El mundo tradicional de dominios unidos de Active Directory (AD) ha chocado con la explosión de servicios en la nube, Aplicaciones SaaS, identidades no humanas (NHIs), y autónomo Agentes de inteligencia artificial, creando una superficie de ataque vasta, aunque a menudo invisible.
Lo que antes era un castillo bien protegido de tickets Kerberos es ahora una jungla impulsada por IA de proliferación de tokens, cuentas de servicio sobreaprovisionadas y movimiento lateral a la velocidad de la máquina.
Pero lo cierto es que, si bien el concepto de "identidad" sigue evolucionando, muchas organizaciones aún se enfrentan a desafíos fundamentales que existen desde principios de la década de 2000. Así es, hablo del legado. Active Directory.
Mientras los CISO pasaban a conversar sobre la adopción segura de la IA con el resto del equipo directivo, el CIO y AMI Los equipos continuaron operando discretamente en segundo plano, centrándose en cómo apoyar las necesidades empresariales y las capacidades de colaboración que existen independientemente del tipo de infraestructura que mantiene a la empresa en funcionamiento.
IAM ≠ Seguridad de identidad
Existe una clara idea errónea de que la forma en que IAM opera actualmente es el mejor (o único) enfoque para integrar la seguridad en lo que respecta a la identidad, y ahora es el momento de que el CIO y el CISO estén en sintonía.
Proporcionar acceso no equivale a controlar el riesgo que conlleva dicho acceso. Aquí es donde la identidad y la seguridad chocan, y surge la siguiente pregunta: “Oye, CISO, ¿te sientes cómodo con tu CIO?” Active Directory ¿Estrategia en la era de la IA?
Daré un ejemplo: ¿El equipo de IAM sincroniza el AD local con Entra IDJane Doe, del departamento de marketing, cambia su contraseña, que ahora en adición Los datos, que antes se almacenaban localmente, se han replicado y almacenado en la nube. El procesamiento y la seguridad de los datos difieren entre entornos locales y en la nube, por lo que el equipo de infraestructura, al realizar sus tareas habituales, simplemente amplió la superficie de ataque de la organización.
En el resto de esta publicación, exploraremos la evolución del riesgo de identidad y por qué un riesgo específico seguridad de identidad La estrategia debe ser un esfuerzo colaborativo entre los equipos de TI y seguridad, y debe definirse cómo tomar medidas prácticas para establecer objetivos comunes manteniendo el cumplimiento normativo.
La identidad es ahora la superficie de ataque número uno
Active Directory Nunca se diseñó pensando en la IA. Teníamos un sistema de confianza centralizado, Kerberos. autenticacióny la directiva de grupo se definía fácilmente debido a un perímetro limitado. Las identidades eran mayoritariamente humanas, y escalada de privilegios Siguieron rutas laterales predecibles (por ejemplo, ataques de paso de hash). La seguridad siguió un modelo claro: endurecimiento de GPO, redes de nivel 0 y defensas basadas en tickets dorados.
Pero luego vino transformación híbrida y en la nube...
El perímetro se disolvió. El modelo híbrido se convirtió en la norma, ya que las organizaciones seguían manteniendo Active Directory local para las aplicaciones críticas del negocio y los requisitos de cumplimiento, al tiempo que extendían las identidades a otros entornos. Entra ID or OktaLa fácil disponibilidad de aplicaciones SaaS significó que la TI en la sombra fuera más frecuente que nunca, y muchas identidades ahora proliferan fuera del alcance del SOC.
Avance rápido a identidades no humanas y la IA agente. Las NHI, como las cuentas de servicio y las claves API, ahora superan en número a las identidades humanas en al menos 50:1Mientras tanto, a los agentes de IA se les concede acceso a archivos, sistemas financieros, calendarios y bases de código, dejando tras de sí nuevos tokens, credenciales y registros.
¿El resultado final? Tu Active Directory ahora es solo un componente de un sistema desconectado y con permisos excesivos. El riesgo de identidad es dinámico, por lo que no puedes confiar en modelos estáticos basados en roles. Las brechas de seguridad como la de SolarWinds explotan la identidad federada y la falsificación de tokens SAML, dejando al descubierto que las identidades suelen ser persistentes, con permisos excesivos y mal gestionadas.
En lugar de abordar la “identidad” como una mera cuestión de gestión de accesos, se necesita una evaluación de seguridad continua.
“Tu AD ahora es solo un radio en un centro de sistemas desconectados y con exceso de permisos.” -Eric Haller, Asesor
¿Qué ha cambiado en el panorama de riesgos?
Con la IA y la transformación digital, el uso de la identidad cambia. Se vuelve federada (en la nube) y también se suplanta (mediante IA), por lo que los problemas de lograr visibilidad y establecer control se vuelven más difíciles de resolver. Este panorama significa La comunicación y la estrategia también deben cambiar.El equipo de IAM responsable del aprovisionamiento de la infraestructura debe trabajar en estrecha colaboración con el equipo de seguridad que la protege, y viceversa. Ya no hay término medio.
A continuación se presentan los objetivos primordiales que deben compartirse debido a esta nueva realidad:
- Mantener un inventario de identidades
- Utilizar el Principio de menor privilegio
- Configurar sistemas desde una perspectiva centrada en la identidad.
Orientación sobre cómo establecer los objetivos principales y sus respectivas acciones.
Vamos a concretar en qué consisten estos objetivos fundamentales y por qué son importantes.
Paso 1: Conocer y clasificar las identidades que existen
Gartner ha empezado a llamar a esto “Plataformas de inventario de identidad, visibilidad e inteligencia (IVIP)En otras palabras, se trata simplemente de una forma elegante de decir que tanto el equipo de identidad como el de seguridad deben poder identificar qué identidades existen, qué tipos de identidades son y cómo interactúan con los sistemas que las rodean. Un ejemplo práctico sería que el equipo de identidad otorga acceso a una carpeta específica en SharePoint, y el equipo de seguridad tiene visibilidad sobre la existencia y los permisos de esa identidad. Basándose en su conocimiento de las mejores prácticas de seguridad, el responsable de seguridad puede ofrecer recomendaciones de mínimo privilegio tras analizar el panorama completo del acceso de una identidad en la organización. El responsable de seguridad también podría proporcionar información clave sobre otras posibles deficiencias o qué otros accesos podría tener la cuenta más allá del aprovisionamiento previsto. Esto representa una oportunidad de validación y evaluación de riesgos que suele pasarse por alto, especialmente a medida que aumenta el número de identidades en una organización. Una vez más, esto solo es posible cuando conocemos Lo que Existen identidades sus relaciones en todo el entorno híbrido.
Paso 2: Priorizar todas las identidades privilegiadas (no solo las que conoce PAM).
Es probable que su organización utilice un Gestión de acceso privilegiado Solución (PAM). El problema con eso es PAM. Su eficacia depende de la calidad de las identidades que contiene su sistema. Es importante identificar y clasificar todas las identidades. cuentas privilegiadas Basándonos en la actividad de autenticación real, podremos mapear los riesgos en todo el entorno y capacitar al equipo de seguridad para implementar controles de acceso Just-in-Time (JIT). El equipo de IAM puede brindar apoyo proporcionando información adicional sobre cada identidad privilegiada y garantizando una sólida gestión y documentación. Otra ventaja es la posibilidad de desarrollar una estrategia de ingeniería de alertas SOC más robusta, basada en el nivel de detalle compartido.
Paso 3: Reforzar la higiene de seguridad subyacente
Un entorno más seguro también es más fácil de gestionar y aprovisionar. Por ejemplo, ¿qué pasa con ese contratista del equipo de operaciones que terminó su trabajo hace 6 meses? Todavía está en el sistema. La monitorización continua ayuda a "limpiar" lo que existe y por qué en el inventario general de identidades, lo que facilita al equipo de seguridad reducir el superficie de ataque y el equipo de identidad para gestionar los sistemas y aplicaciones en uso. Yendo un paso más allá, ambos departamentos pueden trabajar juntos para aplicar acceso condicional basado en el riesgo Las políticas y los ámbitos de aislamiento optimizan aún más la sinergia con los flujos de trabajo SIEM/SOAR que detectan actividad inusual. Esta es una de las consideraciones más importantes para lograr objetivos comunes entre los equipos de IAM y seguridad: con la colaboración del CIO y el CISO, se pueden implementar tácticas de prevención automatizadas, como el cierre del acceso del contratista, antes de que se produzca un abuso.
Un plan de acción factible para trabajar a partir de objetivos compartidos
Tras definir los objetivos prioritarios, es hora de reunir al CIO, al CISO y a sus respectivos equipos de IAM y seguridad para que dialoguen. Estos son los temas que deben abordarse para: a) confirmar resultados medibles y b) identificar las deficiencias de comunicación y de proyecto que deben subsanarse:
- Mapea tu sistemas de joyas de la corona y quién (o qué) accede a ellos.
- Identificar el Las 10 identidades más riesgosas basado en el privilegio, el uso y la expansión
- Desarrolla Manuales de jugadas SOAR para supervisar eventos clave del ciclo de vida de la identidad, como la finalización del acceso latente (o similares).
- Socio en ingeniería de alertas (y flujos de enriquecimiento/contexto) Para mejorar la visibilidad del SOC sobre el abuso de cuentas, esto aprovecha el conocimiento de IAM sobre los usuarios previstos (en comparación con la visión de seguridad sobre los usuarios reales) para mejorar las protecciones.
- Afirmar procesos de comunicación Cuando los incidentes no se detectan (seguridad) y son causados por fallos en los controles (TI), se abre la puerta a mejoras en los controles (IAM) y en la cobertura de seguridad.
- Empieza a usarlo MFA basado en el comportamiento, Detección de amenazas basada en la identidad y registro detallado
Si controlas la identidad, controlas la cadena de asesinatos
En un mundo de automatización e IA donde Active Directory Sigue impulsando la continuidad del negocio y la productividad de todos modos. La identidad es el nuevo punto finalEl nuevo perímetro es la nueva llave del reino. Si no puedes verlo, segmentarlo y protegerlo —una hazaña que requiere que tanto la gestión de identidades y accesos como la seguridad trabajen con comportamientos y objetivos compartidos—, ya has perdido.
Tomémonos en serio la defensa de identidad de próxima generación, porque la próxima brecha de seguridad no será un ataque de fuerza bruta. Será un agente de IA autónomo con una clave API antigua..
Para comenzar a construir resultados y proyectos compartidos entre los equipos de IAM y seguridad, Comienza por crear tu inventario de identidad para esclarecer lo que realmente sucede en tu entorno.