Microsoft ha advertido de que una cultura generalizada de «concesión excesiva de permisos«, o el exceso de autorización, causa quebraderos de cabeza a las empresas. Debido al aumento de las cargas de trabajo en la nube y a la expansión de la infraestructura, las organizaciones se están exponiendo a un mayor riesgo de infracciones.
La seguridad, siempre en entredicho
El informe 2023 State of Cloud Permissions Risks, publicado por Microsoft la semana pasada, concluye que, a medida que las empresas se mueven cada vez más hacia entornos multicloud, muchas están concediendo permisos que se consideran de «alto riesgo».
Los permisos permiten a los usuarios o máquinas acceder a aplicaciones o recursos dentro de un entorno en la nube, y realizar operaciones o comandos específicos. Microsoft afirma que las identidades de usuarios humanos y máquinas utilizan sólo el 1% de los permisos concedidos en sus funciones diarias, lo que significa que la gran mayoría están ociosos y sin utilizar.
«A medida que los entornos en la nube se expanden, se han vuelto inadvertidamente más complejos de gestionar», advirtió Microsoft en su informe. «Con más de 40.000 permisos que se pueden conceder a las identidades, de los cuales más del 50% son de alto riesgo, cada vez es más difícil para las organizaciones saber quién tiene acceso a qué datos, y a través de qué plataformas en la nube.»
Aumento significativo de los ataques
Microsoft afirmó que, desde la publicación de su informe inaugural en 2021, ha observado un «aumento significativo» en las organizaciones que conceden permisos para acceder a recursos críticos en la nube.
Del mismo modo, el informe destacó un fuerte aumento en el número de ‘superadministradores’ presentes en entornos multicloud. Por «superadministradores» se entienden las identidades de usuarios o máquinas que tienen acceso a todos los recursos de la infraestructura en la nube de una organización.
Alex Simons, vicepresidente corporativo de gestión de programas en la división de Identidad de Microsoft, advirtió que los superadministradores tienen «un exceso de permisos» y que el 98% de estas identidades no se utilizan, lo que significa que podrían correr un mayor riesgo de uso indebido si se produce una infracción.
«Los superadministradores son identidades humanas o de carga de trabajo, que tienen acceso a todos los permisos y recursos. Pueden crear y modificar los parámetros de configuración de un servicio, añadir o eliminar identidades y acceder a los datos o incluso borrarlos», afirma.
«Con un exceso extremo de permisos, nuestra investigación descubrió que menos del 2% de los permisos concedidos a las superidentidades se utilizan, y el 40% de los superadministradores son identidades de carga de trabajo. Si no se supervisan, estas identidades presentan un riesgo significativo de uso indebido de permisos en caso de infracción.»
Las identidades basadas en máquinas plantean riesgos añadidos
La expansión de las identidades basadas en máquinas en entornos en la nube fue una de las principales preocupaciones destacadas por Simons, ya que las identidades humanas superan ahora en número en una proporción de 10:1.
«En el mundo multi-cloud actual, las identidades humanas ya no son las únicas que acceden a la infraestructura multi-cloud«, explicó Simons. «El número de identidades de carga de trabajo que operan a través de las nubes, incluyendo apps, VMs, scripts, contenedores y servicios ha aumentado exponencialmente, superando ahora en número a las identidades humanas en una proporción de diez a uno.»
El exceso de autorización causa quebraderos de cabeza a las empresas, y Simons dijo que estas deben tomar medidas para reducir esta creciente brecha de permisos, y así mitigar el potencial de uso indebido. Para lograrlo, las empresas deben aplicar el principio del «menor privilegio» y reducir el número de permisos en toda su infraestructura.
«Cerrar la brecha de permisos y reducir el riesgo de uso indebido de los mismos, requiere que las organizaciones apliquen el principio del mínimo privilegio», afirmó.
«Esto debe ocurrir de manera consistente a todas las identidades humanas y de carga de trabajo, a través de entornos multi-nube. Las organizaciones pueden lograr esto a escala de nube mediante la adopción de una solución Cloud Infrastructure Entitlement Management (CIEM) para descubrir, remediar y monitorear continuamente la actividad de cada identidad única de usuario y carga de trabajo, a través de múltiples nubes.»