Una versión anterior de este artículo se publicó en NASDAQ el 1 de junio de 2023
Cuando se elimina toda la jerga, las políticas, los títulos y las normas, la ciberseguridad siempre ha sido un juego de números. Los equipos de seguridad deben proteger a X usuarios, aplicaciones, derechos y entornos. Las organizaciones cuentan con Y profesionales de la seguridad para proteger esos recursos. Tienen un presupuesto Z para gastar en tecnologías, herramientas y formación.
Las cifras se nos escapan. El universo de la identidad se expande mucho más rápido de lo que los actores humanos pueden seguir el ritmo: en un 2021 más de 80% de los encuestados afirmaron que el número de identidades que gestionaban se había más que duplicado, y 25% declararon que se había multiplicado por 10.
Y no es sólo que estemos creando más identidades: estamos creando identidades que pueden do mucho más de lo necesario. Más o menos 98% de permisos no se utilizan. Estos riesgos aumentan a medida que las organizaciones añaden más entornos en la nube: Gartner predice que la "gestión inadecuada de identidades, accesos y privilegios causará 75% de fallos de seguridad en la nube" este año, y que la mitad de las empresas expondrán por error algunos de sus recursos directamente al público.
No es de extrañar, por tanto, que 58% de las veces, los equipos de seguridad se enteraban de que habían sufrido una brecha a través de la revelación de los actores de la amenaza. Así es: más de la mitad de las veces, las organizaciones solo se enteraban de que habían sido derrotadas cuando los malos les decían que habían perdido.
Una y otra vez, hemos visto a los actores de amenazas explotar estas cifras atacando las infraestructuras de identidad de las organizaciones y lanzando algunos de los ciberataques de mayor repercusión y más dañinos de los últimos tiempos. Colonial Pipeline, SolarWinds, LAPSUS$ y las amenazas patrocinadas por el Estado han demostrado lo grandes, interconectadas y vulnerables que se han vuelto las infraestructuras de identidad.
No me malinterpreten: no pretendo culpar a los equipos de ciberseguridad de estas brechas. No se trata sólo de que sus adversarios fueran listos, o tuvieran suerte, o ambas cosas. No se trata sólo de que las organizaciones privadas no puedan igualar los recursos de una nación-estado. Si nos centramos en estas variables, no nos damos cuenta de que ya no se puede esperar que los agentes humanos garanticen la seguridad, el cumplimiento y la comodidad del parque informático de una organización. La velocidad, el alcance y la complejidad de lo que debemos proteger han crecido varias magnitudes más allá de lo que la mente humana puede siquiera concebir, y mucho menos asegurar.
No es que las cifras no cuadren, es que su suma supera la capacidad humana.
Dado lo grande y complejo que es el universo informático hoy en día -y lo mucho más grande y complejo que está a punto de ser-, no es razonable esperar que los equipos de identidad y seguridad creen universos informáticos seguros, conformes y convenientes. No creo que los humanos puede hacerlo por su cuenta.
La buena noticia es que no tienen por qué hacerlo. Al igual que el universo de la identidad se está expandiendo más allá de la capacidad humana, la inteligencia artificial (IA) ha llegado a un punto en el que puede ayudar a proteger todo el ciclo de vida de la identidad. Estamos creando nuevas herramientas adaptadas a este momento y capaces de proteger las lagunas y los puntos ciegos que aprovechan los actores de amenazas.
La IA es idónea para este momento porque es excelente para hacer algo con lo que los humanos siempre han tenido dificultades: dar sentido a grandes cantidades de datos con rapidez.
Como ejemplo, recordemos que 98% de los derechos nunca se utilizan. Es probable que esto se deba a que los equipos de TI y de identidades sobreaprovisionan las cuentas desde el momento en que se incorpora un nuevo usuario y se crea una cuenta. Tenemos demasiados derechos incorporados desde el principio y no podemos reaccionar con la rapidez suficiente para proporcionar el acceso adecuado cuando es necesario.
Los humanos tendemos a ver el mundo en aproximaciones de grano grueso: consideramos que Ingeniería necesita acceso al servidor de Desarrollo, que el equipo de Operaciones necesita acceso al servidor de Producción y que los administradores necesitan acceso a ambos. Muchas soluciones de gobernanza se basan en estas aproximaciones de grano grueso: el control de acceso basado en roles (RBAC) asigna privilegios en función del departamento al que se asigna a alguien en una organización. Los empleados de Marketing deberían tener acceso a los derechos A, B y C, mientras que los de Finanzas deberían tener acceso a los derechos D, E y F.
Y aunque las aproximaciones de grano grueso son construcciones útiles, son fundamentalmente contrarias a la directiva de confianza cero de proporcionar el mínimo de derechos necesarios para desempeñar una función. La confianza cero exige un análisis y una toma de decisiones precisos y en el momento preciso. Llegar a la confianza cero significa tener un conocimiento casi molecular de quién es un usuario, qué necesita, cuándo lo necesita, cómo debe utilizarlo y por qué. También exige reexaminar esa información casi a cada momento y asegurarse continuamente de que una solicitud es apropiada.
Los humanos no pueden operar a ese nivel ni a esa velocidad. Pero la IA sí. Una máquina no se deja intimidar por miles de usuarios con millones de derechos que cambian cada segundo. Al contrario, una máquina puede ser más eficaz aprendiendo de un conjunto de datos más amplio. Mientras que los humanos pueden sentirse abrumados por tantos datos, las máquinas pueden utilizarlos para desarrollar una ciberseguridad más fuerte, mejor y más rápida.
Ya lo he dicho antes, pero vale la pena repetirlo: tenemos cero posibilidades de llegar a la confianza cero sin IA.
Hemos visto de primera mano las aportaciones de la IA a la ciberseguridad. Durante casi 20 años, RSA ha utilizado el aprendizaje automático y el análisis del comportamiento para mejorar la autenticación de los clientes. Nuestra capacidad Risk AI aprende el comportamiento típico de cada usuario y, a continuación, aplica señales contextuales (como la hora del día en que un usuario realiza una solicitud, el dispositivo que utiliza, su dirección IP, sus patrones de acceso y otros factores) para obtener una puntuación de confianza de la identidad y, si es necesario, automatizar la autenticación escalonada.
Y eso es sólo la autenticación: las organizaciones pueden obtener mejores resultados, más valor y una seguridad más sólida aplicando la inteligencia de identidades en una plataforma de identidades unificada que integre la autenticación con el acceso, la gobernanza y el ciclo de vida. RSA anunció recientemente nuevas capacidades automatizadas de inteligencia de identidades para Gobernanza y ciclo de vida de RSA. Pronto incorporaremos a nuestras soluciones cuadros de mando e inteligencia adicionales que ayudarán a los clientes a comprender su situación general de riesgo de acceso, identificar a los usuarios, aplicaciones y ubicaciones de alto riesgo y determinar los cambios de política necesarios para proteger mejor los activos críticos.
La identidad siempre ha sido el escudo de una organización. La identidad nos dice a quién debemos dejar entrar y establece cómo verificamos que alguien es quien dice ser. Dicta a qué deben tener acceso nuestros usuarios.
La identidad crea las defensas iniciales y más críticas de toda organización. Pero si la identidad es el escudo del defensor, también es el objetivo del atacante. De hecho, la identidad es la parte más atacada de la superficie de ataque: 84% de las organizaciones informaron de una violación relacionada con la identidad en 2022, según el Alianza para la Seguridad Definida por la Identidad. Verizon descubrió que las contraseñas han sido la causa principal de todas las violaciones de datos todos los años desde hace 15.
No podemos esperar a que el Centro de Operaciones de Seguridad (SOC) intervenga: un universo de identidades en rápido crecimiento significa más puntos finales, tráfico de red e infraestructura en la nube que supervisar. Los equipos de los SOC ya carecen de visibilidad sobre amenazas a la identidad como la fuerza bruta, las tablas arcoíris o la actividad inusual de los usuarios; no es razonable esperar que se ocupen de las amenazas a la identidad ahora que son más pronunciadas.
Con el SOC desbordado y la identidad bajo ataque, la identidad debe adaptarse. No basta con que una plataforma de identidad sea excelente en defensa. En el futuro, la identidad también tendrá que ser excelente en autodefensa.
Tenemos que construir plataformas que detecten y respondan a las amenazas de identidad (ITDR) de forma intrínseca, no como una función u opción, sino como parte fundamental de su naturaleza.
Nuestro sector está trabajando para desarrollar esas capacidades. En RSA, estamos ampliando la autenticación basada en riesgos a través de nuestra Plataforma de Identidad Unificada para prevenir riesgos, detectar amenazas y automatizar respuestas.
Debemos dar prioridad a este trabajo, porque nuestros adversarios ya están utilizando la IA para perfeccionar y acelerar sus ataques. La IA puede escribir malware polimórfico, mejorar y ejecutar campañas de phishing, e incluso hackear el juicio y el razonamiento humano básico con deepfakes.
Integrar la IA en la ciberseguridad será una tarea difícil pero esencial. En última instancia, significará una ciberseguridad mejor, más inteligente, más rápida y más fuerte. Nuestro sector está empezando a utilizar la IA para proteger a las organizaciones, pero los indicios son prometedores: IBM descubrió que las organizaciones con seguridad y automatización de IA totalmente desplegadas redujeron el tiempo necesario para identificar y contener una brecha en 74 días y disminuyeron el coste de una brecha de datos en más de $3 millones.
Pero no estará exenta de desafíos: los humanos nos enfrentamos a una pendiente crisis de identidad. Los profesionales de la ciberseguridad tendremos que reimaginar nuestras funciones trabajando junto a la IA. Tendremos que aprender nuevas técnicas de formación, supervisión, control e incluso protección de la IA. Tendremos que dar prioridad a pedir a la IA que mejore preguntas, y perfeccionar sus algoritmos para ir un paso por delante de nuestros adversarios.
En última instancia, no es sólo la tecnología la que debe evolucionar. Somos todos nosotros.
