¿Qué es la gestión del ciclo de vida de la seguridad?

La red corporativa media aloja miles, si no decenas de miles, de identidades, que van desde usuarios humanos (desarrolladores y otras partes interesadas) hasta identidades no humanas (como agentes de IA, dispositivos, cargas de trabajo y servicios). Esta población es dinámica. Los usuarios humanos se unen, abandonan y cambian de rol con frecuencia. Aparecen continuamente nuevas identidades no humanas a medida que se aprovisiona, escala y desmantela la infraestructura, especialmente en contextos nativos de la nube y DevOps, donde el pipeline de CI/CD y los flujos de trabajo automatizados suelen generar servicios y cargas de trabajo de corta duración.

Cada identidad es una vulnerabilidad potencial. Los usuarios pueden hacer un uso indebido de sus privilegios de forma malintencionada o negligente, convirtiéndose en amenazas internas. Los actores de amenazas pueden apoderarse de identidades humanas y no humanas utilizando credenciales robadas y ataques de fuerza bruta para obtener acceso no autorizado a datos y sistemas sensibles.

De hecho, los ataques basados en la identidad, en los que los hackers utilizan credenciales válidas para acceder a una red, son uno de los métodos más comunes de ciberataque. Representan el 30 % de las vulneraciones de datos registradas en el IBM® X-Force Threat Intelligence Index.

La gestión del ciclo de vida de la seguridad tiene como objetivo reducir la superficie de ataque de las identidades y cerrar las brechas de seguridad mediante la centralización de la gestión de estas identidades y sus permisos y credenciales asociados en una única plataforma o conjunto de herramientas estrechamente integradas. La gestión del ciclo de vida de la seguridad automatiza las funciones básicas de ciberseguridad, como la creación y rotación de credenciales, el aprovisionamiento y desaprovisionamiento de cuentas y la aplicación de políticas de seguridad, con el fin de reforzar los controles de acceso y la gestión de secretos sin interrumpir los flujos de trabajo críticos para el negocio.

La gestión del ciclo de vida de la seguridad utiliza una plataforma o conjunto de herramientas integradas para supervisar y automatizar de forma centralizada funciones clave de ciberseguridad, especialmente aquellas relacionadas con la seguridad de cuentas, la gestión de credenciales y los permisos de acceso de usuarios.

Algunas de las funciones principales de la gestión del ciclo de vida de la seguridad incluyen la gestión de identidades, la gestión de secretos y las redes seguras.

La gestión del ciclo de vida de la seguridad puede automatizar los flujos de trabajo de gestión de identidades y accesos (IAM) para identidades humanas y no humanas, como:

• Incorporar nuevos usuarios y entidades, incluida la creación de cuentas y la asignación de permisos.
  
  
• Ajustar los privilegios de los usuarios y las entidades a medida que sus funciones cambian con el tiempo.
  
  
• Aplicar políticas de seguridad a través de medidas como controles de acceso basados en roles (RBAC), autenticación y autorización continuas y privilegios justo a tiempo.
  
  
• Hacer un seguimiento continuo de la actividad de los usuarios mediante la grabación de las sesiones.
  
  
• Eliminar identidades cuando los usuarios abandonan la empresa o se retiran los servicios.

Además de proteger las identidades, la gestión del ciclo de vida de la seguridad también ayuda a proteger las credenciales asociadas a esas identidades. Puede automatizar importantes funciones de gestión de credenciales y secretos, como:

• Crear credenciales sólidas para nuevas identidades humanas y no humanas, incluidos certificados, claves de API, contraseñas y tokens.
  
  
• Cambiar credenciales con regularidad.
  
  
• Almacenar credenciales valiosas, como las credenciales de cuentas administrativas y de servicio que otorgan un acceso altamente privilegiado a información y sistemas confidenciales, en bóvedas de credenciales. Las bóvedas, a su vez, están protegidas mediante cifrado y fuertes medidas de autenticación (como la autenticación multifactor [MFA])para ayudar a garantizar que solo los usuarios autorizados puedan acceder a estas credenciales cuando sea necesario.
  
  
• Sustituir credenciales persistentes por credenciales temporales o justo a tiempo.
  
  
• Escanear y corregir automáticamente los secretos expuestos almacenados en código, repositorios, plataformas de colaboración, herramientas de desarrollo u otras ubicaciones.

Algunas herramientas de gestión del ciclo de vida de la seguridad también admiten la inyección de credenciales, un proceso de autenticación en el que los usuarios nunca tienen que manejar las credenciales directamente. En su lugar, las credenciales se alimentan desde bóvedas seguras a los servicios correspondientes en nombre del usuario, reduciendo los riesgos de exposición o robo.

Basándose en la protección de identidades y credenciales, la gestión del ciclo de vida de la seguridad también ayuda a facilitar la conexión y la comunicación seguras entre identidades, especialmente entre servicios.

Las herramientas de gestión del ciclo de vida de la seguridad suelen proporcionar:

• Una fuente veraz centralizada para las identidades de los servicios, que permite descubrir y rastrear los servicios, junto con información en tiempo real sobre el estado del servicio y otros atributos.
  
  
• Conexiones basadas en la identidad, incluido el cifrado de servicio a servicio, la autenticación continua y la autorización basada en atributos. Cada solicitud de acceso es examinada y se concede acceso a los servicios en función de sus atributos y no de su ubicación en la red.
  
  
• Provisión automatizada de infraestructuras de red seguras, como mallas de servicios, balanceadores de carga, firewalls y pasarelas. La comunicación segura se establece, actualiza y desactiva automáticamente a medida que se crean, escalan o retiran los servicios.

Aunque la gestión del ciclo de vida de la seguridad suele centrarse en las identidades, las credenciales, los servicios y la infraestructura de software, en ocasiones también puede incluir funciones de gestión de dispositivos. Ejemplos incluyen la actualización automatizada de parches para estaciones de trabajo y dispositivos móviles, la gestión de certificados de hardware y la monitorización continua y corrección para sistemas de seguridad on-premises, como cámaras y controles físicos de acceso.

Al centralizar y automatizar las funciones básicas de gestión de identidades y accesos (IAM) y de secretos, la gestión del ciclo de vida de la seguridad ayuda a los equipos de seguridad a obtener una mayor visibilidad y control sobre los usuarios humanos y las identidades no humanas. La centralización y la automatización pueden ayudar a agilizar la monitorización de la actividad, los controles de acceso y la aplicación de políticas, reduciendo los riesgos de ataques basados en la identidad y otros incidentes de seguridad y ciberamenazas.

En los sistemas de TI complejos, las identidades humanas y no humanas pueden existir y moverse entre las infraestructuras on-premises, remotas y de la nube. La naturaleza distribuida de estas redes dificulta a los equipos de seguridad el seguimiento de lo que hace cada identidad. Además, los recursos suelen ser dinámicos y efímeros en los pipelines de DevOps. Las nuevas identidades no humanas pueden introducirse en un sistema, acceder a información segura y desaparecer, todo ello antes de que el equipo de seguridad sepa siquiera que están ahí. Como resultado, la aplicación de las políticas tiene dificultades y aumentan los riesgos de seguridad.

En ausencia de una gestión segura y una supervisión centralizada, los usuarios individuales podrían no seguir buenas prácticas de higiene de seguridad. Podrían establecer contraseñas débiles y reutilizarlas. Es posible que se olviden de habilitar la MFA. Los pipelines DevOps son muy propensos a la proliferación de secretos, es decir, a la propagación de secretos no gestionados a través de repositorios, código, bases de datos y otros lugares, lo que los deja expuestos a posibles amenazas.

La expansión de aplicaciones, incorporar aplicaciones a un ecosistema sin gestión centralizada, especialmente aplicaciones cuyas funciones de autenticación y autorización no se integran con los sistemas IAM existentes, también introduce problemas. Cuando las aplicaciones independientes tienen directorios de identidades, configuraciones de permisos y credenciales independientes, es muy fácil que se pasen por alto actividades de seguridad importantes, como las auditorías de privilegios y la retirada de provisiones.

La gestión del ciclo de vida de la seguridad puede ayudar a minimizar las amenazas a la seguridad que suponen los controles deficientes de identidad, acceso y credenciales mediante la centralización de la gestión y la automatización de los procesos básicos.

Administrar todas las identidades (humanas y no humanas) en un solo sistema ayuda a los equipos de seguridad a establecer políticas de acceso más consistentes. El aprovisionamiento y el desaprovisionamiento automatizados ayudan a garantizar que estas políticas se apliquen de manera oportuna y estandarizada.

La gestión automatizada de credenciales ayuda a garantizar que se utilicen, aseguren y roten correctamente las credenciales sólidas, mientras que las herramientas de detección de credenciales pueden ayudar a encontrar secretos no gestionados y no seguros para la corrección.

Con la grabación de sesiones, los equipos de seguridad pueden hacer un seguimiento de todo lo que hacen los usuarios, agilizando tanto la aplicación de políticas como la respuesta a incidentes. Si se produce una violación de seguridad, los investigadores pueden utilizar la grabación para ver qué hicieron los hackers con una cuenta comprometida.

Por último, asegurar las conexiones entre servicios ayuda a abordar una de las vulnerabilidades más importantes de la cadena de suministro: las conexiones entre los componentes de un sistema.

Como dijo Jeff Crume, ingeniero distinguido y maestro inventor de IBM, en el podcast Security Intelligence :

“Algunas de las mayores vulnerabilidades se producen en los puntos de conexión entre dos cosas diferentes, donde se encuentran las interfaces. Mi componente puede ser perfecto, y el suyo puede ser perfecto, pero nuestra interfaz no lo es. Y por supuesto, los malos irán a donde estén los puntos débiles”.

En resumen, un enfoque integral de la gestión del ciclo de vida de la seguridad puede proporcionar a una organización un sistema único de registro para identidades, credenciales y permisos humanos y no humanos en todo el ecosistema, respaldando zero trust y el principio de privilegio mínimo.

También es importante señalar que las herramientas y prácticas de gestión del ciclo de vida de la seguridad están diseñadas para respaldar la actividad rápida e innovadora de los pipelines de DevOps. De hecho, pueden ayudar a optimizar estos procesos eliminando por completo la gestión de credenciales de las manos de los desarrolladores. Al crear, almacenar, rotar y proteger secretos automáticamente, la gestión del ciclo de vida de la seguridad puede proteger el ecosistema de TI sin interponerse.