CambioDigital-OL

0

La identidad se come a la seguridad

eye_trackingCómo la gestión de identidades está impulsando la seguridad

La protección de datos y activos comienza con la capacidad de identificar, con un nivel aceptable de certeza, a las personas y dispositivos que solicitan acceso a los sistemas. Tradicionalmente, la identidad se ha establecido utilizando un “apretón de manos secreto” (identificación de usuario y contraseña), que hace que la persona o el dispositivo atraviesen un portal de enlace hacia los sistemas permitidos. Una vez que se atraviesa, existen pocas medidas de seguridad para confirmar aún más la identidad.

Actualmente -con el fin de proporcionar una confirmación de identidad mucho más confiable que la identificación de usuario y la contraseña y basada en el contexto- las organizaciones están comenzando a adoptar una visión más amplia y compleja de la identidad para autenticar y autorizar a las personas y a los dispositivos. “Necesitamos llevar la identidad de su estado actual de administración de grupos, recursos y redes de una manera bastante estática, a una vista más en tiempo real del control de acceso a través de la inteligencia y el aprendizaje automático”, afirma Andre Durand, CEO de Ping Identity.

Ese enfoque requiere de una mirada más completa de otros factores que determinan la identidad, específicamente el comportamiento y los atributos ambientales. Si comprende todo lo que pueda sobre los clientes, empleados y dispositivos que se conectan a sus sistemas, podrá crear un perfil único para cada uno, el cual sería extremadamente difícil de copiar para un hacker.

Cambiar la forma en que las empresas usan la identidad para autenticar y autorizar también está impulsando cambios estructurales dentro de la organización. Las personas que son responsables de la identidad generalmente no se han asociado con la seguridad. Eso está cambiando a medida que la seguridad se enfoca más en la identidad como un concepto defensivo de primera línea, y está teniendo un profundo efecto en ambos grupos.

“La seguridad absorbió la identidad, pero la identidad se está comiendo a la seguridad”, afirma Durand. A medida que las organizaciones crean estrategias de seguridad que comienzan con una autenticación fuerte, la identidad se convierte en el nuevo perímetro.

Por qué la gestión de la identidad está cambiando
Las identificaciones de usuario y las contraseñas ahora son inútiles. Pueden ser pirateados o comprados fácilmente. Es por eso que la mayoría de las empresas que deben proteger datos de alto valor, han recurrido al menos a la autenticación de dos factores (2FA). Incluso la 2FA se está volviendo menos segura, ya que los tokens o smartphones pueden verse comprometidos o robados.

Las contraseñas no solo son ineficaces, sino que molestan a la gente. Las empresas orientadas al consumidor quieren eliminar la fricción de las interacciones con los clientes, y las organizaciones quieren hacer lo mismo con sus empleados. Las contraseñas generan mucha fricción.

La tendencia hacia la digitalización de los negocios también está aumentando la demanda de una mejor gestión de las identidades y una autenticación sólida. “La digitalización está impulsando una gran cantidad de recorridos de clientes que no existían antes”, afirma Jatin Maniar, vicepresidente de marketing y alianzas del proveedor de autenticación universal sin contraseña, Nok Nok Labs. Esos viajes a menudo obligan a los desarrolladores a hacer intercambios entre seguridad y comodidad. “Una mejor experiencia del usuario y las bases de seguridad conducen a una mayor participación y una posición de riesgo mejorada”, afirma.

Parte de esa mejor experiencia de usuario es alejarse de las contraseñas, afirma Maniar. Esa tendencia se extiende al entorno corporativo y escenarios B2C para eliminar contraseñas de clientes, usuarios empresariales y dispositivos conectados.

La marcha hacia la digitalización va de la mano con el aumento en el uso de dispositivos móviles, que a su vez permite una tecnología de identidad más inteligente como la biometría, afirma Maniar. “La buena noticia es que los consumidores están adoptando fácilmente y prefieren la biometría como un medio de autenticación con sus dispositivos móviles. Combine eso con los estándares FIDO de autentificación abierta y nunca nos hemos acercado tanto a la eliminación de los secretos compartidos y proporcionamos una base fuerte que deriva en una seguridad más sólida para un mundo digital”, agrega.

“La razón por la que la identidad es cada vez más relevante para todos los equipos de seguridad, se debe al hecho de que el enfoque tradicional de seguridad basado en el perímetro se ha derrumbado o disuelto desde hace muchos años”, afirma Derick Townsend, vicepresidente de marketing de productos de Ping. Cita la nube combinada con una fuerza de trabajo móvil como uno de los factores. “Ellos no entran a una oficina, se sientan en un escritorio y se conectan a una red”, afirma.

Otro factor es la proliferación de aplicaciones que residen fuera de la empresa. “Éstas podrían ser aplicaciones móviles. Simplemente podrían ser aplicaciones que se ejecutan en nubes privadas o podrían ser aplicaciones basadas en SaaS”, afirma Townsend. “Entonces le queda la idea de crear un nuevo paradigma para asegurar sus recursos. La identidad es la mejor opción para hacer eso”.

Cómo la gestión de la identidad puede detectar impostores y malhechores
Cada vez que inicia sesión en una página web o en un sistema corporativo, genera muchas señales de las que no tiene conocimiento. Esas señales pueden incluir su ubicación, la dirección IP del dispositivo o la velocidad o cadencia en la que escribe. Si usa un dispositivo móvil, existen aún más señales disponibles, como qué tan duro toca la pantalla de su teléfono. Del mismo modo, cada dispositivo que se conecta tiene sus propias señales basadas en patrones de uso típicos.

Recopilar y analizar estas señales permite que algunos sistemas de gestión de la identidad creen perfiles únicos para cada individuo y dispositivo. Después es posible establecer umbrales de certeza para indicar qué niveles de confianza son aceptables para permitir el acceso. Desde la perspectiva de la autorización, esto le permite conceder o denegar el acceso con un grado de precisión mucho mayor.

Los hackers aún intentarán entrar, pero la gestión inteligente de la identidad crea algunas barreras importantes. “Las contraseñas de factor único son débiles y onerosas”, afirma Chris Sullivan, CISO de SecureAuth + Core Security. “La de dos factores es más fuerte pero más problemática, y ha sido superada constantemente. Ahora podemos verificar 25 factores antes de pedir nada a los usuarios. Esto es infinitamente mejor”.

El 11 de julio, SecureAuth + Core Security anunció Login for Windows y Login for Mac, a los que llama productos de “autenticación adaptable” que pueden procesar docenas de factores en segundo plano. “Al autenticar fuertemente a un usuario en el inicio de sesión, podemos confiar en esa identidad y eliminar la ‘fricción de inicio de sesión’ del resto del día a medida que acceden a otras aplicaciones y sistemas”, afirmó Keith Graham, CTO de SecureAuth + Core Security.

La idea de utilizar una gestión inteligente de la identidad para lograr un control de acceso en tiempo real, y una mejor experiencia de autenticación de usuarios, es simple. Sin embargo, la gran cantidad de datos que se deben procesar dificulta la implementación. “Buscamos aprovechar los datos, el aprendizaje automático y la inteligencia artificial para hacer que la experiencia de autenticación sea mejor para los usuarios finales con un escenario ideal sin contraseña”, afirma Durand. “Si nos es posible reconocer al usuario a través de cualquier número de señales pasivas a las que tenemos acceso, entonces dejamos que el usuario entre, especialmente si el usuario está haciendo algo que se considera de bajo riesgo, esa es una gran experiencia para el usuario. Si vemos un comportamiento anómalo, entonces debemos detenerlo, marcarlo, exigir una autenticación incrementada o dirigirlo hacia alguien para que lo autorice”.

El perfil de identidad de una persona también puede incluir el comportamiento normal de la red. Si alguien supera el proceso de autenticación inicial y luego hace algo que esa persona normalmente no haría, el sistema de gestión de la identidad puede marcar la actividad, solicitar autenticación adicional o detener la actividad.

Esto ayuda a vencer a los hackers que logran ingresar al sistema, pero también detecta posibles amenazas internas, por ejemplo, empleados que acceden a archivos que no necesitan para su trabajo, o intentan iniciar sesión en momentos extraños. Del mismo modo, un sistema de identidad inteligente puede detectar un comportamiento anormal de los dispositivos autorizados, lo que puede ayudar a detener o minimizar los ataques de denegación de servicio distribuido (DDoS).

Eso cubre el lado de autenticación de la gestión de la identidad. En cuanto a la autorización, la IA y el aprendizaje automático también pueden ayudar a administrar los permisos. “La visión aquí es permitir a lo que me refiero como justo a tiempo, solo el acceso suficiente”, afirma Durand. “¿Cómo podemos otorgar acceso solo cuando sea necesario y cerrarlo cuando no lo sea?”

“También queremos cerrar la superficie a la que las personas tienen acceso. Queremos que sea tan detallada o tan pequeño como podamos”, agrega Durand. “Es una buena idea tener un amplio acceso a Internet y todo lo que contiene, pero eso no es práctico en un mundo en el que necesitamos un control más preciso sobre quién ve qué y cuándo. Es difícil otorgar acceso a una aplicación, o incluso a una sección de acceso restringido o limitado dentro de una aplicación, por un momento. Ese es un ejemplo de justo a tiempo, solo el acceso suficiente”.

Él cita el ejemplo de un gran minorista con cien administradores que tenían derechos de administración de correo electrónico de larga duración. Les preocupaba el riesgo de seguridad que presentaba. Al usar Ping, pudieron identificar mejor los patrones de acciones autorizadas frente a acciones no autorizadas.

Un nuevo rol para la gestión de la identidad
En el evento reciente de Identiverse en Boston, Ping Identity anunció PingIntelligence para API, el resultado de combinar la tecnología de monitoreo de tráfico API de su reciente compra de Elastic Beam con la tecnología de identidad de Ping.

El hacking de APIs está en aumento en los últimos años con infiltraciones de alto perfil en T-Mobile y el Internal Revenue Service (IRS) de Estados Unidos. Las vulnerabilidades de API permiten que los hackers se hagan cargo de cuentas y aplicaciones. Eso pone más énfasis en el centro de operaciones de red (NOC). “Tienes todo este tráfico de APIs yendo y viniendo”, afirma Sarah Squire, arquitecta técnica senior de Ping Identity. “Son demasiados datos, más de los que una sola persona puede procesar”.

En respuesta, Elastic Beam desarrolló una plataforma para ofrecer una comprensión profunda de lo que está sucediendo con las API de un cliente, desde descubrir APIs activas automáticamente y proporcionar visibilidad de las transacciones, hasta reconocer el uso indebido y los ataques cibernéticos en las API. “Es un problema realmente difícil, porque a fin de cuentas es un gran problema de datos”, señala Bernard Harguindeguy, fundador de Elastic Beam y vicepresidente senior de Inteligencia de Ping Identity. “Puede que cuente con decenas de miles de conexiones ocurriendo simultáneamente en docenas y docenas de APIs, todas sucediendo a diferentes velocidades, desde diferentes dispositivos de usuario final -navegadores, aplicaciones móviles, aplicaciones de escritorio, etc. Usted se encuentra buscando una aguja en un pajar”.

Con lo que Harguindeguy llama un “motor de ciberseguridad API”, el producto Elastic Beam tenía la capacidad de reconocer y bloquear automáticamente las amenazas. La identificación positiva de la fuente era otro asunto.

Las API se protegen hoy mediante tokens utilizando protocolos estándar de la industria como OAuth. Ahí es donde Ping ha mejorado el motor de visibilidad de Elastic Beam. “PingAccess, otro producto de Ping, ayuda a los clientes a proteger sus API utilizando OAuth”, afirma Durand. Este modelo de seguridad presume que el token no ha sido robado o secuestrado, o que un usuario ha tenido legítimamente acceso, no está haciendo algo malicioso. “No hay nadie mirando la tienda una vez que el usuario está detrás de las puertas de identidad. Al monitorear la actividad en las API después de que se le concede acceso a un usuario, Elastic Beam brinda un nivel completamente nuevo de seguridad y detección de amenazas a la empresa”.

Antes de Ping, Elastic Beam no tenía acceso al perfil de identidad del usuario real dentro de los tokens. “Con Ping, debido a que ambos estamos creando y leyendo los tokens de OAuth, ahora, por primera vez, tenemos la capacidad de vincular la identidad real del usuario autenticado con el tráfico API y correlacionar la actividad con un usuario conocido y autenticado”, señala Durand.

Squire afirma que PingIntelligence para API es fácil de configurar. Una vez que se establece una línea base de riesgo, el producto es capaz de detectar y bloquear ataques DDoS, amenazas internas, ataques de robo de contraseñas, ataques con credenciales robadas y ataques a datos y aplicaciones. También puede detectar ataques de día cero en las aplicaciones, si el ataque empuja el tráfico anómalo sobre la API, dado que la detección no se basa en reglas y no depende de conocer el patrón de ataque o la firma.

Lo que esto significa es un tiempo drásticamente reducido para identificar ataques una vez que se detecta una anomalía. El socio de Ping, Axway Software, afirma en el comunicado de prensa de Ping que el tiempo de identificación del ataque va de meses a minutos. Incluso si eso solo es verdad a medias, es una mejora significativa.

PingIntelligence para API necesita integrarse bien con los informes, las NOC y la infraestructura de seguridad existentes de una empresa. Lo hace de dos maneras. Puede funcionar en lo que Ping llama a un modo de banda lateral, donde una copia de los datos de tráfico se envía a PingIntelligence para las API. “Algunas organizaciones están comprensiblemente nerviosas por incluir otro proxy en su flujo de tráfico”, afirma Townsend.

El bloqueo real de una amenaza en el modo de banda lateral se produce fuera de PingIntelligence para las API. “Cuando encuentra una anomalía o un ataque, devuelve esa información a otro producto. Eso podría ser un producto de puerta de enlace API, podría ser un acceso de Ping. Ahí es donde ocurrirá el bloqueo del ataque”, afirma Townsend.

El producto también puede ejecutarse directamente en línea con el flujo de tráfico, analizando y actuando sobre eventos en tiempo real. PingIntelligence para APIs puede bloquear ataques directamente en modo en línea. “Es importante tener diferentes opciones sobre cómo implementar”, afirma Townsend. “Cada departamento de TI tendrá sus propios sesgos sobre lo que se usa en sus topologías de red. Podemos admitir múltiples opciones o combinaciones de opciones”.

Cómo la identidad está cambiando la seguridad
A medida que la identidad se convierte en el nuevo perímetro, como cree Durand, la identidad como función de seguridad es “cada vez más válida con la idea de la realidad de la nube híbrida de la mayoría de las empresas. Están redefiniendo sus fronteras en torno a los sistemas de gestión de acceso a la identidad”, afirma.

Históricamente, la identidad no ha sido responsabilidad de los equipos de seguridad. “Si se retrocede unos años, los campeones de Ping reportaban a TI”, afirma Durand. “Hoy estamos viendo un informe de identidad para el CISO”.

Eso está creando un desafío de gestión y habilidades. “A menudo encuentro que los profesionales de identidad y los profesionales de seguridad tienen una mentalidad diferente”, agrega Durand. “Encontrar personas que viven en dos espacios mentales simultáneamente, identidad para conectar cosas y seguridad para defender cosas, es muy poco común. La mayoría de las veces las personas caen en una categoría u otra, pero eso está comenzando a cambiar”.

La brecha entre identidad y seguridad, en términos de entender lo que hace el otro, ha sido históricamente bastante amplia. La solución, sugiere Durand, es un sólido programa de capacitación para profesionales de la identidad y la seguridad. Los panelistas en una sesión de Identiverse titulada “¿Debería la identidad poseer seguridad?” (La respuesta unánime fue “¡No!”), todos enfatizaron la necesidad de una mayor colaboración entre la identidad y los grupos de seguridad.

Incluso si los sistemas inteligentes de gestión de la identidad alcanzan su máximo potencial, es posible que nunca proporcionen un reconocimiento 100% preciso de los usuarios. “Existe una diferencia entre confiar y saber”, afirma Durand. “En la vida, nos vemos obligados a confiar cuando no podemos o no sabemos algo con certeza, y la mayoría de las cosas en la vida son demasiado inconvenientes o demasiado costosas para saber con certeza. Por ejemplo, ¿cuántas veces ha llegado a un nuevo restaurante y entregado las llaves de su auto nuevo a un extraño de dieciocho años que vestía lo que parece ser una camiseta de valet? Ha tomado una decisión consciente de confianza, porque ha decidido que es demasiado inconveniente estacionar a tres cuadras de distancia. En la identidad, como en la vida, es muchas veces demasiado difícil o demasiado caro saber algo con certeza. Es por eso que necesitamos sistemas inteligentes que nos ayuden a determinar el riesgo y tomar decisiones más inteligentes sobre el control de acceso”.

Michael Nadeau, CSO – CIOPeru.pe

Ordenado por: Seguridad Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 4669 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB