinas.»

Cuando empezamos a pensar en la gestión de identidades de máquinas, como los certificados X.509, es ahí donde las cosas se vuelven confusas para la mayoría de la gente. A pesar del uso generalizado de claves y certificados por parte de desarrolladores, administradores de TI, ingenieros de infraestructura y similares, se sabe muy poco sobre ellos. 

El problema subyacente es que las identidades de máquinas y la infraestructura de clave pública (PKI) que las sustenta se consideran «productos básicos». En otras palabras, todos y cada uno en la organización de TI necesitan un certificado, pero la mayoría no sabe dónde obtenerlos ni cómo configurarlos e instalarlos correctamente. Diferentes equipos y usuarios finales buscan la solución más fácil y económica, lo que lleva a una proliferación descontrolada de emisores (CAs) y certificados.

¿Qué sucede? Ya sea por un adversario, socio, contratista o empleado interno, los certificados pueden ser fácilmente mal configurados y mal utilizados. En el último año, hemos sido testigos de varios incidentes resultantes de esta emisión y uso descontrolado de identidades de máquinas:

• Fortinet, Palo Alto, Cloudflare y docenas de empresas tecnológicas líderes experimentaron problemas de servicio cuando caducó el certificado raíz IdenTrust DST Root CA X3 (utilizado por Let’s Encrypt). 
• La NSA advirtió a las organizaciones que evitaran el uso de certificados TLS comodín para minimizar el riesgo de una nueva forma de ataque de descifrado TLS conocida como «ALPACA». 
• Fortnite experimentó una interrupción generalizada de varias horas que comenzó con un certificado TLS comodín caducado instalado en cientos de servicios de producción diferentes.
• Microsoft atribuyó a un problema de rotación de claves una interrupción a gran escala que afectó a muchos de sus servicios de Microsoft 365 durante más de 14 horas.

Tomar el control de la situación requiere un cambio fundamental de mentalidad. La PKI y las identidades de máquinas no son un «producto básico», son una infraestructura crítica que sustenta la seguridad y disponibilidad de prácticamente todos los dispositivos y cargas de trabajo en la empresa.

¿Cómo tomar el control de la situación? Comienza con la educación y la concienciación, seguido de una revisión de su tecnología y procesos. Desde los usuarios finales hasta los líderes de TI, todos deben comprender mejor la importancia y el papel de las identidades de máquinas en las iniciativas que están emprendiendo. A continuación, hemos recopilado algunos consejos y estrategias para ayudarle a empezar:

Para los equipos de PKI y seguridad:

• Eduque a los empleados de la organización de TI sobre la importancia de los certificados y cómo deben gestionarse. Cree guías rápidas y manuales sobre cómo obtener certificados, cómo asegurar que se ajustan a la política y, si la automatización no está implementada, cómo instalar y renovar correctamente sus certificados.
• Asegúrese de que los usuarios finales y los equipos de aplicaciones dispongan de una forma rápida y sencilla de obtener certificados. Si no puede satisfacer las solicitudes de certificados de sus usuarios de forma eficiente, es muy probable que busquen otras alternativas. Los certificados autofirmados y las CA integradas insuficientes (por ejemplo, Kubernetes Secrets, HashiCorp Vault) no deben utilizarse a ciegas.
• Desarrolle su conjunto de herramientas para la visibilidad y la automatización. La educación es el punto de partida, pero es la tecnología la que impulsará las mejores prácticas. Evalúe soluciones de gestión de certificados que ofrezcan capacidades de descubrimiento y automatización del ciclo de vida.

Para los usuarios finales:

• Evite el uso de certificados comodín. Si bien los certificados comodín son una solución a corto plazo, el riesgo supera con creces el beneficio. Basta con ver la reciente advertencia de la NSA o la interrupción de Fortnite de más de 5 horas para entender por qué deben evitarse. En su lugar, consulte a su equipo de PKI o seguridad sobre cómo obtener certificados de confianza.
• No utilice certificados autofirmados en sistemas de producción. Los certificados autofirmados tienen su utilidad, pero no en entornos de producción o dominios públicos. Los certificados autofirmados mal gestionados pueden ser aprovechados por ciberdelincuentes para ataques de intermediario (MitM) con el fin de suplantar la confianza.
• Si la gestión de certificados es un problema, ayude a impulsar el caso de negocio. Si está frustrado por tener que solicitar, instalar y renovar certificados manualmente, es probable que su equipo de PKI/seguridad también lo esté. En lugar de buscar culpables, ayude a impulsar el caso de negocio para una mayor automatización que pueda facilitar las cosas a todos.

Para los líderes de TI:

• Priorice las identidades de máquinas en su estrategia de IAM. Cambiar la percepción de la criptografía de un concepto altamente técnico a un concepto de "identidad" ya bien comprendido ayudará a impulsar una mejor comprensión y estandarización en toda la empresa.
• Defina las identidades de máquinas y desarrolle un plan claro. Ayude a definir una imagen clara de las identidades de máquinas en su entorno y desarrolle un marco de políticas a nivel empresarial sobre cómo deben utilizarse y gestionarse. 
• Ayude a formar un centro de excelencia criptográfico (CCOE). Una vez que haya establecido una estrategia y una política de referencia, deberá asegurarse de que sus equipos desarrollen una guía clara para los usuarios de certificados. Esto incluye asignar la propiedad de las herramientas y los procesos que se utilizarán para los diferentes tipos de identidades de máquinas.

• Lea el Informe sobre el Estado de la Gestión de Identidades de Máquinas de 2021 y compártalo con sus equipos para fomentar la concienciación en la empresa.
• Visite el sitio web del producto para saber cómo la Plataforma de Cripto-Agilidad de Keyfactor proporciona visibilidad, control y automatización exhaustivos para cada identidad de máquina.