En el entorno SaaS actual en rápida evolución, la atención se centra en los usuarios humanos. Esta es una de las áreas más comprometidas en la gestión de seguridad de SaaS y requiere una gobernanza estricta de los roles y permisos de los usuarios, monitoreo de usuarios privilegiados, su nivel de actividad (inactivo, activo, hiperactivo), su tipo (interno/externo), si son incorporaciones, mudanzas o salidas, y más.
No sorprende que los esfuerzos de seguridad se hayan centrado principalmente en las personas. Las opciones de configuración incluyen herramientas como MFA y SSO para autenticación humana. El control de acceso basado en roles (RBAC) limita el nivel de acceso; Las pautas de complejidad de contraseñas impiden que personas no autorizadas accedan a la aplicación.
Sin embargo, en el mundo de SaaS, no falta el acceso otorgado a actores no humanos o, en otras palabras, aplicaciones conectadas de terceros.
Las cuentas de servicio, las autorizaciones OAuth y las claves API son solo algunas de las identidades no humanas que requieren acceso SaaS. Cuando se ven a través de la lente de la aplicación, las cuentas no humanas son similares a las cuentas humanas. Deben autenticarse, otorgarse un conjunto de permisos y monitorearse. Sin embargo, debido a que no son humanos, se piensa mucho menos en garantizar la seguridad.
Ejemplos de acceso no humano
Las integraciones son probablemente la forma más sencilla de comprender el acceso no humano a una aplicación SaaS. Calendly es una aplicación que elimina los correos electrónicos de ida y vuelta para concertar citas al mostrar la disponibilidad del usuario. Se integra con el calendario de un usuario, lee el calendario para determinar la disponibilidad y agrega citas automáticamente. Al integrarse con Google Workspace a través de una autorización OAuth, solicita ámbitos que le permiten ver, editar, compartir y eliminar Google Calendars, entre otros ámbitos. La integración la inicia un humano, pero Calendly no es humano.
Figura 1: Ámbitos de permisos requeridos por Calendly |
Otras cuentas no humanas implican el intercambio de datos entre dos o más aplicaciones. SwiftPOS es una aplicación y dispositivo de punto de venta (POS) para bares, restaurantes y establecimientos minoristas. Los datos capturados por el POS se transfieren a una plataforma de inteligencia empresarial, como Microsoft Power BI, donde se procesan y analizan. Los datos se transfieren de SwiftPOS a Power BI a través de una cuenta no humana.
El desafío de proteger cuentas no humanas
Administrar y proteger cuentas no humanas no es tan simple como parece. Para empezar, cada aplicación tiene su propio enfoque para administrar este tipo de cuentas de usuario. Algunas aplicaciones, por ejemplo, desconectan una integración de OAuth cuando el usuario que la autorizó es dado de baja de la aplicación, mientras que otras mantienen la conexión.
Las aplicaciones SaaS también adoptan diferentes enfoques para administrar estas cuentas. Algunos incluyen cuentas no humanas en sus inventario de usuariosmientras que otros almacenan y muestran los datos en una sección diferente de la aplicación, lo que hace que sea fácil pasarlos por alto.
Las cuentas humanas se pueden autenticar mediante MFA o SSO. Las cuentas no humanas, por el contrario, se autentican una vez y se olvidan a menos que haya un problema con la integración. Los humanos también tienen patrones de comportamiento típicos, como iniciar sesión en aplicaciones durante el horario laboral. Las cuentas no humanas suelen acceder a las aplicaciones durante las horas de menor actividad para reducir el tráfico y la presión de la red. Cuando un humano inicia sesión en su SaaS a las 3 a.m., puede desencadenar una investigación; cuando un no humano ingresa a la red a las 3 a. m., todo sigue igual.
En un esfuerzo por simplificar la gestión de cuentas no humanas, muchas organizaciones utilizan la misma clave API para todas las integraciones. Para facilitar esto, otorgan amplios conjuntos de permisos a la clave API para cubrir todas las necesidades potenciales de la organización. Otras veces, un desarrollador utilizará su propia clave API de alto permiso para otorgar acceso a la cuenta no humana, permitiéndole acceder a cualquier cosa dentro de la aplicación. Estas claves API funcionan como pases de acceso total utilizados por múltiples integraciones, lo que las hace increíblemente difíciles de controlar.
Figura 2: Una aplicación OAuth maliciosa detectada a través del SSPM de Adaptive Shield |
El riesgo que las cuentas no humanas añaden a la pila SaaS
Las cuentas no humanas no están en gran medida supervisadas y tienen amplios alcances de permisos. Esto los convierte en un objetivo atractivo para los actores de amenazas. Al comprometer cualquiera de estas cuentas, los actores de amenazas pueden ingresar a la aplicación sin ser detectados, lo que genera infracciones, modificaciones no autorizadas o interrupciones en el servicio.
Tomar medidas para proteger las cuentas no humanas
Al utilizar una plataforma SaaS Security Posture Management (SSPM) junto con soluciones de detección y respuesta a amenazas de identidad (ITDR), las organizaciones pueden administrar eficazmente sus cuentas no humanas y detectar cuándo se comportan de manera anómala.
Las cuentas no humanas requieren la misma visibilidad por parte de los equipos de seguridad que las cuentas humanas y deben administrarse en el mismo inventario de usuarios que sus contrapartes humanas. Al unificar la gestión de identidades, es mucho más fácil ver el acceso y los permisos y actualizar las cuentas independientemente de quién sea el propietario. También garantiza un enfoque unificado para la gestión de cuentas. Las políticas organizacionales, como la prohibición de compartir cuentas, deben aplicarse en todos los ámbitos. Las cuentas no humanas deben limitarse a direcciones IP específicas que estén aprobadas previamente en una lista de permitidos y no se les debe otorgar acceso a través de las pantallas de inicio de sesión estándar (inicio de sesión de UI). Además, los permisos deben adaptarse para satisfacer sus necesidades específicas como aplicaciones, y no ser amplios ni coincidir con sus homólogos humanos.
El ITDR también desempeña un papel importante. Las cuentas no humanas pueden acceder a aplicaciones SaaS a todas horas de la noche, pero suelen ser bastante consistentes en sus interacciones. ITDR puede detectar anomalías en el comportamiento, ya sean cambios en la programación, el tipo de datos que se agregan a la aplicación o las actividades realizadas por la cuenta no humana.
La visibilidad proporcionada por SSPM en las cuentas y ITDR en el comportamiento de identidad no humana es esencial para gestionar riesgos e identificar amenazas. Esta es una actividad esencial para mantener aplicaciones SaaS seguras.
Lea más sobre la protección contra identidades no humanas