Este artículo fue escrito por Wolfgang Goerlich, CISO asesor de Cisco Duo
¿Cómo sé quién eres? Es una pregunta sencilla sin una respuesta sencilla. Sin embargo, está en el centro de muchas conversaciones y decisiones sobre seguridad que tenemos estos días. ¿Cómo identifica la organización a sus clientes? ¿Cómo autentica cada uno de nosotros el servicio de atención al cliente o el banco cuando nos llaman? Este proceso de confiar en quien está al otro lado del teléfono o de la pantalla ciertamente no está exento de riesgos.
La respuesta superficial es que verificamos sus credenciales. La palabra «credenciales» es importante aquí porque así es como funciona la identidad en Internet. Sin embargo, cuando llega una solicitud de john@acme.com, ¿cómo sabemos que John Smith, el ser humano, está sentado frente a su computadora y no alguien más que ha intervenido? Este es el problema con la autenticación.
Para ser claros, existen herramientas que nos ayudarán a superar estos problemas. Las credenciales están tradicionalmente vinculadas a una contraseña, una que sólo el mencionado John Smith debería conocer. Pero las contraseñas no son ideales: a menudo son fáciles de adivinar y los delincuentes pueden robarlas o comprarlas. Hemos adoptado técnicas como la autenticación multifactor (MFA), reforzando la contraseña con una segunda forma de autenticación, ya sea una prueba de que posee un dispositivo o una firma biométrica. La AMF, que alguna vez fue relativamente oscura, ahora es omnipresente; por ejemplo, casi todos los bancos aplican la MFA al iniciar sesión en la cuenta.
Pero la ubicuidad ha traído su propia serie de problemas. Validación de informes de nuevo y de nuevo que más del 70% de las infracciones incluyen un componente basado en la identidad. Considerando este hecho, debemos preguntarnos: ¿Por qué los esfuerzos de autenticación siguen fallando?
La identidad comprometida sigue siendo un componente fundamental para la mayoría de los ciberataques actuales. Para superar estas vulnerabilidades, las organizaciones deben reforzar sus defensas digitales de la manera que cubriremos aquí.
La identidad digital es más complicada que nunca
A medida que Internet maduró, la complejidad de la identidad aumentó exponencialmente. Como lo expresó sucintamente mi colega y miembro de Cisco Nancy Cam-Winget: «La identidad es ahora un término sobrecargado». La identidad es una credencial, un individuo. Es una superpotencia y la identidad es un perímetro. Es complicado.
Para empezar, las identidades asumen muchos roles diferentes. Hay identidades de clientes, identidades de trabajadores, identidades de contratistas, proveedores e incluso identidades de terceros o cuartos en la cadena de suministro. Esta proliferación hace que sea difícil saber qué identidad (y privilegios asociados) son relevantes en un momento dado.
Tomemos como ejemplo la identidad de John Smith. En algunos casos es un cliente, en otros es un trabajador de Acme Corp y en otros puede ser un consultor externo de Acme Corp. Cada una de estas identidades significa cosas diferentes y están asociadas con diferentes relaciones y niveles de confianza. . El problema aquí es que si un atacante obtiene acceso a una identidad, a menudo puede resultar fácil acceder a otra identidad más valiosa.
Otro problema es la asignación de credenciales o identificadores a cualquier identidad humana real. Cada persona está asociada con múltiples marcadores en diferentes plataformas y aplicaciones. Por ejemplo, jsmith@gmail.com, john@acme.com y john.smith@acmeconsultants.com pueden pertenecer a la misma persona. Estos cambian a lo largo de la vida de una persona, y destilar con precisión qué conjunto de identificadores están asociados con la persona física adecuada es un problema desafiante. Si no logramos crear vínculos precisos de todos los identificadores con una persona real, sus cuentas fantasma, listas para la explotación, pueden continuar deambulando por los pasillos de nuestros entornos. Espeluznante, por cierto.
La identidad también es más amplia que solo las personas. También se puede asociar con dispositivos, máquinas e incluso procesos programáticos. Las organizaciones a la vanguardia en automatización robótica de procesos (RPA) han sido las primeras en adoptar estos problemas emergentes. No sólo necesitamos mapear la posesión de dispositivos (es decir, esta computadora portátil pertenece a John Smith), sino que ahora también necesitamos contabilizar y mapear privilegios en máquinas que funcionan de forma asincrónica ante cualquier supervisión humana.
No hay ninguna hipérbole cuando se utiliza la palabra «exponencial» cuando se habla de la complejidad del entorno de identidad. La superficie de ataque a la identidad está creciendo rápidamente, en múltiples dimensiones, simultáneamente.
La autenticación también es más compleja que nunca
Esta superficie de ataque sería razón suficiente para explicar la persistencia de los incidentes de seguridad basados en la identidad. El problema se ve aún más exacerbado por la creciente sofisticación de los ataques dirigidos a la identidad. Siempre que se implementa un control de seguridad, los atacantes comienzan a encontrar formas de eludir, atravesar o superar la protección. La medida de seguridad se convierte en una parte más del paisaje que un atacante necesita subvertir.
Las debilidades de las contraseñas como mecanismo de autenticación son bien conocidas. Son baratos de robar, fáciles de adivinar y sencillos de rociar. Incluso los controles como MFA (que, para ser claros, siguen aumentando drásticamente la fricción para los atacantes) se enfrentan a ataques más avanzados. En un momento, una creencia común era que una vez que MFA alcanzara una adopción suficiente en el mercado, estas tácticas de compromiso de cuentas desaparecerían. En cambio, los atacantes ahora esperan enfrentar la posibilidad de MFA y desarrollar nuevas formas de abordar el obstáculo.
Una forma en que los atacantes navegan por MFA es con ingeniería social avanzada. A estas alturas, la mayoría de nosotros sabemos que no debemos enviar a los príncipes nigerianos ninguno de nuestros ahorros para la jubilación. Sin embargo, cuando recibimos una llamada telefónica o un mensaje de texto del servicio de asistencia técnica de nuestra organización solicitando información para que puedan ayudar con un problema de TI, podríamos terminar siendo engañados. La idea de personalizar solicitudes fraudulentas específicamente para un objetivo se ha vuelto común. Requiere que el atacante investigue un poco más, como encontrar al personal de TI de la empresa en LinkedIn, pero paga dividendos en la efectividad del ataque.
Otra forma de subvertir la MFA es con un enfoque más técnico como Adversario en el medio (AitM). Esto implica que un atacante configure un sitio de inicio de sesión falso y dirija al usuario allí en lugar del sitio real. Cuando el usuario intenta iniciar sesión, el atacante simplemente recupera todas las formas de autenticación que necesita y procede a utilizarlas en el sitio real.
Las organizaciones enfrentan simultáneamente una proliferación de identidades y un aumento en la sofisticación de los ataques basados en identidades. La combinación ciertamente contribuye a la prevalencia de violaciones, siendo la identidad un componente central.
¿Qué se puede hacer para defender la identidad?
Hemos logrado enormes avances en identificación y autenticación. Cada mejora nos ha dado tiempo para fortalecer otras defensas. Y, sin embargo, cada vez que una mejora de seguridad se adopta ampliamente, rápidamente se elude ampliamente.
Con eso en mente, y con miras a la mejora continua, aquí hay cuatro pasos tácticos a seguir para mejorar nuestras defensas.
N.º 1: aumentar la visibilidad del perímetro de identidad
Para defender el perímetro identitario, el primer paso importante es comprenderlo. Esto significa centralizar y organizar todas las identidades relevantes y sus patrones de autenticación dentro de un entorno. También significa centralizar el registro y las pistas de auditoría.
Es importante que la visibilidad de la identidad sea multiplataforma (es decir, todos y cada uno de los directorios de usuarios) para que se puedan resaltar las discrepancias o lagunas. El perímetro cambiará constantemente a medida que se agreguen, eliminen o cambien identidades, por lo que mantener las cosas organizadas será difícil. Pero el trabajo sobre visibilidad es un trabajo que proporcionará la base para todas las demás medidas defensivas.
No. 2: Mejorar la postura de identidad e implementar controles de autenticación más sólidos
El punto de partida de una mejor defensa es implementar la autenticación más sólida posible.
No todos los MFA son iguales. Por ejemplo, los SMS como segundo factor son susceptibles a ataques de intercambio de SIM. Por otro lado, existen formas de MFA resistentes al phishing, como una clave de seguridad o WebAuthn – Ambos mitigan los ataques AiTM y proxy. Al reducir el uso de formas más débiles de MFA y aumentar el uso de formas más fuertes, los equipos pueden mejorar aún más su postura de identidad.
La combinación de la identidad de la persona y la identidad del dispositivo es una innovación de FIDO2 (WebAuthn) que puede y debe replicarse en todas las solicitudes. ¿Por qué permitir que cualquier persona en cualquiera de los mil millones de dispositivos conectados a Internet inicie sesión con sus credenciales? Piense en cuánto se reducirá la superficie de ataque cuando MFA esté restringido solo a usted para iniciar sesión en sus dispositivos asignados.
No. 3: Aprovechar las técnicas para detectar y responder a actividades sospechosas en la autenticación y más allá
Incluso si se mejora la postura y se invocan formas más fuertes de MFA al iniciar sesión, los atacantes buscarán constantemente nuevos agujeros para explotar. Por lo tanto, es importante implementar una lógica de detección y comprobaciones de compromiso. Idealmente, las detecciones deberían apuntar a técnicas de ataque conocidas, pero también aprovechar los algoritmos de ML/IA para detectar comportamientos sospechosos anómalos o novedosos. Por ejemplo, conocer los patrones de acceso históricos puede resaltar cuando las credenciales intentan repentinamente acceder desde un nuevo dispositivo o ubicación.
Dicho de otra manera, la autenticación ya no puede consistir únicamente en autenticación. La decisión de validar una credencial debe ser más que una cuestión de contraseña y MFA correctos. Debe incluir el contexto y las condiciones de la solicitud, comprobados y confirmados por política en cada momento. Cuando se detectan ataques basados en la identidad, se deben invocar respuestas automáticas. Esto puede significar aumentar los requisitos de autenticación, revocar el acceso, poner en cuarentena una identidad hasta que se resuelva la situación o ejecutar respuestas más complejas.
No. 4: Iterar y mejorar
La verdadera lección de las omisiones de MFA es la lección que deberíamos haber aprendido con la complejidad y el hash de las contraseñas. Cada paso que damos nos da tiempo mientras nuestros adversarios determinan contratácticas. Con el tiempo, nuestros adversarios sortearán nuestras defensas.
A medida que las identidades y sus patrones de acceso asociados cambian con el tiempo, es importante evaluar constantemente la usabilidad y defensa de nuestros controles. Debemos enriquecer la identificación y la autenticación, y debemos establecer una práctica constante para mejorar la detección y respuesta a amenazas de identidad. Cuando hacemos esto, el espectro de las amenazas basadas en la identidad, aunque nunca se borran por completo, se puede minimizar.