Toda empresa lleva un bagaje. En cuanto a la identidad, ese bagaje suele estar en el corazón de las operaciones: Active Directory, cuentas de servicio, obsoletas e inseguras autenticación Protocolos (¿a alguien le preocupa NTLM?) y aplicaciones locales que son cruciales para la continuidad del negocio. Estos sistemas llevan décadas existiendo y están profundamente arraigados en los ecosistemas de TI. No desaparecerán pronto, ni siquiera con las iniciativas de transformación a la nube.
Credenciales comprometidasLas campañas de ransomware, movimiento lateral y a menudo comienzan con AD o cuentas de servicio no administradas porque son la vía de menor resistencia. De hecho, Una investigación reciente revela que el 94.3% de las organizaciones no tienen visibilidad completa de sus cuentas de servicio, y mucho menos comprenden su actividad. Los atacantes saben que estos sistemas no fueron diseñados para las amenazas modernas, al igual que AMI Y los equipos de seguridad saben que tampoco fueron diseñados para los controles modernos.
He pasado por eso, y es fácil sentirse atrapado bajo el peso de todo ese riesgo de identidad residual cuando las únicas opciones para abordarlo son dos opciones, en última instancia, insatisfactorias: gestionarlo integrándolo en las herramientas tradicionales de IAM o migrar desde ellas. Ambos enfoques son lentos y costosos de implementar, y el riesgo permanece inalterado hasta que se realiza el trabajo.
Durante mi etapa como responsable de IAM para un importante minorista, Descubrí que hay una tercera vía.La pregunta clave para la mayoría de las empresas es: "¿Cómo puedo estar lo suficientemente seguro a pesar de mi legado?" La naturaleza de las amenazas actuales significa que cada cuenta es un riesgo y requiere protección, por lo que no podemos dejar atrás nuestro legado ni esperar a que la transformación se produzca sistema por sistema.
Opción tradicional 1: Gestionar el riesgo de identidad
La primera opción que la mayoría de las organizaciones consideran es “gestionar” su riesgo de identidad, generalmente mediante la aplicación de controles compensatorios como Gestión de acceso privilegiado (PAMA). En teoría, esto permite una supervisión más estricta de las cuentas de alto riesgo.
En la práctica, y como sabrán la mayoría de las personas que alguna vez han participado en un proyecto de incorporación de PAM, el enfoque está lleno de obstáculos:
- La incorporación es lenta y difícil y el progreso se logra cuenta por cuenta.
- El “miedo a romper cosas” gana: no saber qué se supone que deben hacer las identidades conlleva riesgos, lo que es especialmente malo para los sistemas que ya no se desarrollan activamente.
- Es frágil: las migraciones de infraestructura y los cambios de sistemas hacen que los controles ganados con esfuerzo queden obsoletos.
- Para tener integridad, es necesario realizar cambios en los controles para evitar que se eludan (por ejemplo, la verificación de credenciales administradas por PAM).
Y lo más importante es que el riesgo permanece inalterado hasta que se complete el proyecto.
Para muchas empresas, esto significa años de exposición no gestionada mientras su equipo está ocupado realizando un trabajo complejo, técnico e incremental que apenas modifica sus niveles de riesgo reales. Esto conduce a muy Conversaciones ejecutivas difíciles: “¿Cuándo estará terminado el trabajo?” “¿Cuál es nuestro riesgo residual?”
Mediante la gestión selectiva del riesgo en función de cuentas privilegiadas Con la idea de que podría mantener seguro todo su panorama de identidad es una esperanza, más que una estrategia escalable. Este enfoque solo retrasa lo inevitable hasta que ya no se puede ignorar.
Mientras que el 'nivel 0' (sus claves para el reino de los controladores de dominio, PKI, hipervisores) es necesario Para proteger, no basta con eso. Los sistemas que gestionan la empresa deben estar igualmente bien protegidos para evitar interrupciones, tiempos de inactividad y daños a la reputación con sus clientes.
Webinar a pedido
Descubrir y abordar los puntos ciegos en PAM
Recibir el boletín Silverfort's Ron Rasin, Director de Estrategia, y Kev Smith, Ingeniero Principal, mientras discuten los puntos ciegos en los sistemas tradicionales. Soluciones PAM y profundizar en los fundamentos de la seguridad de acceso privilegiado (PAS)
Opción tradicional 2: Migrar lejos de su riesgo
La segunda opción que veo que muchas empresas consideran es migrar o modernizar. Esto suele implicar reemplazar las credenciales estáticas por dinámicas, adoptar la tecnología sin contraseña o migrar las cargas de trabajo a entornos de nube con... Protección de la identidadEn principio, todo esto es bueno, pero los desafíos son conocidos:
- Se requieren cambios en el sistema, lo que corre el riesgo de dañar aplicaciones heredadas frágiles.
- La migración es lenta y fragmentada, moviéndose aplicación por aplicación.
- Los costos se disparan rápidamente, tanto en tiempo como en recursos.
Y una vez más, el riesgo permanece inalterado hasta que se realice el trabajo, lo que podría llevar años.
No me malinterpreten: la modernización es esencial para la estrategia de TI a largo plazo. Si se realiza correctamente y en su totalidad, les dará la oportunidad de ganar la batalla contra la vulnerabilidad de cuentas y la seguridad de la identidad.
Pero no es una solución realista para reducción inmediata del riesgo, y corre el riesgo de dejar sus sistemas y aplicaciones heredados vulnerables a los atacantes. Después de todo, la alta probabilidad de vulnerar un proceso vital... ahora es más alarmante que el riesgo de que se comprometa o viole la cuenta o movimiento lateral en algún momento en el futuro
Desde mi perspectiva la modernización debe hacerse desde un punto de confianza en el hoy. Esto implica contener el riesgo de identidad mientras se construye para el futuro. Es la única estrategia responsable, dado el enfoque de los atacantes en la identidad.
Blog
NOTLogon: Cómo una máquina con bajos privilegios puede realizar un ataque DoS a su dominio
Silverfort descubre Active Directory Vulnerabilidad de denegación de servicio (DoS), conocida como NOTLogon (CVE-2025-47978)
La tercera vía: Dominar el riesgo de identidad
Si administrar y migrar no son suficientes, entonces ¿qué es lo que hay que hacer? ¿A la izquierda? La respuesta es controlar el riesgo de identidad.
Ya he hablado antes sobre La importancia de comprarse a sí mismo y a su equipo el tiempo y el espacio para modernizar su panorama de identidad manteniendo el control del riesgo en cada paso del camino.
Adoptar este enfoque significa asumir la responsabilidad de la exposición de su identidad sin depender de controles frágiles ni migraciones que requieren varios años. Significa aplicar... seguridad de identidad a cada parte de su entorno (incluidos los sistemas heredados, sin excepciones) para que pueda reducir el riesgo ahora, no dentro de muchos años. En mi experiencia, la mejor manera de lograrlo es implementar una protección de amplio espectro que eleve su nivel de seguridad y fortalezca sus puntos más débiles. A esto me refiero con el dominio de Su riesgo de identidad.
Requisitos clave para dominar el riesgo de identidad:
- Desarrollar una comprensión amplia que abarque todas las identidades y sistemas, sus comportamientos y los procesos que afectan o influyen.
- Sin incorporación: la protección no debería depender de la inscripción manual de cuentas.
- Sin cambios en el sistema: los sistemas heredados permanecen intactos y no es necesario modificarlos.
- Controles seguros, enLa protección de seguridad no se produce a expensas del tiempo de actividad ni con ese miedo generalizado a romper las cosas.
¿Cómo se ve esto en la práctica?
Dominar el riesgo de identidad implica cambiar nuestra perspectiva sobre la autenticación. En lugar de considerarla un factor clave para el negocio que prioriza el tiempo de actividad a toda costa, debemos priorizar la seguridad.
En un modelo que prioriza la seguridad, la autenticación se convierte en el punto de control principal, implementando políticas basadas en riesgos por defecto y conteniendo las amenazas antes de que se propaguen. Imagine si estas fueran las reglas básicas en todo su entorno:
- Requiere MFA para todo acceso a infraestructura sensible. Cada administrador que inicia sesión Active DirectoryCada desarrollador que se conecta a un servidor de producción. Cada cuenta de servicio Ejecutar un proceso crítico por lotes. La aplicación universal de una autenticación robusta garantiza que los atacantes no puedan acceder con credenciales robadas o obtenidas por fuerza bruta. Cuando MFA se integra directamente en el proceso de autenticación, incluso los sistemas heredados que nunca lo soportaron de forma nativa pueden beneficiarse de esta protección.
- Limite el radio de explosión, a pesar de la madurez de su gobernanza de acceso. Cada cuenta no humana está restringida a lo que hace de forma regular y repetida; cualquier actividad fuera de lo común se bloquea. Los administradores pueden acceder a los recursos en los registros de cambios e incidentes asignados, y se les bloquea el acceso a todos los demás, a pesar de sus privilegios. privilegios mínimosAhora tienes el control de las barreras que definen qué puede suceder y dónde, por lo que el radio de explosión de cualquier vulneración de cuenta es limitado.
- Rechazar conexiones que no provengan de fuentes confiables.
Un intento de inicio de sesión desde una ubicación inesperada, una estación de trabajo fuera del control corporativo o una IP sospechosa nunca debe tratarse como una solicitud de acceso estándar. La aplicación de políticas en línea permite cuestionar, restringir o bloquear directamente dicha actividad en tiempo real. Esto reduce drásticamente el alcance: incluso si se roban las credenciales, no se pueden usar fuera de los parámetros definidos.
- Bloquear el uso de protocolos heredados o inseguros. NTLM y otros protocolos obsoletos Persisten porque mantienen activos los sistemas heredados críticos. Pero los atacantes se valen de estos mismos puntos débiles para ejecutar ataques de pass-the-hash y relay, a menudo en sistemas que ni siquiera los requieren. Con controles modernos en el punto de autenticación, ahora se puede limitar su uso solo donde sea necesario. Ya no es una decisión binaria.
Al implementar controles como estos directamente en la infraestructura de IAM, en línea y sin requerir cambios disruptivos en los sistemas, el propio entorno está ahora diseñado para contener los riesgos de identidad. Esto es seguridad de identidad en acción.
Una vez controlados de esta manera los riesgos de identidad, usted tendrá la libertad de modernizar sus sistemas a su propio ritmo (experimentando con credenciales efímeras, avanzando hacia privilegios permanentes cero o repensando los modelos de acceso) sin dejar sus sistemas expuestos y sin la presión de los plazos de reducción de riesgos.
Cuanto más persistan los desafíos heredados, más socavarán tanto tus defensas actuales como tu progreso futuro. Pero al Al incorporar seguridad en la estructura de autenticación y tomar control de su riesgo de identidad hoy en lugar de esperar años hasta que finalicen los proyectos de transformación, se está preparando para el éxito. Hazlo ahora, y tus futuras transformaciones serán más rápidas, más sólidas y más seguras. Después de todo, el estándar de oro de hoy será el legado del mañana.
Para obtener más información sobre los pasos prácticos para implementar este enfoque, Descargue el Manual de Seguridad de Identidad.
recurso gratuito
Manual de seguridad de la identidad
Esta guía es su recurso esencial para proteger cada identidad en el panorama digital en expansión de su organización. Encontrará información práctica y un plan de acción de 5 pasos para lograr una estrategia de seguridad de identidad sostenible y eficaz.