Certificados Efímeros: el nuevo nirvana de seguridad

 

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Los administradores de contraseñas, anunciados durante mucho tiempo como el estándar de oro para la seguridad de las contraseñas de los consumidores, han demostrado tener vulnerabilidades. 

La investigación muestra que los administradores de contraseñas pueden filtrar las credenciales de inicio de sesión en la memoria de la PC, haciéndolos vulnerables a los cibercriminales.

A la luz de esta investigación, ciertamente es hora de que los consumidores examinen sus mejores prácticas de administración de contraseñas.

Los consumidores deben avanzar hacia métodos de autenticación más seguros, como la autenticación multifactor, dispositivos autenticadores dedicados (como YubiKey), o habilitar protocolos de autenticación más seguros (WebAuthn).

Pero, ¿qué pasa con las empresas y el acceso a su infraestructura de TI crítica en particular?

¿Es también el momento de repensar la administración de contraseñas y accesos (administrada durante mucho tiempo por las soluciones tradicionales de administración de acceso privilegiado (PAM por sus siglas en inglés)) en el ámbito empresarial?

La respuesta corta es sí. Este es el por qué. Con las soluciones PAM tradicionales, el acceso privilegiado solía medirse de forma permanente. Hay una serie de razones por las que esto ya no es factible y por qué las empresas deberían considerar los certificados efímeros como la solución.

Las credenciales tradicionales de acceso permanente son obsoletas

Las soluciones PAM tradicionales permiten a las empresas otorgar acceso por usuario y por host.

Pero, la cantidad de personas que necesitan acceso privilegiado hoy en día está aumentando rápidamente.

A medida que los colaboradores y contratistas externos, los trabajadores temporales y los nuevos tipos de funciones de trabajo se han vuelto más frecuentes, se vuelve cada vez más complejo proporcionar, y hacer un seguimiento de, acceso privilegiado a un grupo más grande y diverso de personas que se ocupan de la vida de un Empresa, incluida la infraestructura de red, entornos de producción de software, datos de tarjetas de crédito o registros de salud.

Como resultado, es fácil para las empresas perder de vista quién tiene acceso a qué.

Estos usuarios requieren todo tipo de acceso en función de su función: desde los menos privilegiados hasta los más privilegiados (raíz), todo durante diferentes períodos de tiempo. Sus necesidades de acceso son ad hoc y, a menudo, de corta duración. En los casos de conexiones de máquinas, es posible que un «usuario» necesite acceso durante unos pocos milisegundos.

Las soluciones PAM existentes en el mercado tampoco están diseñadas para la era de la digitalización.

El ritmo del cambio en el mundo digital es astronómico, y los usuarios de hoy podrían necesitar acceder a servidores virtuales, múltiples servicios en la nube e incluso contenedores.

Los desarrolladores de software también quieren trabajar más rápido, desarrollando nuevos productos a la velocidad de lo digital.

El ciclo de desarrollo del producto hoy en día significa que un desarrollador puede estar actualizando su producto hasta cien veces al día.

Los desarrolladores no quieren tener que esperar por el acceso, y con el PAM tradicional, tienden a necesitar el acceso más rápido de lo que se puede otorgar.

Eso no solo lastima a los desarrolladores.

Es una pérdida de tiempo y dinero para la organización en general

Cada tres minutos que toma acceder a un recurso puede costarle a una empresa cerca de medio millón de dólares al año.

Las credenciales de acceso permanentes pueden ser robadas, olvidadas o duplicadas, incluso si las protege con cuidado.

Afortunadamente, existe una mejor manera de garantizar que se otorgue, cambie, rastree, administre y revoque adecuadamente el acceso privilegiado: certificados efímeros.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris