Tras advertir recientemente que ya hay más identidades digitales de máquinas que identidades humanas, la compañía de ciberseguridad CyberArk ha detallado en un comunicado los cuatro pasos que pueden ayudar a organizaciones a proteger mejor tanto sus datos como a sus usuarios y clientes en caso de que su proveedor de identidad (IdP) se vea comprometido. A continuación los desgranamos siguiendo su propia información.
Primer paso: Protección de endpoints y aplicación del principio de privilegios mínimos
Un enfoque de defensa en profundidad promueve una autenticación multifactor (MFA) sólida en el endpoint, comenzando con el proceso de inicio de sesión, que debe requerir dos métodos de autenticación separados para otorgar el acceso: una contraseña y una contraseña de un solo uso (OTP).
Según indica CyberArk, lo ideal es que las cuentas de usuario no tengan derechos de administrador local, lo que hace que tareas como cambiar las configuraciones del sistema o de la cuenta, así como instalar software, estén fuera de los límites. Por otra parte, cuando un usuario requiere privilegios elevados para ejecutar una acción administrativa o iniciar una aplicación confidencial, la MFA debe pedirle que vuelva a validar su identidad antes de que se le conceda acceso just-in-time a los recursos que necesita, durante un tiempo concreto.
"La aplicación de MFA, basada en el riesgo y el privilegio mínimo en el endpoint, ayuda a evitar que los atacantes se establezcan dentro de una organización, poniendo en marcha una cascada de actividades de reconocimiento y movimiento lateral".
Segundo paso: Supervisión y auditoría de sesiones de aplicaciones web de alto riesgo
A medida que las empresas migran cada vez más datos de alto valor a la nube, es fundamental adoptar un enfoque de defensa en profundidad para administrar el riesgo de las aplicaciones web.
Esto comienza ampliando las capacidades existentes de Single-Sign-On (SSO) para validar a los usuarios, al principio y durante cada sesión, y aplicando tiempos de espera globales para minimizar el riesgo. La implementación de la grabación y supervisión de sesiones paso a paso, dentro de las aplicaciones protegidas, permite a las organizaciones buscar y auditar fácilmente las acciones, sin que eso afecte a la experiencia del usuario.
Además, para proteger aún más los datos confidenciales que residen en las aplicaciones, las organizaciones también pueden optar por restringir las acciones de exfiltración de datos y limitar aún más los permisos individuales de usuarios o aplicaciones, en función de las necesidades y requisitos específicos.
Tercer paso: Almacenamiento y uso compartido de credenciales
El acceso a credenciales es el área de riesgo número 1 para las organizaciones hoy en día, según el "Informe del Panorama de Amenazas de Seguridad de Identidad CyberArk 2022". Los ciberdelincuentes están interesados en las credenciales porque pueden ser un medio para comprometer identidades y para lanzar ataques. No obstante, y a pesar de los riesgos ampliamente conocidos, hay ocasiones en las que los empleados tienen que gestionar por sí mismos las credenciales, lo que resulta un inconveniente cuando se trata de contraseñas débiles o reutilizadas, credenciales almacenadas en archivos de texto sin formato, hojas de cálculo o navegadores de Excel, o el uso de administradores de contraseñas dispares que limitan la visibilidad y el control de la seguridad.
Por el contrario, CyberArk destaca que un enfoque de defensa en profundidad puede ayudar a eliminar los problemas de contraseñas para las aplicaciones empresariales y otros datos confidenciales, mientras que a la vez mejora la experiencia general del usuario. "Al implementar un sistema de almacenamiento centralizado, y hacerlo accesible a través de la autenticación sin contraseña, un empleado puede iniciar sesión con un código QR MFA, por ejemplo, y luego agregar contraseñas, números de licencia, claves de cifrado y otros datos valiosos al repositorio, accediendo y compartiéndolos de forma segura con otros usuarios, con solo un clic".
Cuarto paso: Proporcionar acceso privilegiado seguro a recursos internos críticos
Según resalta CyberArk, la gran mayoría de las organizaciones (más del 96%) permiten el acceso de terceros a sistemas críticos de forma que, para realizar las tareas previstas, estos terceros autorizados requieren un aprovisionamiento/desaprovisionamiento rápido y seguro del acceso privilegiado a sistemas de TI corporativos específicos.
En este sentido, señala que las políticas de terceros deben reflejar las políticas de Zero Trust establecidas para los empleados internos, entre ellas, la autenticación cada vez que requieren acceso.
"Un enfoque efectivo de defensa en profundidad permitirá a los proveedores traer su propia identidad descentralizada para obtener acceso a recursos privilegiados a través de un portal universal, lo que permite una autenticación simple pero segura y brinda al administrador de proveedores la capacidad de gestionar el acceso de sus propios usuarios", explica la compañía de ciberseguridad, y apunta:
"Para reducir la complejidad, el aprovisionamiento dinámico y just-in time a cuentas privilegiadas se puede conceder sobre la marcha por razones específicas y por períodos de tiempo específicos. Hacerlo sin la necesidad de contraseñas, tokens y controles de acceso basados en la red reduce aún más la superficie de ataque. Y al permitir el aislamiento completo de la sesión, la monitorización y la auditoría en tiempo real, las organizaciones pueden aumentar la visibilidad de la actividad del proveedor, lo que es fundamental para reducir los riesgos de la cadena de suministro".