Máquinas. Tus mejores aliados. Tus peores enemigos

Al igual que las identidades humanas en las que confiamos para acceder a las aplicaciones y dispositivos que usamos todos los días (por ejemplo, contraseñas, multifactor, etc.), las máquinas requieren un conjunto de credenciales para autenticarse y conectarse de forma segura con otros dispositivos y aplicaciones en la red. A pesar de su importancia crítica, estas "identidades de máquina" a menudo no se administran ni protegen.

Este contenido salió publicado en el número de Octubre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

En su informe Hype Cycle for Identity and Access Management Technologies  de 2020 Gartner introdujo una nueva categoría: Gestión de identidades de máquinas, lo que reflejó creciente importancia de administrar claves criptográficas, certificados, claves SSH y otras identidades no humanas. Es esencial que las identidades de las máquinas estén debidamente autenticadas y administradas, asegurando que el acceso solo se otorgue a usuarios o máquinas legítimos sin importar el número de identidades involucradas o la complejidad de la red de las instalaciones.

La identidad de una máquina es mucho más que un número de identificación digital. Conlleva una serie de credenciales autenticadas que certifican que está autorizada a tener acceso a determinados recursos. Si las anteriores estrategias de seguridad se centraban en proteger la organización en el perímetro, ahora es necesario proteger cada conexión y cada comunicación que esté asociada de alguna manera con cada negocio.

Es importante comprender que muchas de estas intersecciones se caracterizan por la automatización; no hay interacción humana durante la comunicación de máquina a máquina, y esta es una de las razones clave por las que la gestión de la identidad de las máquinas se ha convertido en un componente fundamental de las estrategias de IAM para las organizaciones de todo el mundo. Las organizaciones necesitan, más que nunca, estrategias y tácticas para implementar un sistema organizado de identidades digitales que asegure, gobierne y verifique de manera confiable las comunicaciones de máquina a máquina.

Mayor superficie de ataque

El auge de estas máquinas ha ampliado la superficie de ataque y la mayoría de las empresas no son conscientes del riesgo. Según datos de Forrester, las identidades de las máquinas están creciendo al doble de la tasa de las identidades humanas; Gartner, por su parte, no solo ha reconocido la Gestión de identidades de máquinas como una nueva categoría dentro de la Gestión de identidades y accesos (IAM) sino que la incluyó entre Las 8 principales tendencias de seguridad para este año [https://www.gartner.com/smarterwithgartner/gartner-top-security-and-risk-trends-for-2021].

Los ciberataques que aprovechan las identidades de máquinas comprometidas o mal administradas son cada vez más comunes. Dichos ciberataques aumentaron en más del 430% entre 2018 y 2019, mientras que los ciberataques y las APTs que abusan de ellos aumentaron un 1,600% en los últimos cinco años, según un informe de Venafi de 2020. En el ataque a SolarWinds, los delincuentes utilizaron certificados digitales diseñados para proteger la cadena de suministro de software. Un certificado digital vencido retrasó el descubrimiento de la violación de Equifax en 2017. Las claves de cifrado robadas permitieron a los atacantes robar datos de clientes de Marriott en 2018 y los atacantes utilizaron una clave SSH de GoDaddy robada para robar casi 30.000 credenciales SSH de sus clientes en 2020.

La gestión de las identidades de las máquinas no solo hace referencia a la visibilidad de las mismas, sino a los certificados. Aseguran los expertos que en muchas ocasiones los problemas surgen porque tecnologías como X.509, a pieza central de la infraestructura de clave pública, y los sistemas de administración de claves SSH permanecen en silos y, a menudo, son incompatibles con los entornos de nube modernos, lo que dificulta mantenerse al tanto de los certificados caducados y olvidados. Los certificados TLS tienen una vida útil decreciente, pasando de cinco años en 2012 a solo un año en 2020. Las claves SSH nunca caducan, rara vez se eliminan de los entornos y las mismas claves se utilizan a menudo para acceder a varias máquinas. Y las claves de firma de código a menudo no están protegidas porque son generadas y utilizadas por desarrolladores, y cada vez más por procesos automatizados que los humanos nunca podrían seguir. Según una encuesta de Forrester de 2018, a más del 50% de las organizaciones les resulta difícil proteger las identidades de sus máquinas.

Incluidas en las identidades de las máquinas (a diferencia de las identidades humanas) están las cargas de trabajo (es decir, contenedores, aplicaciones, servicios) y dispositivos (dispositivos móviles, computadoras de escritorio, dispositivos IoT/OT).

Los atacantes pueden aprovechar las identidades de máquinas desprotegidas para obtener acceso a las redes y pivotar a través de múltiples sistemas una vez dentro. También brindan a los atacantes la oportunidad de crear puertas traseras persistentes y distribuir malware a usuarios de la red desprevenidos. El malware basado en SSH, como Trickbot, permite a los atacantes infectar múltiples objetivos, pasar a otras áreas de las redes objetivo y robar claves SSH adicionales. Los certificados TLS robados también se utilizan en ataques man in the middle y exfiltración de datos. Y dado que permiten a los atacantes hacerse pasar por entidades legítimas, los certificados fraudulentos también les permiten evadir los mecanismos de defensa existentes.

Investigaciones recientes han desvelado que el 61% de las empresas están implementando más claves criptográficas y certificados digitales en toda la empresa, aunque solo el 40% de los encuestados dijo tener una estrategia empresarial para administrar la criptografía. Ambas estadísticas son alarmantes y refuerzan la importancia de una estrategia moderna de gestión de identidad de máquinas en toda la empresa como parte de una estrategia de IAM.

Claves y certificados

Las máquinas utilizan conexiones cifradas para establecer la confianza en todo tipo de transacciones digitales. Para hacer esto, usan certificados digitales y claves criptográficas para validar la legitimidad de ambas máquinas que se comunican.

Ejemplo de ellos son los Secure Sockets Layer (SSL) o Transport Layer Security (TLS), utilizando fundamentales para la seguridad de las transacciones web, como la banca online  y el comercio electrónico. Estos certificados permiten una conexión cifrada entre un navegador web y un servidor web. Si los certificados utilizados para proteger HTTPS no están protegidos, los ciberdelincuentes pueden obtener acceso a estas identidades críticas de las máquinas para espiar el tráfico cifrado o hacerse pasar por un sistema confiable.

Secure Shell (SSH) se utiliza a menudo para proteger el acceso del administrador del sistema a la máquina para las tareas de rutina, pero también para asegurar la automatización máquina a máquina de funciones comerciales críticas, como la activación automática de operaciones y transferencias de archivos de rutina. Las claves SSH garantizan que solo los usuarios y las máquinas de confianza tengan acceso a datos y sistemas de red confidenciales.

Generalmente el software se firma con un certificado para verificar su integridad del software. Los usuarios confían implícitamente en los productos cuando están firmados por certificados de firma de código de un editor confiable, creyendo que el software firmado es seguro de implementar. Cuando se utilizan correctamente, estos certificados sirven como una identidad de máquina que autentica el software.

La criptografía de clave pública (o criptografía asimétrica) se utiliza para proteger las comunicaciones de la máquina. Debido a que la criptografía de clave pública sirve como base para las comunicaciones seguras en Internet, y debido a que la mayoría de las organizaciones no protegen muy bien estos activos de seguridad críticos, los ciberdelincuentes dedican mucho esfuerzo a intentar comprometer claves y certificados. Un certificado digital también se denomina certificado de clave pública. La mayoría de los certificados que se utilizan en la actualidad se basan en el estándar internacional X.509.

Automatización

La gestión de identidad inadecuada no solo hace que las empresas sean más vulnerables a los ciberdelincuentes, el malware y el fraude, sino que también expone a las organizaciones a riesgos relacionados con la productividad de los empleados, problemas de experiencia del cliente, deficiencias de cumplimiento y más. Si bien no existe una solución de autenticación y cifrado más sólida y versátil que la identidad digital basada en PKI, el desafío para los equipos de TI ocupados es que implementar y administrar certificados manualmente requiere mucho tiempo y puede resultar en un riesgo innecesario si se comete un error.

Ya sea que una empresa implemente certificados para habilitar la autenticación de dispositivos para una sola red de control o administre millones de certificados en todas sus identidades de dispositivos en red, el proceso de emisión, configuración e implementación de certificados puede ser abrumador. La gestión manual de identidades de máquinas no es sostenible ni escalable. Además, la administración manual de certificados pone a las empresas en riesgo significativo de que los certificados olvidados caduquen inesperadamente. Esto puede provocar interrupciones relacionadas con los certificados, fallos críticas de los sistemas comerciales y violaciones y ataques de seguridad.

En los últimos años, los certificados caducados han provocado muchas interrupciones del servicio y del sitio web de alto perfil. Estos errores han costado miles de millones de dólares en ingresos perdidos, sanciones contractuales, juicios y el costo incalculable de la pérdida de la buena voluntad del cliente y la reputación de la marca empañada.

Situación de mercado

A pesar de que existe una mayor conciencia en la protección de las identidades de las máquinas, un estudio realizado por Ponemon y Keyfactor recogió que la mayoría las empresas no tiene una estrategia para gestionar la criptografía y las identidades de las máquinas, o tienen una estrategia limitada que se aplica solo a determinadas aplicaciones o usos.

Los principales desafíos que se interponen en el camino de establecer una estrategia para toda la empresa son los cambios excesivos y la incertidumbre (40%) así como la falta de personal cualificado (40%).

Los encuestados también identificaron los desafíos en la administración de las identidades de las máquinas, como el aumento de la carga de trabajo y el riesgo de interrupciones causadas por la vida útil más corta de los certificados SSL/TLS (59%), la mala configuración de claves y certificados (55%) y el no saber exactamente cuántas claves y certificados tiene la organización (53%).

Un factor importante de estos desafíos es la reciente reducción en la vida útil de todos los certificados SSL/TLS de confianza pública en aproximadamente la mitad, de 27 meses a 13 meses, desde el 1 de septiembre de 2020. Vale la pena señalar que el impacto real de este cambio probablemente no se hará realidad hasta los próximos meses y años.

Si bien muchas tendencias están impulsando las implementaciones de PKI, claves y certificadas, las dos tendencias más importantes son los servicios basados en la nube (52%) y la estrategia de seguridad Zero-Trust (50%). Otras tendencias notables incluyen la fuerza de trabajo remota (43%) y los dispositivos de IoT (43%).

El estudio también recoge que, en general, los encuestados coinciden en que administrar y proteger la identidad de cada máquina es fundamental. Dicho esto, los certificados SSL / TLS se consideraron ampliamente las identidades de máquina más importantes para administrar y proteger, según el 82% de los encuestados.

El método más común para implementar PKI empresarial es una autoridad de certificación (CA) interna con raíz privada (42%). Sin embargo, muchas organizaciones también aprovechan las CA emisoras integradas, como Kubernetes o HashiCorp Vault (29%), las CA privadas que se ejecutan en una nube pública (23%) y los servicios de PKI gestionados externamente (23%).

A pesar de la tarea titánica de gestionar las identidades de máquinas, muchas organizaciones todavía confían en un mosaico de herramientas proporcionadas por los proveedores de CA (44%), hojas de cálculo (40%) y soluciones internas (33%) para administrar Certificados digitales. Solo alrededor de un tercio (36%) utiliza una solución de gestión del ciclo de vida de certificados dedicada.

Por cierto que el 88% de las organizaciones informaron haber experimentado al menos una interrupción no planificada debido a certificados caducados en los últimos 24 meses. Otro 41% asegura haber experimentado cuatro o más interrupciones. Según los encuestados, la probabilidad de que ocurran estos cortes no planificados en los próximos 24 meses es del 40%, frente al 25% del estudio de 2020.

Según los hallazgos, las organizaciones utilizan ampliamente las credenciales SSH, como contraseñas, claves y certificados. Sin embargo, el 53% no tiene un proceso de administración centralizado, lo que provoca que menos de la mitad de las organizaciones tengan un inventario preciso de credenciales SSH en toda su infraestructura (40%).

En comparación con otros incidentes relacionados con la identidad de las máquinas, como interrupciones no planificadas de certificados o robo y uso indebido de claves y certificados, las fallas de auditoría se consideran las más frecuentes y graves, según el 75%. En promedio, las organizaciones experimentaron aproximadamente cinco auditorías fallidas o incidentes de cumplimiento debido a una gestión de claves insuficiente en los últimos 24 meses.

De cara al futuro, las organizaciones están tomando medidas para actualizarse a la próxima generación de herramientas de gestión de identidad de máquinas. Según un estudio reciente la gran mayoría está planeando o implementando actualmente flujos de trabajo automatizados de Gestión de Identidad de Máquinas (96%), la capacidad de gestionar ciclos de vida de certificados en modelos de implementación híbridos (95%) o Gestión de Identidad de Máquinas como Servicio (95%).

El gran reto de la gestión de la identidad de las máquinas

A medida que las redes se vuelven cada vez más grandes y elaboradas, rastrear quién o qué está en ellas inevitablemente se vuelve más difícil. Las organizaciones se enfrentan a una serie de desafíos en la gestión de las identidades de las máquinas dentro de su organización, y el seguimiento de los certificados y las claves en las diversas áreas de su infraestructura de TI actualmente no es nada fácil.

Cerca de las tres cuartas partes enfrentan actualmente dificultades para realizar un seguimiento de estos certificados y claves en cada uno de los siguientes: tecnología operativa / infraestructura de IoT (78%), infraestructura en la nube (76%), infraestructura de TI local (75%) e infraestructura en contenedores (74%).

Es probable que estas dificultades signifiquen que las organizaciones no pueden rastrear certificados y claves tan eficientemente como deberían, o incluso que no pueden rastrear algunos de ellos en absoluto. De hecho, más de las tres quintas partes (61%) de las organizaciones no tienen pleno conocimiento de todos los certificados y claves en todos sus activos digitales, lo que significa que no pueden rastrear las identidades de todas las máquinas en sus redes de TI.