Mientras que los empleados son el eslabón más débil de la cadena de ciberseguridad de las empresas y un reciente informe reveló que la implicación humana en los ciberataques sigue manteniéndose al alza, existen muchas identidades no humanas con las que interactuamos a diario, tanto a nivel personal como profesional, que nos pueden llevar a sufrir un incidente de ciberseguridad. Así lo ha advertido CyberArk en un comunicado en el que analiza los siete tipos de entidades no humanas más utilizadas por las empresas y en el que advierte sobre las necesidades de seguridad que acarrea cada una de ellas.
1. Entornos en la nube y aplicaciones nativas de la nube
Como indica CyberArk, las organizaciones utilizan varios proveedores de servicios en la nube (CSP), los cuales tienen su propio método para almacenar, acceder y gestionar información confidencial. Además, recalca que estas plataformas integran aplicaciones nativas en la nube, que se actualizan continuamente mediante procesos de CI/CD "y, a menudo, usan secretos para comunicarse con otros microservicios en el entorno de la nube para ejecutarse".
2. Herramientas DevOps y canalizaciones de CI/CD
En este punto, la compañía de ciberseguridad hace hincapié en que las herramientas de DevOps requieren un alto nivel de acceso privilegiado, por lo que tanto estas herramientas como a las canalizaciones de CI/CD son conocidas como activos de "nivel cero". Es decir, si un atacante consigue acceso a estos activos, podrá acceder a credenciales más privilegiadas. "De ahí que puedan convertirse en una gran vulnerabilidad si los equipos de DevOps no son conscientes de las medidas de seguridad necesarias".
3. Herramientas y scripts de automatización
Las herramientas y scrips de automatización también suelen requerir altos niveles de acceso privilegiado, lo que ha conllevado, según CyberArk, a que hayan sido responsables de brechas de seguridad muy importantes, como la filtración de datos que afectó Uber el año pasado.
4. Aplicaciones COTS e ISV
Al igual que las herramientas DevOps, las canalizaciones de CI/CD y los scripts de automatización, las aplicaciones comerciales listas para usar (COTS) y las de proveedores de software independientes (ISV) también requieren de un alto nivel de acceso privilegiado para hacer su trabajo. "Y ya que estas aplicaciones no son propiedad de la empresa, tienen algunas necesidades de seguridad únicas que deben abordarse", avisa la compañía.
5. Cargas de trabajo de automatización robótica de procesos (RPA)
Frente a la ventaja que suponen los bots RPA para los equipos de desarrollo al permitirles automatizar muchas tareas, acelerando los flujos de trabajo, CyberArk subraya que las rotaciones manuales de credenciales para estos bots no escalan. Por ello, advierte que es fundamental que los equipos de seguridad se cercioren de que están habilitando la velocidad de RPA y gestionan, de manera centralizada, las políticas para cumplir con las normas y defenderse de los ataques.
6. Aplicaciones locales estáticas
Las aplicaciones no podían faltar en esta lista de identidades no humanas y las primeras en aparecer son las aplicaciones desarrolladas internamente, de las que todavía dependen la mayoría de las organizaciones. "Estas aplicaciones incluyen diversos entornos tradicionales (como Java) y sistemas operativos (incluidos Unix/Linux), y debido a que están alojadas en las instalaciones pueden plantear algunos retos de seguridad distintos a otros tipos de identidades".
7. Aplicaciones centrales
Por último, CyberArk pone el foco en las aplicaciones alojadas en mainframes (como zOS), utilizadas ampliamente por las empresas para casos de uso específicos. "Estas son las aplicaciones más críticas de una empresa y es vital que no experimenten interrupciones o que sus procesos no se vean interrumpidos por procedimientos de seguridad".
Considerando todo esto, el comunicado concluye resaltando que los primeros pasos para crear un programa efectivo para administrar y proteger estas entidades no humanas y los secretos que utilizan son precisamente ser consciente de los distintos tipos de identidad existentes en la organización y comprender las diferentes necesidades de seguridad que deben tenerse en cuenta.