El desafío de proteger las identidades de no personas



Las identidades que no son de personas, que pueden actuar de manera inteligente y tomar decisiones en nombre de la identidad de una persona, son un riesgo creciente de ciberseguridad.

Desde SolarWinds hasta Ubiquiti, las filtraciones de datos han asaltado los titulares recientes y todas tienen un riesgo en común: las identidades que no son de personas. A medida que las empresas afectadas se recuperan, existe un debate sobre por qué ocurren estas brechas y cómo puede mejorar la seguridad en la nube. Pero una cosa en la que todos pueden estar de acuerdo es que la seguridad tradicional está muerta y que la nube es el asesino. El paradigma ha cambiado y los enfoques de seguridad tradicionales ya no funcionan. Las personas y las no personas son los nuevos campos de batalla. Como nosotros Agencia de Seguridad de Infraestructura y Ciberseguridad El estratega técnico Jay Gazlay dijo durante la reunión más reciente de la Junta Asesora de Privacidad y Seguridad de la Información: «La identidad lo es todo ahora».

Las empresas han pasado de aplicaciones monolíticas a microservicios desarrollo de cascada a ágil Control de TI al management de DevOps centros de datos a arquitecturas de nube infraestructura implementada por la persona para codificar. Con las expectativas de proteger los entornos en la nube en su punto más alto, los equipos de seguridad están luchando por controlar las identidades que no son de personas. Los equipos responsables deben reinventar la forma en que gestionan la seguridad.

Casi todas las violaciones importantes de datos en la actualidad implican un compromiso de identidad y la posterior manipulación de los permisos de identidad de personas y no personas para obtener acceso. Las identidades que no son de personas tienen derechos sobre los datos, y estos derechos hacen que las infracciones sean más impactantes. Si no administra las identidades que no son de personas, su empresa está perdiendo la batalla.

¿Qué son las identidades de no personas?
Las identidades que no son de personas adoptan muchas formas, pero en general, pueden actuar de manera inteligente y tomar decisiones en nombre de la identidad de una persona. Las identidades comunes que no son de personas incluyen roles, principios de servicio, funciones sin servidor, infraestructura como código, contenedores y recursos informáticos.

La naturaleza efímera, el gran volumen y la falta de visibilidad hacen que las identidades que no son personas sean difíciles de administrar. Con la orquestación de contenedores, el típico vida útil de un contenedor es de 12 horas. Funciones sin servidor, ya adoptado por el 22% de las corporaciones, giran y desaparecen en segundos.

Debido al gran volumen de identidades que no son de personas que proliferan en una organización, es difícil administrar el riesgo relacionado a escala. Una empresa promedio puede ejecutar 1000 máquinas virtuales (o más) a la vez en entornos virtualizados y nubes públicas. Pueden tener miles de dispositivos conectados y múltiples componentes de infraestructura definidos por software distribuidos en una huella global. Hay muchas más identidades que no son de personas que identidades de personas y, a menudo, se encuentran en áreas donde los equipos de seguridad desconocen por completo.

No es inusual que las empresas tengan más de 10,000 roles definidos en su estado de nube, muchos de los cuales afectan a identidades no humanas. Los datos ya no están en un lugar centralizado. Es utilizado por todas estas identidades. Para minimizar el riesgo, necesitamos descubrir, clasificar, auditar y proteger los datos continuamente mientras aplicamos los privilegios mínimos.

Las identidades que no pertenecen a personas deben mantener el menor privilegio
El privilegio mínimo siempre ha sido un principio de seguridad fundamental que otorga a las identidades solo los permisos necesarios para realizar su trabajo nada mas. Hacer cumplir los controles de seguridad con privilegios mínimos en todas las identidades es una práctica recomendada y la forma más eficaz de reducir el riesgo basic para las identidades. El acceso con privilegios mínimos se debe aplicar para cada decisión de acceso, respondiendo las preguntas críticas de quién, qué, cuándo, dónde y cómo acceden las identidades a los recursos.

Los permisos efectivos, o los conjuntos de permisos completos que se otorgan a una identidad, pintan una imagen true de lo que una identidad puede hacer y acceder. Las organizaciones empresariales deben comprender los permisos efectivos de un extremo a otro de las identidades que no son de personas para garantizar la seguridad de los datos.

Administrar permisos efectivos debe ser una prioridad
La identidad es el nuevo perímetro. Se requiere una gestión de identidad integral para todas las identidades, personas y no personas. El hecho de que las empresas no implementen estas capacidades en el ecosistema tecnológico las expondrá a riesgos de seguridad y cumplimiento. Los objetivos clave son aumentar la seguridad, hacer cumplir el cumplimiento, reducir el riesgo empresarial e impulsar el crecimiento y la innovación empresarial.

Para proteger las identidades no humanas, las empresas deben:

  1. Inventario continuo de todas las identidades
  2. Evaluar continuamente sus permisos efectivos y monitorearlos continuamente para detectar cambios.
  3. Asegúrese de que las soluciones de seguridad de identidad estén implementadas y configuradas para administrar identidades no humanas privilegiadas

Como mínimo, las empresas deben tener el command de todas las identidades y sus interacciones dentro de sus entornos. Por lo tanto, las empresas deben trabajar para eliminar las cuentas compartidas para que todas las identidades humanas o no humanas que interactúan con los sistemas tengan una identidad que pueda administrarse y utilizarse para aplicar los principios de privilegio mínimo, acceso mínimo y separación de funciones, mientras se trabaja hacia la visibilidad. , trazabilidad y responsabilidad. También es esencial que las organizaciones tengan una forma estándar y basada en políticas de administrar las identidades, que son objetivos comunes de compromiso para los actores malintencionados.

Eric Kedrosky es CISO en Sonrai Protection. Se unió a la compañía de software de seguridad en la nube en febrero de 2020 después de 16 años de trabajo en la industria. Los aspectos más destacados de su carrera incluyen trabajar como Director de Seguridad y TI en Verafin, Directorio de Servicios de Información y Seguridad … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first