Recientemente, la Oficina de Gestión y Presupuesto de EE.UU. (OMB) publicó Memorándum M-22-09 que exige a las agencias alcanzar objetivos específicos de seguridad de confianza cero para finales del año fiscal 2024. Avanzar hacia la confianza cero es uno de los principales objetivos de modernización de la ciberseguridad de la Administración, tal y como se recoge en The Orden ejecutiva de 2021 para mejorar la ciberseguridad del país.
Como se describe en la Arquitectura de Referencia de Confianza Cero del Departamento de Defensa, "El principio fundamental del modelo de confianza cero es que no se confía en ningún actor, sistema, red o servicio que opere fuera o dentro del perímetro de seguridad". En su lugar, todo lo que intente establecer acceso debe ser verificado.
El paso a la confianza cero hace hincapié en "controles más estrictos de la identidad y el acceso en la empresa, incluida la autenticación multifactor (AMF)" porque sin "sistemas de identidad seguros y gestionados por la empresa, los adversarios pueden hacerse con cuentas de usuario y afianzarse en un organismo para robar datos o lanzar ataques". Los procesos de autenticación deben ser capaces de "detectar e impedir la revelación de secretos de autenticación y salidas a un sitio web o aplicación que se haga pasar por un sistema legítimo". El memorando también establece que la AMF debe integrarse en la capa de aplicación, por ejemplo a través de un servicio de identidad empresarial, en lugar de a través de la autenticación de red, como una red privada virtual (VPN).
RSA apoya el paso a un modelo de confianza cero. Estamos ayudando a organizaciones y agencias de todo el mundo a afrontar este nuevo reto mediante un enfoque completo y moderno de la gestión de identidades y accesos (IAM). RSA ofrece una gama de métodos de autenticación multifactor (MFA) para satisfacer las necesidades de diferentes usuarios y casos de uso. RSA restablece las identidades de confianza de los usuarios al tiempo que emplea el aprendizaje automático y la analítica basada en riesgos para detectar actividades anómalas, incluidos posibles ataques de phishing. También ofrecemos capacidades inteligentes de gobernanza y ciclo de vida diseñadas para reducir la superficie de ataque de una organización. Para proteger a la organización de las amenazas externas e internas, nuestros productos eliminan los excesos de derechos que pueden ser aprovechados por los actores de amenazas.
A medida que hemos ayudado a nuestros organismos gubernamentales a avanzar hacia la confianza cero y a prepararse para la M-22-09 y la Orden Ejecutiva, hemos ayudado a nuestros clientes a responder a diversas preguntas sobre cómo responder a estos nuevos requisitos:
RSA ofrece una amplia gama de sólidas opciones de MFA para ayudar a las agencias federales a autenticar de forma segura a los usuarios desde cualquier lugar a cualquier cosa, incluidos los sistemas de agencias tanto de nueva generación como heredados. El paso a la nube, el trabajo remoto y las iniciativas digitales han cambiado las redes, y el perímetro que históricamente ha protegido los recursos sigue disolviéndose. Ahora, el personal de todos los organismos necesita conectarse desde muchos lugares distintos; algunos incluso necesitan iniciar sesión sin acceso a Internet. Esta diversidad de entornos y usuarios presenta una serie de retos de autenticación, pero los organismos públicos deben ser capaces de ofrecer una autenticación segura y cómoda con independencia de dónde se encuentren las personas o los dispositivos.
Las soluciones RSA conectan a cualquier usuario, desde cualquier lugar, con cualquier cosa. Ofrecemos múltiples opciones de autenticadores para satisfacer los diferentes requisitos de las agencias y las preferencias de los usuarios, incluida la compatibilidad con FIDO. Como miembro de la junta directiva de la Alianza FIDO y copresidente del grupo de trabajo para empresas, hemos estado presionando para eliminar las contraseñas mucho antes de que estuviera de moda, y nos alegramos de que algunos otros... plataformas están tomando medidas similares. Nuestra plataforma de identidad admite autenticación sin contraseña con una disponibilidad del 99,95%, incluida una capacidad sin fallos que permite la autenticación sin conexión a la red, para que los usuarios puedan autenticación segura incluso si se interrumpe la conectividad, o si no tienen servicio de Internet.
RSA ofrece diversas funciones de IAM para apoyar los requisitos federales relacionados con la confianza cero, la seguridad en la nube y la autenticación, y estamos autorizados por FedRAMP y contamos con la confianza de las agencias gubernamentales más sensibles. En este momento, algunas agencias pueden tener aplicaciones que no soportan FIDO, y estamos trabajando para ayudar a los clientes como soluciones y empresas de transición de su infraestructura y aplicaciones para apoyar FIDO. Mientras tanto, los organismos pueden seguir necesitando soluciones de contraseña de un solo uso (OTP), pero es importante tener en cuenta que no todas las soluciones OTP son iguales.
La OTP SecurID implementada de forma segura emplea múltiples controles para evitar que un atacante obtenga acceso a una OTP basada en tiempo (TOTP). También impide el uso del TOTP en el raro caso de que un atacante consiga acceder. A diferencia del TOTP por SMS, que tiene una ventana temporal que suele ser de 10-15 minutos, nuestra ventana temporal es de sólo 60 segundos. Además, el SMS OTP se transmite a través de un canal inseguro que suele ser objeto de fraude, mientras que el TOTP no lo es.
Al limitar la vida de una OTP a sólo un minuto, RSA impide que los actores malintencionados almacenen factores de autenticación para su uso posterior. E incluso cuando un actor malintencionado intenta reutilizar la OTP dentro de ese plazo de 60 segundos, nuestro servidor de autenticación no acepta una OTP que ya ha visto. Este rechazo crea un evento auditable porque el usuario real debe autenticarse una segunda vez para obtener acceso, o simplemente se le deniega el acceso. El hecho de que sólo se pueda utilizar una OTP una vez para autenticarse impide que un phisher replique o almacene el intento de autenticación de un usuario legítimo. Las OTP de SecurID sólo pueden utilizarse una vez, y su vida útil es inmensamente breve.
Nuestro motor de riesgo basado en aprendizaje automático también detecta anomalías de comportamiento. La autenticación basada en riesgos de RSA utiliza técnicas y tecnologías para evaluar el riesgo que una solicitud de acceso supone para la organización. Mediante el aprendizaje automático, la autenticación basada en riesgos aprende de sus evaluaciones y aplica ese conocimiento a futuras solicitudes.
RSA no sólo asegura la autenticación, sino todo el ciclo de vida de la identidad con gestión de contraseñas de autoservicio, certificación de fácil acceso y procesos automatizados de incorporación, traslado y baja (JML), que garantizan un acceso adecuado y conforme a las normas durante todo el ciclo de vida del usuario. RSA gestiona el aprovisionamiento y desaprovisionamiento de autenticadores y proporciona herramientas de asistencia para ayudar a gestionar situaciones como la pérdida de tokens y el acceso de emergencia.
RSA también utiliza métodos criptográficos basados en estándares para proteger toda la comunicación necesaria para procesar un intento de autenticación. Empleamos el cifrado de extremo a extremo tanto del PIN como de la OTP, que va más allá del cifrado de la capa de transporte, por lo que las OTP no pueden ser descifradas por un proxy. Estos métodos no sólo protegen la OTP y el PIN cuando se transportan dentro, fuera y a través de las redes, sino que también garantizan que los distintos componentes de software puedan autenticarse.
El phishing es un problema que no va a desaparecer, Pero es importante recordar que la tecnología no funciona de forma aislada. El éxito de un ataque de phishing puede deberse tanto a la psicología humana como a la tecnología. La primera línea de defensa debe ser una plantilla bien formada. Los empleados que están atentos a los correos electrónicos de phishing no harán clic en enlaces sospechosos que den a los atacantes un punto de apoyo.
Al proporcionar una selección de opciones de autenticación y crear modelos de comportamiento, los organismos gubernamentales pueden conseguir una solución de autenticación resistente al phishing que proporcione una defensa en profundidad que vaya más allá de cualquier factor de autenticación concreto.
También es importante recordar que cualquier tecnología es tan buena como su implementación. Una buena solución de autenticación debe hacer algo más que hacer frente a posibles amenazas de phishing. Un aprovisionamiento y gestión del ciclo de vida de las credenciales deben ser partes integrales de la solución de autenticación. RSA ha sido pionera y ha establecido prácticas estándar en el sector para alcanzar estos objetivos para la autenticación basada en OTP.
RSA lleva décadas ofreciendo innovaciones y soluciones prácticas de autenticación. Los clientes gubernamentales y comerciales más sensibles a la seguridad de todo el mundo confían en nuestra tecnología probada. Nuestra IAM ofrece las capacidades que su organización necesita para alcanzar los objetivos críticos de ciberseguridad nacional. Nuestras soluciones de autenticación se han probado con el tiempo, y seguimos innovando y perfeccionando nuestras implementaciones a medida que evoluciona el panorama de las amenazas.
