La gestión de identidades y accesos (IAM) es tan crítica para la ciberseguridad que ha generado axiomas universales como "la identidad es el nuevo perímetro" o "los hackers no piratean, inician sesión" para subrayar su importancia.

No es de extrañar cuando fuentes reputadas como el informe de Verizon Data Breach Investigations Report nombran habitualmente las credenciales comprometidas como un vector de ataque central para incidentes y violaciones de datos. La preocupación universal por la IAM ha llevado a todo el sector a impulsar la confianza cero y la disolución del modelo de perímetro de red heredado en ciberseguridad.

El debate en torno a la IAM suele centrarse en proteger los nombres de usuario y las contraseñas y las identidades asociadas a usuarios humanos. Pero las identidades no humanas (NHI) -credenciales digitales y automáticas asociadas a aplicaciones, dispositivos u otros sistemas automatizados- tienen una huella de acceso mucho mayor que la de los humanos.

Las identidades no humanas superan en número a las humanas hasta 50 a 1

Algunas organizaciones han descubierto que por cada 1.000 usuarios humanos, las organizaciones suelen tener 10.000 conexiones o credenciales no humanas; en algunos casos, las NHI pueden superar en número a las identidades humanas en una proporción de hasta 50 a uno.

Las NHI pueden incluir tipos de identidad como cuentas de servicio, cuentas de sistema, roles IAM y otras identidades basadas en máquinas utilizadas para facilitar las actividades de autenticación en una empresa y está orientada en torno a claves API, tokens, certificados y secretos.

También sabemos que los secretos siguen siendo un reto en rápido crecimiento en la era de los entornos y metodologías nativos de la nube, con millones de secretos detectados en escaneos de repositorios públicos de GitHub y miles expuestos en filtraciones de datos, como la sufrida por Samsung.

Esta explosión de los NHI ha estado liderada por factores como el impulso hacia los microservicios, los clústeres y contenedores Kubernetes, las integraciones y automatización en la nube y la proliferación de servicios SaaS de terceros que consumen las organizaciones.

Un NHI es esencial para el acceso y la autenticación de máquina a máquina

Cada tipo de identidad tiene su propia forma de facilitar y gobernar el uso de las IPH para el acceso y la autenticación de máquina a máquina. No sólo el número de NHI es enorme, sino que su gobernanza es aún más complicada, ya que existen en toda la empresa, entre diferentes herramientas, servicios, entornos y más, todo ello a menudo con una seguridad que tiene una visibilidad y un control limitados sobre su uso seguro o a lo largo de su ciclo de vida de identidad.

La importancia de proteger las identidades nacionales no pasa desapercibida para los CISO y los responsables de seguridad: la empresa de inversión Felicis publicó una encuesta realizada a más de 40 CISO estadounidenses líderes del sector y descubrió que las identidades nacionales eran el principal punto conflictivo que necesitaba una solución satisfactoria. Esto ilustra cuántos líderes de seguridad están identificando lagunas en su pila de seguridad de identidades cuando se trata de abordar este riesgo emergente.

La importancia de proteger las identidades de las máquinas se subraya en la publicación fundacional de confianza cero del Instituto Nacional de Normas y Tecnología (NIST) de EE.UU. "Zero Trust Architecture" (Arquitectura de confianza cero), en la que se hace hincapié en que a menudo se conceden privilegios especiales a los NHI, que actúan en nombre de desarrolladores y administradores de sistemas.

Las INDH son exponencialmente más difíciles que las identidades humanas

Los equipos de seguridad dedican mucha energía y recursos a asegurar las credenciales e identidades humanas, como el aprovisionamiento, el control de acceso menos permisivo, el alcance, el desmantelamiento y medidas de seguridad sólidas como la autenticación multifactor (MFA).

Pero la mera escala y opacidad de las NHI dentro de la empresa y fuera de ella -cuando se tienen en cuenta terceras partes como proveedores de servicios externos, socios, entornos y más- las hace exponencialmente más desafiantes.

Los desarrolladores, ingenieros y usuarios finales de toda la organización y el ecosistema en general a menudo crean NHI y les conceden acceso sin una comprensión profunda de las implicaciones de estas credenciales de larga duración, su nivel de acceso y su potencial explotación por parte de actores maliciosos, sin la gobernanza o la participación de los equipos de seguridad.

Las implicaciones de esto se están manifestando en identidades excesivamente permisivas. Algunas empresas de seguridad nativa en la nube han descubierto que solo el 2% de los permisos concedidos se utilizan realmente, lo que sugiere que existe una proliferación masiva de identidades no gobernadas, a menudo no seguras, con muchos más accesos y permisos de los necesarios, lo que las hace propicias para la explotación y el abuso por parte de los atacantes.

La autorización abierta facilita el acceso al NHI

Las IH son una parte fundamental de la habilitación de actividades, flujos de trabajo y tareas en entornos empresariales, a menudo utilizando software y servicios ampliamente generalizados y populares como Google, GitHub, Salesforce, Microsoft 365/Azure AD, Slack y más.

Gran parte del acceso programable basado en máquinas se facilita mediante un popular estándar de autorización en línea conocido como Open Authorization, u OAuth para abreviar. Se puede utilizar para facilitar el acceso delegado para varios tipos de clientes, como aplicaciones basadas en navegador, aplicaciones móviles, dispositivos conectados y más.

OAuth utiliza tokens de acceso, que son piezas de datos utilizadas para representar la autorización para acceder a los recursos en nombre de los usuarios finales en la empresa o fuera de ella. OAuth utiliza componentes básicos para facilitar esta actividad, incluyendo servidores y propietarios de recursos, servidores de autorización y clientes.

La siguiente visualización muestra un flujo básico de OAuth:

Los ataques a la cadena de suministro de software están cada vez más extendidos

Lo que hace que el uso de OAuth sea potencialmente problemático es que el consumidor, o usuario final en este caso cuando se trata de servicios externos como SaaS, no tiene control sobre cómo se almacenan esos tokens OAuth. Todo esto es manejado por el proveedor de servicios externos o aplicación.

Esto no es intrínsecamente problemático, excepto porque sabemos que los ataques a la cadena de suministro de software van en aumento. Los atacantes se han dado cuenta de que es mucho más eficaz atacar a proveedores de software de uso generalizado que a un único individuo u organización cliente.

Estos ataques no solo se centran en componentes de software de código abierto ampliamente utilizados, como Log4j y XZ Utils, sino también en las mayores empresas de software del mundo, como Okta, GitHub y Microsoft. El ataque a Microsoft implicó a hackers de estados-nación que abusaron de Microsoft Office 365 y su uso de OAuth.

El incidente afectó incluso al Gobierno estadounidense, lo que dio lugar a un informe de la Junta de Revisión de la Seguridad Cibernética (CSRB) en el que se hacían algunas afirmaciones condenatorias sobre la cultura de seguridad de una de las mayores empresas de software del planeta. En las propias directrices de Microsoft para el personal de respuesta ante el ataque de Estado-nación, se explicaba que la APT era "experta en identificar y abusar de las aplicaciones OAuth para moverse lateralmente a través de entornos en la nube".

OAuth no es más que uno de los focos de estos ataques, como se ha comentado anteriormente, pero los atacantes también se están aprovechando de los tokens de acceso personal (PAT), las claves API, las cuentas de servicio, los tokens y otras formas de secretos que pueden utilizarse para comprometer sistemas y datos internos o dirigirse a clientes y conexiones externas.

Aumenta el uso de NHI como vector de ataque

Esto no solo enfatiza la necesidad de proteger las IAN, sino también de que las organizaciones cuenten con un sólido plan de gobernanza de SaaS, debido al hecho de que, cuando se trata de seguridad en la nube, la mayoría de las organizaciones pueden estar utilizando dos o tres proveedores de IaaS, pero varios cientos de proveedores de SaaS, a menudo no bajo el ámbito de los equipos de seguridad interna y con poca o ninguna seguridad o rigor en relación con el nivel de acceso, los tipos de datos o la visibilidad de los proveedores externos de SaaS en caso de que se vean afectados por un ataque a la cadena de suministro de software.

El papel de los proveedores externos de servicios de Internet en incidentes importantes de ciberseguridad está llegando incluso a los archivos 8-K de la Comisión de Bolsa y Valores de Estados Unidos, como uno presentado recientemente por Dropbox, en el que se afirmaba: "El actor comprometió una cuenta de servicio que formaba parte del back-end de Dropbox Sign, que es un tipo de cuenta no humana utilizada para aplicaciones ejecutivas y ejecutar servicios automatizados".

Esto demuestra tanto la omnipresencia de las NHI en la empresa moderna como su creciente papel como objetivo de los actores maliciosos. Las NHI son fundamentales para el ecosistema digital moderno y se utilizan mucho tanto internamente para la nube, el desarrollo y la automatización como externamente para integrarse con el sólido ecosistema SaaS en el que viven ahora todas las organizaciones.

Sin un enfoque integral para asegurar las NHI, los CISO y los equipos de seguridad pueden encontrarse vulnerables y con una brecha crítica en su estrategia de seguridad de identidades.