“Es la identidad, estúpido”: Una conversación con el experto en seguridad de la identidad Abbas Kudrati 

Silverfort Imagen
Tarjetas fotográficas_1200x630_0009_11
Índice

Comparte este artículo:

Me senté con Abbas Kudrati, asesor jefe de seguridad de identidad de APAC en Silverfort, para analizar las tendencias de seguridad de identidad más urgentes que darán forma al año 2025 y lo que los líderes ejecutivos necesitan saber para proteger sus organizaciones. 

El título de tu nueva conferencia, «Es la identidad, estúpido», llama la atención de inmediato. ¿Qué te inspiró? 

Abbas: Bueno, tomé prestado del famoso mensaje de la campaña de Clinton de 1992 de James Carville, pero con un toque de ciberseguridad. La realidad es que, en el mundo actual, la identidad no es solo un componente de la seguridad, sino el pilar fundamental. Tu firewall ya no es tu primera línea de defensa; tu... infraestructura de identidad Las organizaciones que no han comprendido esto están librando las batallas de hoy con las armas de ayer. 

¿Qué ha cambiado en el panorama de seguridad que ha hecho que la identidad sea tan central? 

Todo ha cambiado por completo. Internet es la nueva red, la nube es el nuevo centro de datos y la identidad es el nuevo perímetro. Cualquier dispositivo puede ser un dispositivo de trabajo ahora y, en efecto, cada empresa se ha convertido en... AMI empresa, se den cuenta o no.  

Lo que es particularmente preocupante es que identidades no humanas Ahora superan en número a las identidades humanas entre 25 y 50 veces. En 2010, los humanos dominaban el panorama de las identidades. Para 2020, las identidades no humanas eran diez veces más numerosas, y para 10, con GenAI, LLM y copilotos, se proyecta que serán 2025 veces más numerosas. Eso es una cifra enorme. superficie de ataque que la mayoría de las organizaciones no están protegiendo adecuadamente. 

Su investigación destaca importantes preocupaciones sobre las identidades no humanas. ¿Por qué debería importarles esto específicamente a los ejecutivos? 

Porque es una bomba de tiempo. Según Investigación de la Cloud Security AllianceSolo el 15 % de las organizaciones se sienten muy seguras de prevenir ataques a la NHI, mientras que al 69 % les preocupan. Solo el 20 % cuenta con procesos formales para la baja y la revocación de claves API, y aún menos las rotan regularmente. 

¿La parte más alarmante? Cuentas de servicio, que suelen tener amplios privilegios, suelen carecer de una visibilidad robusta. Si estas identidades de máquina se ven comprometidas a través de archivos de configuración o repositorios de código, puede provocar graves interrupciones en el negocio. 

A medida que las organizaciones endurecen las políticas de usuario, los atacantes se centran cada vez más en las aplicaciones. ¿El problema? Las aplicaciones no pueden usar MFA O recordar credenciales como lo hacen los humanos, y los desarrolladores a menudo quieren todos los privilegios posibles. Es una tormenta perfecta. 

Gartner nombró recientemente la gestión de identidades de máquinas como una de las principales tendencias de ciberseguridad para 2025. ¿Qué impulsa este enfoque? 

La realidad se está poniendo al día con el panorama de amenazas. Los 10 principales riesgos de identidad no humanos según OWASP Para 2025 se destacan cuestiones críticas como la salida indebida, la filtración de secretos comerciales, las NHI de terceros vulnerables y las NHI con demasiados privilegios. 

A medida que más empresas adopten Zero Trust En cuanto a los principios, los atacantes están evolucionando sus estrategias. En lugar de intentar eludir la infraestructura de identidad, buscan subvertirla. Esto requiere derribar las barreras tradicionales entre los equipos de identidad y seguridad, algo con lo que muchas organizaciones aún tienen dificultades. 

Analicemos el papel de la IA en la seguridad de la identidad. ¿Cómo está cambiando el panorama? 

Es un arma de doble filo. Las organizaciones con visión de futuro están aprovechando la IA para transformar las operaciones de identidad, desde el descubrimiento de derechos ocultos hasta la predicción de riesgos y la optimización de las políticas de acceso. Esto representa un cambio fundamental de la seguridad reactiva a la predictiva. 

Pero la IA también está empoderando a los atacantes. Estamos viendo una automatización cada vez más sofisticada de los ataques basados ​​en la identidad, en particular en la minería de permisos y... movimiento lateralTras obtener el acceso inicial, los actores de amenazas ahora pueden explorar y explotar sistemáticamente los permisos de identidad, especialmente en entornos de nube, y a menudo encuentran rutas sutiles hacia privilegios superiores que podrían no generar alertas. 

¿Cuáles son las amenazas basadas en la identidad más importantes en 2025? 

Las clasifico en tres amenazas principales: 

Primero, "Usuarios ingobernables“La realidad es que no se puede capacitar a los usuarios para lidiar con ataques sofisticados como el robo de cookies de sesión, el phishing de adversario en el intermediario o fatiga MFALa alta frecuencia de fallos de los usuarios satura los recursos del SOC. Las organizaciones necesitan que los flujos de seguridad sean a prueba de fallos. 

Segundo, "“Aplicaciones no gobernadas”. A medida que las organizaciones refuerzan las políticas de usuario y la infraestructura, los atacantes se centran en las aplicaciones. La estrategia debe basarse en controles estrictos de las aplicaciones, comprobaciones de cumplimiento y escaneo de credenciales en tiempo real. 

Tercero, "Infraestructura subvertidaA medida que aumenta la adopción de la Confianza Cero, los atacantes buscan subvertir, en lugar de eludir, la infraestructura de identidad, explotando las relaciones de confianza entre los proveedores de identidad y los proveedores de servicios. 

Ha desarrollado una matriz estratégica para las inversiones en seguridad de la identidad. ¿Podría explicar cómo los ejecutivos deberían abordar esta priorización? 

La Seguridad de identidad Matrix ayuda a los ejecutivos a asignar recursos entre cuatro prioridades estratégicas. La arquitectura de confianza cero y la integración de IA ofrecen el mayor valor estratégico, aunque difieren en la complejidad de su implementación. La arquitectura de confianza cero ofrece un alto valor estratégico con desafíos de implementación relativamente bajos, mientras que la integración de IA es igual de importante, pero requiere una implementación más compleja. 

La consolidación industrial, si bien es compleja de gestionar, tiene un peso estratégico menor para la mayoría de las organizaciones. Los desafíos laborales requieren atención constante, pero no deberían desviar recursos de iniciativas más cruciales. 

¿Qué medidas prácticas deberían adoptar los líderes ejecutivos para fortalecer su postura sobre seguridad de la identidad? 

Seis acciones críticas: 

  1. En primer lugar, implementar controles de acceso estratégicos, especialmente acceso Just-In-Time para operaciones sensibles. 
  1. En segundo lugar, apriete autenticación requisitos con MFA robusta tanto para el acceso interno como para la autenticación de servicio a servicio. 
  1. En tercer lugar, fortalecer las pruebas de seguridad de la identidad para incluir escenarios como la explotación de la cadena de permisos y las vulnerabilidades de la relación de confianza SSO. 
  1. En cuarto lugar, mejorar la gobernanza de la identidad con revisiones periódicas de los permisos para limitar el impacto de las infracciones. 
  1. En quinto lugar, transformar las operaciones de seguridad con la identidad como piedra angular, implementando la verificación en tiempo real. 
  1. Por último, establecer identidad de la máquina gobernanza con comités de supervisión dedicados a estos activos comerciales críticos. 

Para las organizaciones que aún están comenzando su camino hacia la seguridad de la identidad, ¿en qué deberían centrarse primero? 

Comience por comprender su panorama de identidades, en particular las identidades no humanas. No se puede proteger lo que no se ve o ni siquiera se conoce. La mayoría de las organizaciones tienen cientos o miles de cuentas de servicio, claves API e identidades de máquina que operan con privilegios excesivos y una supervisión insuficiente. Un inventario completo de identidades, especialmente de identidades no humanas, es la base sobre la que se construye todo lo demás. 

¿Qué consejo clave le daría a los líderes empresariales de seguridad que compartiría con nuestros lectores? 

La seguridad de la identidad debe evolucionar de una iniciativa técnica a una prioridad crucial para el negocio. La alta dirección debe impulsar esta transformación mediante inversión y atención estratégicas. Las empresas que reconozcan el problema de la identidad y actúen en consecuencia serán mucho más resilientes ante las sofisticadas amenazas de 2025 en adelante. 

¿Quiere obtener más información sobre cómo proteger la infraestructura de identidad de su organización? Visitar SilverfortPágina de la plataforma para explorar nuestra plataforma de seguridad de identidad, o Realice un recorrido por el producto. 

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración
nuevo héroe (1)

Silverfort adquiere Fabrix Security

Proporcionar seguridad de identidad autónoma en tiempo de ejecución.

Desarrollamos el primer motor de control de acceso en tiempo de ejecución autónomo, diseñado para proteger todas las identidades humanas, de máquinas y de agentes mediante el análisis de contexto profundo y la velocidad de la IA.

Obtén la historia completa