Proteger las identidades es una tarea compleja, más aún desde que los entornos son híbridos y el trabajo remoto. Por si esto no fuera suficiente, los entornos tecnológicos han cambiado y ello conlleva la aparición de nuevos tipos de identidades que requieren ser gestionadas y securizadas.
CyberArk ha elaborado una lista en la que analiza los siete tipos de las identidades no humanas más comunes que puede encontrarse en las empresas y sus necesidades de seguridad.
1. Entornos en la nube y aplicaciones nativas de la nube
Las organizaciones utilizan varios proveedores de servicios en la nube (CSP), que tienen su propio método para almacenar, acceder y administrar secretos. Además, las aplicaciones nativas de la nube integradas en estas plataformas se actualizan continuamente mediante procesos de CI/CD y, a menudo, usan secretos para comunicarse con otros microservicios en el entorno de la nube para ejecutarse.
2. Herramientas DevOps y canalizaciones de CI/CD
Las herramientas de DevOps requieren un alto nivel de acceso privilegiado para realizar sus tareas. Por lo que las canalizaciones de CI/CD y otras herramientas de DevOps se conocen como activos de «nivel cero», es decir: si un atacante obtiene acceso a estos activos puede acceder a credenciales más privilegiadas. De ahí que puedan convertirse en una gran vulnerabilidad si los equipos de DevOps no son conscientes de las medidas de seguridad necesarias.
3. Herramientas y scripts de automatización
A menudo, las herramientas y scripts de automatización requieren altos niveles de acceso privilegiado y, por este motivo, han sido responsables de algunas brechas muy importantes, como la filtración de datos que sufrió Uber el año pasado.
4. Aplicaciones COTS e ISV
Tanto las aplicaciones comerciales listas para usar (COTS) como las de proveedores de software independientes (ISV) requieren de un alto nivel de acceso privilegiado para hacer su trabajo. Y ya que estas aplicaciones no son propiedad de la empresa, tienen algunas necesidades de seguridad únicas que deben abordarse.
5. Cargas de trabajo de automatización robótica de procesos (RPA)
Los bots RPA ayudan a los equipos de desarrollo a automatizar muchas tareas, acelerando los flujos de trabajo. Pero las rotaciones manuales de credenciales para estos bots no escalan, por lo que los equipos de seguridad deberán cerciorarse de que están habilitando la velocidad de RPA y gestionan, de manera centralizada, las políticas para cumplir con las normas y defenderse de los ataques.
6. Aplicaciones locales estáticas
La mayoría de las organizaciones todavía dependen de aplicaciones desarrolladas internamente. Estas aplicaciones incluyen diversos entornos tradicionales (como Java) y sistemas operativos (incluidos Unix/Linux), y debido a que están alojadas en las instalaciones pueden plantear algunos retos de seguridad distintos a otros tipos de identidades.
7. Aplicaciones centrales
Las aplicaciones alojadas en mainframes (como zOS) son ampliamente utilizadas por las empresas para casos de uso específicos. Estas son las aplicaciones más críticas de una empresa y es vital que no experimenten interrupciones o que sus procesos no se vean interrumpidos por procedimientos de seguridad.
Por todo ello, ser consciente de los distintos tipos de identidad existentes en una organización y comprender las diferentes necesidades de seguridad que deben tenerse en cuenta son los primeros pasos para crear un programa efectivo para administrar y proteger estas identidades y los secretos que utilizan.
