Si bien IAM es un componente fundamental, no es sinónimo de seguridad de identidad.
Los equipos de seguridad suelen asumir que, al haber implementado una solución IAM, la capa de identidad es segura. Pero la seguridad de la identidad requiere mucho más: visibilidad de todas las identidades (incluidas las no humanas) en todo su entorno híbrido, aplicación del mínimo privilegio, verificación continua del acceso y detección de amenazas. credenciales comprometidas.
Mientras tanto, los atacantes se han adaptado. Ya no se infiltran: inician sesión, usan credenciales robadas o mal utilizadas, explotan el acceso sobreaprovisionado o abusan de recursos no administrados. cuentas de servicio.
Para responder eficazmente, los equipos de identidad y seguridad deben repensar la seguridad de la identidad como una capa de defensa unificada y continua. — uno que abarque el acceso humano y no humano, local y en la nube, señales de riesgo en tiempo real y automatización.
At SilverfortCreemos que estos 10 mandamientos de la seguridad de la identidad proporcionan esa base estratégica. Ya sea que usted sea un CISO que diseña una Zero Trust Ya sea un modelo o un ingeniero de identidad que enfrenta riesgos diarios, estos mandamientos (también conocidos como principios) lo ayudarán a madurar su programa de seguridad de identidad y a generar una confianza duradera en toda su empresa.
Manual de seguridad de la identidad
Su plan de acción de 5 pasos para una estrategia de seguridad de identidad sostenible
1. Conoce tus identidades (Conocerás tus identidades)
Comprenda e inventarie cada identidad (humana y no humana) en su entorno.
La empresa moderna es una red compleja de usuarios, dispositivos, aplicaciones, API y scripts de automatización. Sin una visibilidad completa de estas identidades y sus derechos, es imposible protegerlas.
Ejemplo:
Una empresa descubre que tiene más de 4,000 cuentas de servicio, de las cuales solo 2,500 están en uso activo. El resto, olvidadas hace tiempo, aún conservan acceso privilegiado.
Lección:
Empieza por descubrir. Si no puedes verlo, no puedes protegerlo.
2. Acepta el acceso con privilegios mínimos (Aceptarás el acceso con privilegios mínimos)
Conceder el acceso mínimo necesario, nada más.
Muchas infracciones ocurren porque los usuarios o sistemas conservan accesos que ya no necesitan. El principio del mínimo privilegio minimiza el riesgo de... movimiento lateral Limitando el acceso a lo esencial. Esto es fundamental para su estrategia general de gestión de la postura, ya que le permite detectar y corregir errores de configuración, usar inteligencia correlacionada para analizar privilegios y mejorar su higiene de identidad.
Ejemplo:
Un becario hereda el acceso al código fuente de la organización debido a la duplicación de roles. Incluso después de dejar la empresa, dicho acceso permanece activo.
Lección:
Diseñe el acceso para que sea específico del rol, limitado en el tiempo y consciente del contexto, no heredado ni permanente.
3. Autenticar y hacer cumplir con fuerza (Autenticarás con fuerza)
Vaya más allá de las contraseñas hacia una seguridad, adaptabilidad y... autenticación basada en riesgos.
La seguridad basada en contraseñas ya no es suficiente. Implemente una protección contra el phishing. autenticación de múltiples factores (MFA) y aplicar políticas que se adapten según el tipo de dispositivo, la ubicación y el comportamiento del usuario.
Ejemplo:
Un usuario de finanzas intenta iniciar sesión desde un dispositivo desconocido en el extranjero. El sistema solicita la autenticación multifactor (MFA) biométrica y activa un flujo de trabajo de aprobación.
Lección:
Eficaz autenticación es transparente para los usuarios legítimos y impenetrable para los atacantes.
4. Asumir el compromiso (Asumirás el incumplimiento y diseñarás el compromiso)
Diseñe sus sistemas de identidad con la expectativa de que haya compromisos.
Zero Trust se basa en el principio de que ninguna identidad debe ser confiable por defecto. Los sistemas deben verificar continuamente las identidades y detectar comportamientos anómalos para reducir el tiempo de permanencia y mitigar los daños.
Ejemplo:
Una clave de AWS se publicó accidentalmente en GitHub. El análisis de comportamiento automatizado detecta actividad anormal y revoca la clave inmediatamente.
Lección:
Considere la detección y la contención tan importantes como la prevención.
5. Gobernar el ciclo de vida de la identidad (gobernarás el ciclo de vida de la identidad rigurosamente)
Automatice y organice la gestión de identidad desde la incorporación hasta la salida.
Los procesos manuales de identidad son lentos, propensos a errores y riesgosos. Implemente la automatización para aprovisionar, ajustar y revocar el acceso según los cambios de rol o situación laboral.
Ejemplo:
La salida de un empleado desencadena un proceso de desaprovisionamiento automatizado, revocando todo acceso a los sistemas en cuestión de minutos.
Lección:
La seguridad depende de la precisión y la precisión depende de la automatización.
6. Proteger las identidades no humanas (Protegerás las identidades no humanas por igual)
Trate las cuentas de servicio, las API y los bots con el mismo rigor que a los usuarios humanos.
Identidades no humanas Ahora, en muchas empresas, el número de empleados supera al de humanos. Estas entidades suelen tener privilegios elevados, pero reciben mucha menos supervisión.
Ejemplo:
Un script heredado utiliza credenciales codificadas que no se han rotado en más de dos años. Estas credenciales tienen acceso a bases de datos confidenciales.
Lección:
identidades de máquinas También son objetivos. Necesitan gobernanza, rotación y visibilidad.
Seguridad de la identidad no humana
Cada NHI: a la vista y bajo control
- Descubra automáticamente todos los NHI en sus entornos.
- Mapear sus actividades y establecer líneas de base.
- Imponer control y cercar su actividad.
7. Verificar el acceso continuamente (Verificarás el acceso continuamente)
El acceso debe ser temporal por defecto y reevaluarse periódicamente.
Lo que ayer era apropiado puede ser excesivo hoy. Implemente revisiones de acceso, revocación dinámica y activadores de reautenticación para garantizar que solo los usuarios correctos tengan el acceso correcto en el momento oportuno.
Ejemplo:
Un desarrollador recibe acceso temporal a los registros de producción durante un proyecto de una semana. El sistema revoca automáticamente el acceso después de 7 días, a menos que se renueve.
Lección:
La confianza debe ganarse y recuperarse continuamente.
8. Implementar políticas mediante automatización (Debes implementar políticas mediante automatización)
Utilice el contexto en tiempo real y la automatización para impulsar las decisiones de acceso.
Las aprobaciones de acceso manuales no son escalables. Las políticas dinámicas basadas en riesgos deben guiar la aplicación de las políticas en función del comportamiento del usuario, la hora del día, la ubicación y el riesgo del dispositivo.
Ejemplo:
Un contratista, que normalmente inicia sesión desde una computadora portátil corporativa y cierra sesión a las 4:00 AEST, intenta acceder a un repositorio de código fuente confidencial desde un dispositivo personal a las 11:30. Un motor de políticas detecta la actividad inusual basándose en el historial de comportamiento del usuario, marca la anomalía y activa la autenticación incremental. Cuando falla la autenticación multifactor (MFA), el sistema bloquea el acceso y notifica al equipo de seguridad en tiempo real.
Lección:
La aplicación de políticas en tiempo real permite a las organizaciones detectar anomalías antes de que se conviertan en incidentes, con la velocidad y precisión que las revisiones manuales no pueden ofrecer.
9. Proteger la infraestructura de identidad (Protegerás la infraestructura de identidad)
Asegure y monitoree las plataformas que administran la identidad con una única plataforma que pueda integrarse en todo tipo de infraestructura de identidadDebe ser independiente del proveedor, liviano y brindarle un único plano de control para descubrir, administrar y proteger toda su estructura de identidad y las identidades dentro de ella.
Los proveedores de identidad (IdP), los servicios de federación, los controladores de dominio y las herramientas de acceso privilegiado son activos de nivel 0. Si se ven comprometidos, todo el flujo descendente está en riesgo. Al mismo tiempo, cualquier identidad puede ser una puerta de entrada para los atacantes. Utilice soluciones ligeras y fáciles de implementar para poder ver e investigar todas las identidades en todos los sistemas.
Ejemplo:
El acceso de administrador al proveedor de identidad está restringido mediante MFA basado en FIDO2. Todos los cambios se registran y monitorean en tiempo real.
Lección:
Su infraestructura de identidad es la joya de la corona: trátela como tal reuniendo todos los datos de identidad en una única vista que sea fácil de correlacionar y analizar.
10. Alinearse con los estándares y marcos de seguridad (Deberá alinearse con los marcos y estándares de seguridad)
Utilice marcos establecidos para evaluar, guiar y madurar su estrategia de identidad.
Normas como NIST 800-63, NIST 800-207 (Zero Trust), ISO/IEC 27001 y CIS Controls proporcionan una estructura para mejorar la madurez de la identidad y demostrar el cumplimiento.
Ejemplo:
Una empresa multinacional asigna sus políticas de control de acceso a NIST 800-207 y utiliza CIS Controls v8 para auditoría e informes.
Lección:
Los marcos son su brújula, no una lista de verificación de cumplimiento.
Un llamado a vivir según las nuevas reglas de identidad
La identidad ya no es sólo un componente de la ciberseguridad—Es ciberseguridad.
Para tener éxito en un mundo de Confianza Cero, las organizaciones deben proteger el acceso tanto humano como no humano con la misma diligencia.
Estos 10 mandamientos sirven como un modelo práctico para evolucionar su postura de seguridad de la identidad, desde la visibilidad y la gobernanza hasta la aplicación y la automatización.
At Silverfort, empoderamos a las organizaciones para implementar estos principios a gran escala. Nuestra plataforma extiende la seguridad de la identidad a activos y entornos donde la seguridad tradicional... Herramientas IAM se quedan cortos, incluidos los sistemas heredados, las interfaces de línea de comandos y las aplicaciones no federadas.
Porque si no puedes proteger la identidad, no puedes proteger la empresa. Aprenda más sobre la Silverfort camino por visitando aquí.