[16/09/2024] Cloud Security Alliance (CSA), la organización dedicada a definir estándares, certificaciones y mejores prácticas para ayudar a garantizar un entorno de computación en la nube seguro, y Astrix Security, una solución para proteger identidades no humanas, anunciaron la primera investigación de su tipo que arroja luz sobre el estado actual de la seguridad de la identidad no humana (NHI).
Según lo señalado en el comunicado de prensa, los resultados del Informe de la Encuesta sobre el Estado de la Seguridad de la Identidad No Humana, una encuesta realizada a más de 800 expertos junto con datos de más de dos millones de NHI monitoreadas en empresas de la lista Fortune 500, revelan una disparidad de seguridad significativa: las organizaciones están mucho menos equipadas para proteger las identidades no humanas en comparación con sus contrapartes humanas. Los desafíos más comunes incluyen la administración de cuentas de servicio y la detección de NHI. Aunque la encuesta también reveló que hay un creciente reconocimiento de la importancia de invertir en seguridad NHI, con una de cada cuatro organizaciones que ya invierten en estas capacidades, y un 60% adicional planea hacerlo en los próximos 12 meses.
"Las NHI, como los bots, las claves API, las cuentas de servicio, los tokens OAuth y los secretos, son salvavidas de las organizaciones actuales, ya que permiten la automatización, la eficiencia y la innovación", sostuvo John Yeoh, vicepresidente global de investigación de CSA. "Y si bien las organizaciones reconocen la importancia de proteger las NHI y, a menudo, implementan una combinación de herramientas, como los sistemas de gestión de acceso a la identidad, estas herramientas no están diseñadas específicamente para los desafíos únicos que presentan las NHI. El desajuste es evidente en los recientes ataques a grandes marcas como AWS, Okta, Cloudflare y Microsoft; donde, a pesar de contar con medidas de seguridad, los piratas informáticos lograron infiltrarse. Esta encuesta conjunta no hace más que subrayar este vasto problema, poniendo de relieve que las NHI no pueden ser tratadas de la misma manera que las identidades humanas".
CSA y Astrix se propusieron profundizar en cómo las organizaciones perciben y manejan la seguridad NHI, con el objetivo de descubrir las brechas específicas y los puntos débiles en la protección de las claves API, los tokens OAuth y más. El informe revela las principales conclusiones:
- Los ataques a las NHI están aumentando y las defensas se están quedando atrás: Casi una de cada cinco organizaciones ha experimentado un incidente de seguridad relacionado con las NHI. Las causas más comunes de los ataques relacionados con NHI fueron: falta de rotación de credenciales (45%); monitoreo y registro inadecuados (37%); y sobre cuentas/identidades privilegiadas (37%).
- Baja confianza en la seguridad de las NHI en comparación con las identidades humanas: Existe una brecha significativa en los métodos de seguridad de las organizaciones, ya que solo 1,5 de cada 10 organizaciones confía mucho en su capacidad para proteger las NHI, en comparación con casi una de cada cuatro para proteger las identidades humanas. "Esta falta de confianza en la seguridad de las NHI frente a las identidades humanas podría deberse al gran volumen de NHI en su entorno, que a menudo superan en número a las identidades humanas en una proporción de 20 a 1”, comentó el ejecutivo.
- Los enfoques fragmentados conducen a incidentes de seguridad: Estas herramientas no están diseñadas específicamente para abordar los desafíos de seguridad de la NHI; por ejemplo: el 58% utiliza sistemas de gestión de identidades y accesos (IAM, por sus siglas en inglés); el 54% utiliza la gestión de acceso privilegiado (PAM); el 40% utiliza medidas de seguridad de API; el 38% emplea estrategias de Confianza Cero/privilegios mínimos; el 36% utiliza herramientas de gestión de secretos. "Como resultado, las tres causas más comunes de incidentes de seguridad de NHI incluyen la falta de rotación de credenciales (45%), la supervisión y el registro inadecuados (37%) y las cuentas o identidades con privilegios excesivos (37%)”, anotó Yeoh.
- Lucha con las prácticas de seguridad fundamentales relacionadas con las NHI: Los principales desafíos que enfrentan las organizaciones incluyen la auditoría y el monitoreo (25%); acceso y privilegios (25%); descubrimiento de NHI (24%); y el refuerzo de las políticas (21%). Otra preocupación importante es la lucha por obtener visibilidad de los proveedores de terceros conectados por aplicaciones OAuth, ya que el 38% de las organizaciones informan que no tienen visibilidad o la ven mal de los proveedores de terceros, y otro 47% solo tiene visibilidad parcial.
"A medida que las organizaciones reconocen cada vez más la necesidad crítica de una seguridad NHI robusta, el aumento de las inversiones refleja una postura proactiva hacia la protección de nuestras infraestructuras digitales", comentó, por su parte, Alon Jackson, CEO y cofundador de Astrix Security. "La clave ahora es garantizar que estas inversiones se canalicen hacia las herramientas adecuadas, especialmente a medida que persisten las vulnerabilidades. Las NHI presentan desafíos únicos distintos de las identidades humanas, lo que hace que su seguridad sea compleja y exigente. Abordar la seguridad de NHI requiere un refinamiento continuo, estrategias adaptables y un esfuerzo unificado para abordar las amenazas en constante evolución de frente".
Franca Cavassa, CTOPerú