Después de la brecha de Okta, diversifica tus fuentes de la verdad



La noticia de que Okta fue pirateada por el grupo Lapsus$ en enero ha causado serias olas en el espacio de seguridad de identidad.

Con la empresa considerada un pilar de seguridad, la pirateo confirmado de Okta ha llevado a muchos a cuestionar la sabiduría de depender tanto de su administrador de identidad. Curiosamente, muchos se preguntan cómo dejar de tener una única fuente de verdad para nuestro management de acceso que también puede ser una única fuente de fallas.

Para una industria centrada en la confianza cero, hay mucha fe puesta en un par de pilares de seguridad. Entonces, ¿qué sucede cuando son golpeados? ¿El resto de nuestra infraestructura de seguridad se viene abajo?

Identidad en el Centro de Seguridad
Para muchas organizaciones, Okta es la opción para todo lo relacionado con la seguridad de acceso en lo que respecta a la identidad.

Estos proveedores de identidad (IdP) ayudan a las organizaciones a administrar sus directorios de identidad, ofrecen servicios de autenticación como inicio de sesión único y autenticación multifactor (MFA) y, en basic, facilitan el manejo de la incorporación y baja de empleados en la organización.

Todas las cosas geniales.

El problema surge cuando confiamos demasiado en una solución porque puede convertirse en un único punto de falla.

La pregunta es: ¿Qué tiene usted para tomar el relevo de la seguridad cuando cae la primera línea de defensa?

Protegiendo a los Guardianes
Incluso en circunstancias normales, solo vemos el acceso que nos hemos proporcionado a través de nuestros IdP o herramientas de gobierno y administración de identidades (IGA).

Si nuestro IdP está comprometido y, por lo tanto, no es de confianza, ¿cómo validamos la información que proporciona?

Lo que necesitamos son capas adicionales de seguridad y visibilidad. Debería haber una segregación de funciones entre la infraestructura que gestiona nuestro acceso y las herramientas que validan ese acceso.

Nuestras herramientas tienen que decirnos no solo lo que creemos que tenemos, sino también cuáles son realmente los hechos en el campo que pueden afectar nuestra seguridad.

La forma de lograrlo es a través de una amplia conectividad con todas las aplicaciones y servicios de su organización. No es suficiente tener visibilidad en su AWS si sus usuarios también utilizan GitHub, Google Docs y muchos otros servicios en la nube de los que dependen las empresas para el trabajo diario.

Necesitamos ver toda la actividad que sucede no solo con nuestras identidades, sino también desde el lado de los activos para ver qué no federados (IAM area/usuarios externos/principales de servicio) están accediendo a nuestros activos.

Si podemos entender cómo se utilizan los privilegios de acceso, podemos detectar actividades sospechosas y reducir nuestra exposición con privilegios mínimos.

Las credenciales se verán comprometidas y las cuentas tomadas. Aquí hay tres formas en que podemos limitar el daño y dificultar que los piratas informáticos alcancen sus objetivos.

1. Reduzca su exposición
Evite esas heridas autoinfligidas tapando agujeros básicos en su seguridad. Asegúrese de que todos los usuarios administradores tengan MFA habilitado. No es perfecto, pero es una barrera útil para que trabajen más y puede prevenir el 99,9 % de los ataques.

    Revocar privilegios no utilizados. Si una identidad no ha utilizado un privilegio en 30 o 60 días, probablemente no lo necesite para su trabajo diario.

    Realice revisiones de acceso periódicas en las que los administradores y propietarios de aplicaciones tengan que aprobar o revocar privilegios de acceso para empleados y otras personas. Proporcióneles los datos suficientes para tomar decisiones precisas y evite el sello de goma. Hágalo periódicamente para asegurarse de que todos tengan el nivel básico de acceso correcto.

    2. Supervisión continua de problemas
    Una vez que tenga una línea foundation segura de privilegios de acceso, debe monitorear continuamente que se mantenga así.

    La forma de hacerlo es con políticas que puedan ser monitoreadas y alertadas si ocurren violaciones. Por ejemplo, si se crea un nuevo administrador o no se ha utilizado un privilegio de acceso en 30 días.

    Establecer medidas de protección aplicables le permitirá responder rápidamente y evitar la expansión descontrolada de privilegios o exposiciones riesgosas.

    3. Proteja su cadena de suministro
    Asegúrese de que todos en su cadena de suministro u otros socios cumplan con sus estándares.

      Si un error o el incumplimiento de las mejores prácticas por parte de su proveedor externo afecta a sus clientes, es su responsabilidad informarles sobre sus expectativas y hacerlas cumplir.

      Puede elegir su metáfora, pero un enfoque de defensa en profundidad requiere que no pongamos todos nuestros huevos en una canasta de productos u otra. Cada solución tiene sus limitaciones y solo puede desempeñar un papel en la matriz de seguridad normal.

      Si bien las herramientas de autenticación e IdP son los primeros pasos esenciales, proporcionan identidad e infraestructura de acceso. Necesitamos preguntarnos qué está pasando en la infraestructura y monitorearla para volvernos más resilientes y asegurarnos de que un error con un solo proveedor no nos deje expuestos.



Enlace a la noticia original