Los modelos de seguridad cibernética se centran actualmente en proteger entornos protegidos relativamente estáticos de servicios alojados centralmente. Las organizaciones ahora enfrentan el desafío de transformar esos modelos para administrar entornos fluidos y escalables donde sus recursos y datos se distribuyen a través de una malla híbrida de servicios locales y nativos de la nube proporcionados por múltiples proveedores.
Este nuevo paradigma ha dado como resultado que los perímetros de seguridad de las organizaciones pasen del borde de la red corporativa a usuarios individuales que acceden a los recursos en múltiples entornos. Dado que la gestión de identidad y acceso (IAM) es fundamental para permitir el acceso seguro a estos servicios, la seguridad de Identity First se ha convertido, en consecuencia, en una tendencia clave en IAM para la nube.
Desafortunadamente, muchas organizaciones tienen controles de IAM inadecuados y no tienen un control efectivo de quién tiene acceso a sus recursos en entornos estáticos tradicionales, y mucho menos la capacidad de responder a las demandas de la nube que se mueven rápidamente. Como informó Verizon, más del 60% de las infracciones en 2021 se debieron a la piratería con credenciales robadas.
Las organizaciones pueden administrar de manera efectiva las identidades en la nube al establecer un enfoque de seguridad que priorice la identidad. Esto debería combinar el uso de datos de identidad de alta calidad para brindar un acceso oportuno y adecuado a los recursos con capacidades de respuesta y detección de amenazas proactivas.
Esto debería ser una parte central de la postura de seguridad cibernética más amplia de una organización y centrarse en cuatro elementos: gestión de identidad, autenticación, autorización y detección y respuesta a amenazas de identidad.
Gestión de identidades: establecer un marco de gobierno de IAM eficaz
Se requiere un marco de gobierno de controles y tecnología de IAM efectivo para administrar un ciclo de vida de identidad de extremo a extremo diseñado para brindar información de identidad de alta calidad.
Esa información informa las decisiones de aprovisionamiento utilizadas para proporcionar a los usuarios un acceso oportuno y adecuado a los servicios, y luego la elimina cuando ya no es necesaria. También ofrece una vista rastreable única de quién tiene acceso a qué recursos. Esto es clave en la nube, donde se puede requerir acceso bajo demanda para servicios de múltiples proveedores.
La información de identidad provista también se usa para permitir decisiones de control de acceso precisas y oportunas, y los proveedores de identidad la usan para autenticar el acceso a los servicios, y las personas la usan para autorizar y hacer cumplir el nivel de acceso proporcionado a un usuario.
Autenticación: establezca controles de acceso sólidos pero proporcionados para reducir el riesgo de usurpación de cuentas
Para la experiencia del usuario y la conveniencia, el inicio de sesión único (SSO) es el mecanismo de autenticación elegido. Desafortunadamente, muchas organizaciones todavía dependen de un mecanismo inseguro: las contraseñas.
Como mínimo, las organizaciones deben exigir el uso de herramientas y técnicas de autenticación multifactor (MFA). Estos incluyen aplicaciones de autenticación móvil que aprovechan contraseñas de un solo uso o datos biométricos combinados con controles que utilizan señales contextuales, como la ubicación de un usuario o el estado de su dispositivo.
Incluso con MFA, los humanos y los controles inadecuados siguen siendo un punto débil con técnicas como el phishing, el bombardeo de MFA y los procesos de inscripción de dispositivos y recuperación de cuentas ineficaces que se utilizan para comprometer las credenciales. Las organizaciones deben combatir esto a través de medidas como campañas de concientización sobre cómo identificar y responder al phishing y controles que exigen controles de verificación de identidad durante la recuperación de la cuenta.
Autorización: asegúrese de que los usuarios solo reciban los niveles de acceso adecuados
Las organizaciones deben aplicar modelos de privilegios mínimos para sus recursos en la nube en los que los usuarios solo cuentan con el nivel mínimo de acceso necesario para realizar su trabajo.
Esto depende de la provisión oportuna a los proveedores de servicios de los datos de atributos de identidad precisos, completos y confiables necesarios para tomar decisiones de autorización. Esto debe incluir información sobre el rol, el departamento, la capacitación o los niveles de autorización de un usuario, combinado con procesos sólidos que permitan a estos terceros decidir cuál de estos atributos utilizar para autorizar el acceso.
Detección y respuesta a amenazas de identidad: suponga que se violará el perímetro
Aunque el servicio IAM hace cumplir la seguridad de acceso, esencialmente proporciona un perímetro defensivo estático. Las organizaciones deben asumir que esto será infringido y usar su capacidad de operaciones de seguridad más amplia para brindar detección y respuesta de amenazas de manera proactiva.
Las organizaciones deben desarrollar capacidades para detectar y analizar señales que podrían ser un indicador de intento de compromiso o compromiso existente. Esto puede variar desde ataques de fuerza bruta o de rociado de contraseñas hasta signos de comportamiento inusual del usuario o escalada de privilegios. Por ejemplo, los eventos y señales de IAM deben alimentar las herramientas SIEM y SOAR del SOC para permitirle detectar y responder a las infracciones.
También deben desarrollar el conocimiento y las capacidades para identificar y eliminar vulnerabilidades antes de que puedan ser explotadas. La inteligencia de amenazas de los proveedores de identidad basados en la nube podría usarse para marcar cuentas en riesgo y permitir que se tomen medidas preventivas.
Finalmente, se deben implementar manuales que cubran escenarios desde la contención y la erradicación hasta la remediación para guiar la respuesta de la organización una vez que se haya detectado una amenaza.
En última instancia, las organizaciones necesitan un marco coherente para la seguridad de identidad primero. Esto les permitirá controlar de manera efectiva el acceso en la nube al combinar el uso de datos de identidad de alta calidad para brindar acceso oportuno y apropiado a los recursos con capacidades proactivas de detección y respuesta a amenazas.
Andrew Peel es un experto en seguridad cibernética en PA Consulting