¿Qué es la gestión del ciclo de vida de la seguridad?

La red corporativa promedio aloja miles, si no decenas de miles, de identidades, que van desde usuarios humanos (desarrolladores y otros stakeholders) hasta identidades no humanas (como agentes de IA, dispositivos, cargas de trabajo y servicios). Esta población es dinámica. Los usuarios humanos se unen, salen y cambian de roles con frecuencia. Las nuevas identidades no humanas aparecen continuamente a medida que se aprovisiona, escala y desmantela la infraestructura, particularmente en contextos nativos de la nube y DevOps, donde el pipeline de CI/CD y los flujos de trabajo automatizados rutinariamente activan servicios y cargas de trabajo de corta duración.

Cada identidad es una vulnerabilidad potencial. Los usuarios pueden hacer un uso indebido de sus privilegios de forma maliciosa o negligente, convirtiéndose en amenazas de usuario interno. Los actores de amenazas pueden apropiarse de identidades humanas y no humanas utilizando credenciales robadas y ataques de fuerza bruta para obtener acceso no autorizado a datos y sistemas confidenciales.

De hecho, los ataques basados en la identidad, donde los hackers abusan de credenciales de cuenta válidas para entrar en una red, son uno de los métodos de ciberataque más comunes. Representan el 30 % de las filtraciones de datos registradas en el IBM X-Force Threat Intelligence Index.

La gestión del ciclo de vida de la seguridad tiene como objetivo reducir la superficie de ataque de la identidad y cerrar brechas de seguridad centralizando la gestión de estas identidades y sus licencias y credenciales asociados bajo una única plataforma o conjunto de herramientas estrechamente integradas. La gestión del ciclo de vida de la seguridad automatiza las funciones centrales de ciberseguridad (como la creación y rotación de credenciales, el aprovisionamiento y desaprovisionamiento de cuentas y la aplicación de políticas de seguridad) para fortalecer los controles de acceso y la gestión de secretos sin interrumpir los flujos de trabajo críticos para el negocio.

La gestión del ciclo de vida de la seguridad utiliza una plataforma o conjunto de herramientas integradas para supervisar y automatizar de forma centralizada las funciones clave de ciberseguridad, especialmente aquellas funciones relacionadas con la seguridad de las cuentas, la gestión de credenciales y los permisos de acceso de los usuarios.

Algunas de las funciones principales de la gestión del ciclo de vida de la seguridad incluyen la gestión de identidad, la gestión de secretos y la gestión de redes seguras.

La gestión del ciclo de vida de la seguridad puede automatizar los flujos de trabajo de gestión de identidad y acceso (IAM) tanto para identidades humanas como no humanas, tales como:

• Incorporación de nuevos usuarios y entidades, incluyendo la creación de cuentas y la asignación de permisos.
  
  
• Ajustar los privilegios de los usuarios y las entidades a medida que sus roles cambian con el tiempo.
  
  
• Hacer cumplir las políticas de seguridad con medidas como controles de acceso basados en roles (RBAC), autenticación y autorización continuas, y privilegios justo a tiempo.
  
  
• Monitorear de forma continua la actividad del usuario a través de la grabación de sesiones.
  
  
• Eliminación de identidades cuando los usuarios abandonan la empresa o se retiran los servicios.

Además de proteger las identidades, la gestión del ciclo de vida de la seguridad también ayuda a proteger las credenciales asociadas a esas identidades. Puede automatizar importantes funciones de gestión de credenciales y secretos, tales como:

• Crear credenciales sólidas para nuevas identidades humanas y no humanas, incluidos certificados, claves de API, contraseñas y tokens.
  
  
• Rotar las credenciales con regularidad.
  
  
• Almacenar credenciales de alto valor (como las credenciales administrativas y de servicio que otorgan acceso altamente privilegiado a información y sistemas sensibles) en bóvedas de credenciales. Las bóvedas, a su vez, están protegidas por cifrado y medidas de autenticación sólidas, como autenticación multifactor, para garantizar que solo los usuarios autorizados puedan acceder a estas credenciales cuando sea necesario.
  
  
• Sustitución de credenciales persistentes por credenciales temporales o justo a tiempo.
  
  
• Escanear y corregir automáticamente los secretos expuestos almacenados en código, repositorios, plataformas de colaboración, herramientas para desarrolladores u otras ubicaciones.

Algunas herramientas de gestión del ciclo de vida de la seguridad también admiten la inyección de credenciales, un proceso de autenticación en el que los usuarios nunca necesitan gestionar las credenciales directamente. En su lugar, las credenciales se envían desde bóvedas seguras a los servicios correspondientes en nombre del usuario, reduciendo los riesgos de exposición o robo.

Sobre la base de la protección de identidades y credenciales, la gestión del ciclo de vida de la seguridad también ayuda a facilitar la conexión y la comunicación seguras entre identidades, especialmente entre servicios.

Las herramientas de gestión del ciclo de vida de la seguridad suelen proporcionar:

• Una fuente centralizada de información veraz sobre las identidades de los servicios, que permite su detección y seguimiento, junto con información en tiempo real sobre el estado de un servicio y otros atributos.
  
  
• Conexiones basadas en la identidad, incluyendo cifrado de servicio a servicio, autenticación continua y autorización basada en atributos. Todas las solicitudes de acceso se revisan y los servicios obtienen acceso en función de sus atributos, en lugar de su ubicación en la red.
  
  
• Aprovisionamiento automatizado de infraestructura de red segura, como mallas de servicio, equilibradores de carga, cortafuegos y puertas de enlace. La comunicación segura se establece, actualiza y desactiva automáticamente a medida que se crean, escalan o retiran los servicios.

Si bien la gestión del ciclo de vida de la seguridad generalmente se enfoca en identidades, credenciales, servicios e infraestructura de software, a veces puede involucrar funciones de administración de dispositivos. Algunos ejemplos incluyen la actualización automatizada de parches para estaciones de trabajo y dispositivos móviles, la gestión de certificados de hardware y el monitoreo continuo y corrección para sistemas de seguridad on premises, como cámaras y controles físicos de acceso.

Al centralizar y automatizar las funciones básicas de la IAM y gestión de secretos, la gestión del ciclo de vida de la seguridad ayuda a los equipos de seguridad a obtener más visibilidad y control sobre los usuarios humanos y las identidades no humanas. La centralización y la automatización pueden ayudar a optimizar el monitoreo de actividades, los controles de acceso y la aplicación de políticas, reduciendo los riesgos de ataques basados en la identidad y otros incidentes de seguridad y amenazas cibernéticas.

En sistemas informáticos complejos, las identidades humanas y no humanas pueden existir y moverse entre infraestructuras on-premises, remotas y en la nube. La naturaleza distribuida de estas redes dificulta que los equipos de seguridad rastreen lo que hace cada identidad. Además, los recursos suelen ser dinámicos y efímeros en los pipelines de DevOps. Se pueden introducir nuevas identidades no humanas en un sistema, acceder a información segura y desaparecer antes de que el equipo de seguridad sepa que están allí. Como resultado, aumentan las dificultades para la aplicación de políticas y los riesgos de seguridad.

En ausencia de una gestión segura y una supervisión centralizada, los usuarios individuales podrían no seguir las mejores prácticas de higiene en seguridad. Podrían establecer contraseñas débiles y reutilizarlas. Es posible que se olviden de habilitar la MFA. Los pipelines de DevOps son notoriamente propensos a la expansión de secretos, la proliferación de secretos no gestionados a través de repositorios, código, bases de datos y otros lugares, dejándolos abiertos a posibles amenazas.

La distribución de aplicaciones (incorporar aplicaciones a un ecosistema sin gestión centralizada, particularmente aplicaciones cuyas funciones de autenticación y autorización no se integran con los sistemas de IAM existentes) también presenta problemas. Cuando las aplicaciones separadas tienen directorios de identidad, configuraciones de permisos y credenciales separados, es muy fácil que se escapen actividades de seguridad importantes, como auditorías de privilegios y desaprovisionamiento.

La gestión del ciclo de vida de la seguridad puede ayudar a minimizar las amenazas de seguridad que plantean los débiles controles de identidad, acceso y credenciales centralizando la gestión y automatizando los procesos centrales.

La gestión de todas las identidades (humanas y no humanas) en un solo sistema ayuda a los equipos de seguridad a establecer políticas de acceso más coherentes. El aprovisionamiento y desaprovisionamiento automatizados ayudan a garantizar que estas políticas se apliquen de manera oportuna y estandarizada.

La gestión automatizada de credenciales ayuda a garantizar que las credenciales sólidas se utilicen, protejan y roten correctamente, mientras que las herramientas de detección de credenciales pueden ayudar a encontrar secretos no gestionados y no seguros para su corrección.

Con la grabación de sesiones, los equipos de seguridad pueden realizar un seguimiento de todo lo que hacen los usuarios, lo que agiliza tanto la aplicación de políticas como la respuesta ante incidentes. Si se produce una violación de seguridad, los investigadores pueden usar la grabación para ver qué hicieron los hackers con una cuenta comprometida.

Por último, proteger las conexiones de servicio a servicio ayuda a abordar una de las vulnerabilidades más importantes en la cadena de suministro: las conexiones entre los componentes de un sistema.

Como dijo Jeff Crume, ingeniero distinguido Master Inventor de IBM, en el podcast Security Intelligence :

“Algunas de las mayores vulnerabilidades ocurren en esos puntos interconectados entre dos cosas diferentes donde están las interfaces. Mi componente puede ser perfecto y su componente puede ser perfecto, pero nuestra interfaz no. Y, por supuesto, los malos irán dondequiera que estén los puntos débiles”.

En resumen, un enfoque integral para la gestión del ciclo de vida de la seguridad puede dar a una organización un único sistema de registro para identidades humanas y no humanas, credenciales y permisos en todo el ecosistema, que admite confianza cero y el principio de privilegio mínimo.

También es importante señalar que las herramientas y prácticas de gestión del ciclo de vida de la seguridad están destinadas a apoyar la actividad rápida e innovadora de los pipelines DevOps. De hecho, pueden ayudar a optimizar estos procesos al quitarles la gestión de credenciales por completo a los desarrolladores. Al crear, almacenar, rotar y proteger automáticamente los secretos, la gestión del ciclo de vida de la seguridad puede proteger el ecosistema de TI sin interponerse.