La mayoría de los programas de seguridad se centran exclusivamente en usuarios humanos, incluyendo empleados, contratistas y terceros. Pero existe un universo paralelo que crece en escala y riesgo y que permanece en gran medida invisible: las identidades no humanas (NHI). Estas son las cuentas de servicio, identidades de máquinaScripts, aplicaciones, secretos, tokens y herramientas de automatización que mantienen nuestros sistemas en funcionamiento. Y se están multiplicando rápidamente.
Los adversarios no solo atacan a las personas. Las NHI son notoriamente poco vigiladas, poco protegidas y con demasiados privilegios, y su número crece exponencialmente. Si combinamos estos cuatro factores, es fácil entender por qué las NHI son objetivos prioritarios para los atacantes que buscan maneras de infiltrarse y moverse sin ser detectados en los entornos.
Nuestra nueva investigación, Inseguridad en las sombras: nuevos datos sobre los riesgos ocultos de las identidades no humanas, detalla los desafíos que enfrentan las personas para encontrar, asegurar y proteger las NHI. Un análisis profundo de miles de millones de autenticaciones en cientos de organizaciones con millones de identidades nos mostró que las NHI ahora superan en número a los usuarios humanos por... 50 a 1 En grandes organizaciones, de las cuales el 80 % presenta problemas de postura crítica que las exponen a técnicas de ataque comunes. Las NHI son difíciles de encontrar y más difíciles de proteger, lo que las convierte en un blanco frecuente de los atacantes y uno de los elementos más desprotegidos de la... ataque de identidad superficie.
Los aspectos interesantes
- Los NHIs superan en número a las identidades humanas en una proporción de 50:1. Esto significa que por cada usuario que administra una organización, hay docenas de NHI silenciosos que operan en segundo plano.
- El 40% de los NHI en la nube no tienen propietario. Estas cuentas a menudo quedan excluidas de la gestión adecuada del ciclo de vida, dejándolas desatendidas, desprotegidas y expuestas al abuso.
- Solo el 5.7% de las organizaciones afirmaron que podían realizar inventarios con precisión todas Las NHI en su entorno. La visibilidad sigue siendo la primera barrera —y posiblemente la mayor— para conseguir NHI.
- El 56% de las organizaciones sincronizan sin saberlo sus cuentas de servicio a su directorio SaaS. Esto permite que los atacantes que hayan accedido al entorno local de una organización también puedan, con bastante facilidad, comprometer su entorno SaaS.
- El 46% de las cuentas de servicio todavía utilizan el protocolo NTLM, ahora obsoleto, para autenticarseLos protocolos obsoletos son protocolos inseguros, lo que los convierte en blancos fáciles.
Los principales desafíos para proteger las identidades no humanas
A pesar de su prevalencia, poder y utilidad, las NHI pueden ser una espina en el costado de los equipos de identidad y seguridad. SilverfortLa investigación destaca cuatro problemas clave que ayudan a explicar por qué los NHI son un punto ciego tan importante:
- Están poco observados: Las NHI operan entre bastidores, a menudo sin visibilidad ni supervisión. De hecho, el 94.3 % de las organizaciones... no tienen visibilidad completa de sus cuentas de servicio, y mucho menos de lo que están haciendo y a qué están accediendo.
- Están desprotegidos: Las NHI rara vez (o nunca) se benefician de los mismos controles de seguridad que se aplican a los usuarios humanos. MFA No se pueden aplicar, y sin una observabilidad completa, no se pueden establecer líneas base de comportamiento. Aún más preocupante, muchas de ellas siguen utilizando protocolos inseguros: el 46 % de las cuentas de servicio aún utilizan la autenticación NTLM, a pesar de que quedó obsoleta a mediados de 2024.
- Son sobreprivilegiados: A muchas NHI se les concede mucho más acceso del que necesitan, a menudo con privilegios administrativos o de nivel de dominio que persisten indefinidamente. El 35% de todos cuentas de usuario son cuentas de servicio con altos privilegios de acceso y baja visibilidad, y el 56% de las organizaciones sincronizan sin saberlo más de la mitad de sus cuentas de servicio con su directorio SaaS.
- Están por todas partes: Las NHI abarcan todos los entornos (locales, híbridos y multinube) y afectan a casi todos los sistemas críticos. Desde 2020, la proporción de NHI por persona ha crecido de 10 a 1 a la asombrosa cifra de 50 a 1. Su ubicuidad las hace indispensables y difíciles de contener.
Enfoque en una de las NHI más antiguas, más riesgosas y más prolíficas: las cuentas de servicio
Dentro del amplio grupo de tipos de NHI, las cuentas de servicio (utilizadas para la comunicación de máquina a máquina dentro de Microsoft) Active DirectoryLos entornos de AD han sido ignorados por los defensores, pero atacados por los atacantes. Tradicional seguridad de identidad Los controles están casi completamente centrados en el usuario, por lo que las cuentas de servicio simplemente no podían protegerse de la manera tradicional. Nuestros datos muestran que el 46 % de las cuentas de servicio se autentican regularmente con NTLM, una tecnología obsoleta. autenticación Protocolo con numerosas vulnerabilidades. Solo este año, varios investigadores revelaron vulnerabilidades sobre NTLM. Los hackers lo saben y lo utilizan para su beneficio. Puedes leer más sobre el tema. Innumerables ataques en los que se utiliza NTLM aquí.
También descubrimos que el 37 % de las cuentas de servicio son lo que llamamos "interactivas". Se trata de cuentas de servicio con las que aparentemente interactúan empleados (o atacantes) para eludir los controles de acceso privilegiado.
Todo empezó con administradores humanos que creaban cuentas de servicio en múltiples sistemas, aplicaciones, plataformas y servicios sin una visión centralizada de sus responsabilidades, quién las creó y quién las posee, y a qué necesitan acceder. Para la mayoría de las organizaciones, nunca ha existido una única fuente de información veraz para las NHI, ni procesos estandarizados de alta, baja o propiedad, lo que deja sus inventarios, en el mejor de los casos, incompletos.
Proteger sus NHI es una obligación, no algo que simplemente se desea tener
Los actores de amenazas ya se han dado cuenta de lo que muchas organizaciones no han comprendido: identidades no humanas Son a menudo el eslabón más débil en el tejido de identidad de una empresa.
1. Robo de claves API o tokens
Violación de seguridad de Internet Archive (octubre de 2024): Los atacantes explotaron claves API no rotadas filtradas del repositorio GitLab de Internet Archive, obteniendo acceso a más de 800,000 tickets de soporte que contenían información confidencial de los usuarios.
2. Cuentas de servicio con privilegios excesivos
Violación de la seguridad de Dropbox (mayo de 2024): Los atacantes comprometieron un backend cuenta de servicio con privilegios excesivos, accediendo a la base de datos de clientes y exponiendo datos confidenciales del usuario, incluidas direcciones de correo electrónico, nombres de usuario, contraseñas en hash, claves API y tokens OAuth.
3. Abuso de aplicaciones OAuth
Microsoft y Okta Ataques: Se ha observado que actores estatales abusan de las aplicaciones OAuth para moverse lateralmente en entornos de nube. Grandes empresas de software como Microsoft y Okta han sido víctimas de ataques que aprovechan identidades de máquinas comprometidas, lo que pone de relieve la necesidad vital de conectar las identidades no humanas con sus contrapartes humanas para lograr una visibilidad y protección completas.
Estos no son incidentes aislados, sino que reflejan una tendencia sistémica. Las NHI ahora son parte integral de uno de los vectores de ataque más explotados: identidadA diferencia de las identidades humanas, las NHI no pueden protegerse con las salvaguardas más comunes, como la MFA, lo que crea un vasto, invisible y vulnerable superficie de ataque que muchos defensores no están bien equipados para proteger.
Es fácil ver la tendencia en juego. Si bien las organizaciones han invertido mucho en la seguridad de los usuarios humanos, las NHI aún pasan desapercibidas. Pero no todo está perdido: hay algo que pueden hacer al respecto.
Un nuevo enfoque: SilverfortSeguridad del NHI ampliada
Reconociendo el creciente riesgo y la complejidad operativa en torno a las NHI, hemos ampliado nuestras capacidades de seguridad de identidad no humana para brindar protección y visibilidad continuas a todas Servicios de salud no hospitalarios (SNS), tanto locales como en la nube. Esto incluye:
- Cobertura unificada para NHI locales y en la nube.
- Descubrimiento completo y mapeo de propiedad.
- Protección escalable y en tiempo real de cuentas de servicio con cercas virtuales.
- Integración perfecta entre plataformas.
Conozca más sobre nosotros Oferta de seguridad ampliada del NHI, y cómo puede ayudarle a encontrar y mapear sus NHI desconocidos, aplicar controles de seguridad y remediar configuraciones erróneas y debilidades de identidad con recomendaciones prácticas.
Reflexiones finales
Las identidades no humanas ya no son una preocupación exclusiva de TI; son un pilar fundamental de la infraestructura empresarial y una superficie de ataque en rápida expansión. La evidencia es clara: las NHI están en todas partes, tienen acceso elevado y son prácticamente invisibles a los controles de seguridad tradicionales. A medida que los atacantes explotan cada vez más este punto ciego, las organizaciones deben actuar con rapidez para proteger su entorno de identidades no humanas.
El camino a seguir comienza con la visibilidad, se fortalece mediante la aplicación de políticas y culmina en una protección continua y adaptativa, de modo que cada dimensión de la identidad sea conocida y protegida.