PAM es una categoría amplia que se refiere a quién puede acceder a una cuenta privilegiada y qué puede hacer una vez que haya iniciado sesión en la red de su organización con esa cuenta privilegiada. PAM incluye administración de cuentas privilegiadas y administración de sesiones privilegiadas.
Esta descripción general aumenta su comprensión de PAM para que pueda sentar las bases de una estrategia integral de administración de acceso privilegiado. Cubriremos:
Lo que un profesional de TI debe saber sobre cómo funcionan las cuentas privilegiadas y los riesgos asociados con su compromiso y uso indebido.
Cómo puede usar este conocimiento para hacer que su organización sea mucho menos vulnerable a posibles daños monetarios y de reputación por amenazas crecientes.
Obtendrá una comprensión práctica de la administración de acceso privilegiado y sus beneficios para su organización. Aprenderá qué son las cuentas privilegiadas, dónde están ubicadas en un entorno de TI y cómo funcionan. Lo que es más importante, comprenderá los riesgos asociados con estas cuentas y aprenderá cómo la implementación de una solución de seguridad de cuenta privilegiada puede protegerlo de amenazas internas y externas maliciosas.
Definiciones clave de administración de acceso privilegiado
Primero, definamos algunos términos clave que necesita saber para comprender PAM.
¿Cuál es la diferencia entre la administración de acceso privilegiado y
la administración de cuentas privilegiadas (ambas llamadas PAM)?
La industria PAM comenzó con las capacidades centrales de la administración de cuentas privilegiadas. La administración de cuentas privilegiadas es el proceso de seguridad de TI que utiliza software y estrategias basadas en políticas para controlar quién puede acceder a sistemas e información confidenciales. Las cuentas privilegiadas se basan en credenciales (contraseñas, claves y secretos) para controlar el acceso. Al crear, almacenar y administrar estas credenciales en una bóveda segura, la administración de cuentas privilegiadas controla el acceso autorizado de un usuario, proceso o computadora a los recursos protegidos en un entorno de TI.
Sin embargo, desde los primeros días de PAM, las estrategias de seguridad privilegiadas se han expandido y la definición común de PAM ha cambiado. Hoy en día, la mayoría de la gente define PAM como gestión de acceso privilegiado. Esta definición de PAM refleja una categoría de seguridad más amplia que la gestión de cuentas privilegiadas. Incluye estrategias de seguridad cibernética para ejercer control sobre accesos y permisos elevados para usuarios, cuentas y procesos. Determina no solo qué personas y sistemas pueden acceder a una cuenta privilegiada, sino también qué pueden hacer una vez que inician sesión.
Además, esta definición de PAM incorpora estrategias que brindan a los equipos de seguridad un control y una supervisión más detallados sobre las acciones realizadas durante las sesiones privilegiadas. Incluye la gestión de contraseñas de cuentas privilegiadas a través de tácticas como la gestión de credenciales, la aplicación de privilegios mínimos y el control de cuentas. Por ejemplo, la aprobación y los flujos de trabajo de acceso privilegiado, la autenticación de dos o varios factores, la supervisión y grabación de sesiones privilegiadas y el inicio remoto son elementos fundamentales de un programa completo de gestión de acceso privilegiado.
¿Cuál es la diferencia entre cuentas de usuario y cuentas privilegiadas?
Hay dos categorías principales de cuentas de TI:
Cuentas de usuario: una cuenta de usuario generalmente representa una identidad humana (como una cuenta de usuario de Active Directory) y tiene una contraseña asociada para proteger la información y evitar que cualquier otra persona acceda sin permiso. Por lo general, hay una sola contraseña de cuenta por usuario que debe ser memorizada por una persona.
Cuentas privilegiadas: las cuentas privilegiadas brindan niveles administrativos o especializados de acceso a sistemas empresariales y datos confidenciales, en función de niveles más altos de permisos. Una cuenta privilegiada se puede asociar con un ser humano o un sistema de TI no humano.
Las organizaciones a menudo tienen de dos a tres veces más cuentas privilegiadas que empleados. En la mayoría de las organizaciones, el personal de TI tiene una cuenta con permisos de nivel estándar y otra cuenta para realizar operaciones que requieren permisos elevados.
¿Para qué se utilizan las cuentas privilegiadas?
Las cuentas privilegiadas son la clave de su reino de TI porque se pueden usar para acceder a un servidor confidencial, ajustar permisos, crear cuentas de puerta trasera o cambiar o eliminar datos críticos.
Las cuentas privilegiadas que necesitan permisos elevados incluyen:
Cuentas de administrador local o de dominio que administran servidores
Cuentas de administrador de dominio que normalmente controlan a los usuarios de Active Directory
Cuentas SA, o cuentas de administrador del sistema, que ayudan a administrar las bases de datos
Cuentas raíz que gestionan plataformas Unix/Linux
Cuentas que ejecutan y administran aplicaciones, servicios y tareas programadas de Windows
Grupos de aplicaciones de IIS (aplicaciones .NET)
Cuentas de equipos de red que dan acceso a cortafuegos, enrutadores y conmutadores
¿Qué son las cuentas de servicio privilegiadas?
Una cuenta de servicio es una categoría especial de cuenta privilegiada que requiere privilegios elevados para ejecutar tareas programadas, trabajos por lotes, grupos de aplicaciones dentro de IIS y más en una red compleja de bases de datos, aplicaciones y sistemas de archivos. Cientos o miles de servicios dependen de cuentas privilegiadas para ejecutar procesos de TI críticos. Como tal, las cuentas de servicio se encuentran entre las cuentas privilegiadas de mayor riesgo.
Desafortunadamente, las cuentas de servicio también suelen ser los tipos de cuentas privilegiadas más mal utilizadas. Para mantener los sistemas en funcionamiento y evitar el tiempo de inactividad, a menudo se configuran con niveles de privilegios innecesariamente altos. Sin dueños humanos, a menudo carecen de supervisión. Como resultado, las contraseñas de las cuentas de servicio no se rotan, las fechas de vencimiento pasan o nunca se establecen, y las cuentas nunca se dan de baja. Estas prácticas comunes crean una vulnerabilidad peligrosa para cualquier organización, abriendo la puerta a los ataques cibernéticos.
¿Quién usa las cuentas privilegiadas y dónde se ubican las cuentas privilegiadas?
El usuario típico de una cuenta privilegiada es un administrador del sistema (sysadmin) responsable de administrar un entorno, o un administrador de TI de software o hardware específico. Necesitan privilegios elevados para:
Instalar hardware/software del sistema
Acceda a datos confidenciales
Restablecer contraseñas para otros
Inicie sesión en todas las máquinas en un entorno
Realizar cambios en los sistemas de infraestructura de TI
Los administradores de sistemas utilizan las cuentas con privilegios para implementar y mantener los sistemas de TI, por lo que existen en casi todos los dispositivos, servidores, bases de datos y aplicaciones conectados. Las cuentas privilegiadas se extienden mucho más allá de la infraestructura empresarial local o basada en la nube de una organización para incluir cuentas de marketing, ventas, finanzas y redes sociales administradas por empleados. Por lo tanto, es importante que incluso las pequeñas y medianas empresas cuenten con un proceso eficiente de administración de cuentas privilegiadas.
¿Cuál es la diferencia entre la gestión de acceso e identidad (IAM)
y la gestión de acceso privilegiado?
El dominio de la gestión de acceso privilegiado se acepta generalmente como parte del alcance más amplio de la gestión de identidad y acceso (IAM). Sin embargo, la identidad y el privilegio están inextricablemente vinculados y, a medida que las herramientas y las soluciones se vuelven más sofisticadas, las líneas siguen desdibujándose.
La identidad se refiere a las personas. Usted, su jefe, el administrador de TI y la persona de recursos humanos son solo algunos ejemplos de personas que pueden ser responsables de crear, actualizar o incluso eliminar atributos. El objetivo central de IAM es tener una identidad digital por individuo. Una vez que se ha establecido esa identidad digital, debe mantenerse, modificarse y monitorearse.
La administración de acceso privilegiado es parte de IAM y ayuda a administrar los derechos, no solo de usuarios individuales, sino también de cuentas compartidas, como superusuarios, cuentas administrativas y de servicio. Una herramienta PAM, a diferencia de las herramientas IAM o los administradores de contraseñas, protege y administra todo tipo de cuentas privilegiadas. Una solución madura de gestión de acceso privilegiado va incluso más allá de la simple generación de contraseñas y el control de acceso a sistemas individuales. También proporciona una plataforma unificada, robusta y, lo que es más importante, transparente que se integra en la estrategia general de administración de acceso e identidad (IAM) de una organización.
Riesgos y vulnerabilidades relacionados con las cuentas privilegiadas
¿Cuáles son los riesgos asociados con las cuentas privilegiadas no administradas?
Muchas infracciones de alto perfil tienen una cosa en común: se lograron mediante el compromiso de credenciales privilegiadas. Los analistas de la industria estiman que hasta el 80 % de todas las infracciones de seguridad involucran el compromiso de cuentas privilegiadas.
A pesar del riesgo, los métodos tradicionales de identificación y administración de cuentas privilegiadas aún se basan en tareas manuales que consumen mucho tiempo y que se realizan de manera poco frecuente o ad hoc. Incluso en los entornos de TI más sofisticados, las cuentas privilegiadas se administran con demasiada frecuencia mediante el uso de contraseñas comunes en múltiples sistemas, el intercambio no autorizado de credenciales y contraseñas predeterminadas que nunca se cambian, lo que las convierte en objetivos principales para los ataques.
Estas prácticas pueden comprometer fácilmente la seguridad porque, para la mayoría de los atacantes, hacerse cargo de las cuentas de usuario de bajo nivel es solo el primer paso. Su objetivo real es apoderarse de las cuentas privilegiadas para que puedan escalar su acceso a aplicaciones, datos y funciones administrativas clave. Por ejemplo, en muchos casos, las cuentas de dominio local en los dispositivos de los usuarios finales se piratean inicialmente mediante diversas técnicas de ingeniería social. Luego, los ataques se intensifican para obtener acceso a más sistemas.
Prácticamente todas las organizaciones tienen algunas cuentas privilegiadas desconocidas o no administradas, lo que aumenta su riesgo. Algunos tienen miles. Esto puede suceder por varias razones:
Nunca se inhabilitó el acceso de un ex-empleado.
Una cuenta se utiliza cada vez con menos frecuencia hasta que se vuelve obsoleta y se abandona.
Las cuentas predeterminadas para nuevos dispositivos nunca se deshabilitaron.
Cada cuenta privilegiada desconocida o no administrada aumenta la vulnerabilidad de su organización y presenta una oportunidad para una intrusión. Un empleado puede acceder a él para realizar tareas no autorizadas, de forma intencionada o no, infringiendo las normas de cumplimiento y aumentando su responsabilidad. Un ex empleado descontento que conserva el acceso privilegiado puede causar daño.
Un ciberdelincuente puede encontrar la cuenta y penetrar en su organización, robar información y causar estragos incalculables.
Si se usa una sola cuenta privilegiada en toda su organización para ejecutar muchos servicios o aplicaciones, cuando se viola esa cuenta, su riesgo aumenta exponencialmente. En ese caso, solo se necesita una cuenta privilegiada comprometida para que un atacante obtenga acceso a prácticamente cualquier información dentro de la red de TI de su organización.
¿Cómo aumenta la nube el riesgo de un ataque a una cuenta privilegiada?
A medida que las empresas migran a la nube, se expande la diversidad de casos de uso de administración de acceso privilegiado. En un modelo de nube, administrar el acceso privilegiado a las cargas de trabajo, los servicios y las aplicaciones sigue siendo su responsabilidad, no la de los proveedores de la nube. También es su responsabilidad asegurarse de que los datos que van y vienen de la nube (a través de navegadores web, correo electrónico, intercambios de archivos como SFTP, API, productos SaaS y protocolos de transmisión) estén debidamente protegidos.
Desafortunadamente, muchas organizaciones no implementan ni hacen cumplir adecuadamente las políticas para controlar el acceso privilegiado. El desafío no está en la seguridad de la nube en sí, sino en las políticas y tecnologías que controlan el acceso, las identidades y los privilegios. En casi todos los casos, es el usuario, no el proveedor de la nube, quien no logra administrar los controles. Según Gartner, hasta 2023, al menos el 99 % de las fallas de seguridad en la nube serán culpa del cliente, y el 50 % de los problemas se atribuirán al acceso inadecuado, la identidad y la administración privilegiada.
¿Sus casos de uso de la nube incluyen infraestructura, desarrollo de aplicaciones y automatización de procesos comerciales?
Como parte de su estrategia de administración de acceso privilegiado, debe proteger las credenciales privilegiadas utilizadas para acceder y administrar sus recursos en la nube .
¿Cómo comprometen los ciberdelincuentes las cuentas privilegiadas?
Hemos discutido la importancia de las cuentas privilegiadas, el papel central que juegan las cuentas privilegiadas en la administración de sistemas, infraestructura y aplicaciones, y los riesgos asociados con la pérdida de control de las cuentas privilegiadas. A continuación, es importante comprender los trucos y las técnicas que utilizan los ciberdelincuentes para arrebatar el control de estas cuentas. En la siguiente sección, analizaremos qué se puede hacer para proteger las cuentas con privilegios.
El camino para comprometer una cuenta privilegiada a menudo sigue una variación de este patrón:
Comprometer una cuenta local . Los piratas informáticos criminales usan malware o ingeniería social para obtener acceso a computadoras de escritorio, portátiles o servidores. Los empleados son engañados por estafas de phishing que parecen ser solicitudes legítimas del gerente de un empleado, un ejecutivo de la empresa u otra fuente confiable. Sin saberlo, pueden hacer clic en un enlace malicioso, descargar una pieza de software con malware oculto en su interior o ingresar sus credenciales de contraseña en sitios web falsos.
Captura una cuenta privilegiada . El objetivo principal de un atacante es obtener una cuenta privilegiada (como una cuenta de administrador local de Windows) para moverse. Después de que se captura la contraseña de un empleado, el perpetrador puede iniciar sesión en una red y simplemente eludir muchos de los controles de seguridad de TI tradicionales porque aparece como un usuario con credenciales legítimas. Las técnicas comunes incluyen ataques Man in the Middle o Pass the Hash para elevar los privilegios.
Esconderse y observar . Los piratas informáticos criminales sofisticados son pacientes y prefieren pasar desapercibidos en lugar de hacer crack y correr. Después de que los atacantes establecen una brecha, generalmente usan cuentas privilegiadas comprometidas para realizar un reconocimiento y conocer las rutinas normales de los equipos de TI. Esto incluye observar los horarios regulares, las medidas de seguridad implementadas y el flujo de tráfico de la red. Usan estas observaciones para mezclarse y asegurarse de que no activen ninguna alarma de seguridad de la red. Eventualmente, pueden obtener una imagen precisa de toda la red y sus operaciones.
Hacerse pasar por empleados . Un atacante con acceso a una cuenta privilegiada puede hacerse pasar por un empleado o sistema de confianza y, por lo tanto, puede realizar actividades maliciosas sin ser detectado como intruso. Cuando los atacantes comprometen una cuenta privilegiada, pueden operar sin ser detectados durante semanas o meses a la vez. Debido a que una cuenta privilegiada comprometida parece ser un usuario legítimo, es muy difícil encontrar la causa raíz o realizar un análisis forense digital cuando finalmente se detecta una infracción.
Establecer un acceso continuo . El siguiente paso de un atacante suele ser establecer un acceso continuo mediante la instalación de herramientas de acceso remoto, lo que les permite regresar en cualquier momento que lo deseen y realizar actividades maliciosas sin generar una alarma.
Causa daño . Dependiendo del motivo de los atacantes, pueden usar cuentas privilegiadas para hacer cosas como:
Dañar las funciones del sistema o deshabilitar el acceso de un administrador de TI
Robar datos confidenciales por fraude o daño a la reputación
Inyectar código incorrecto
datos de veneno
Prevención de ataques a cuentas privilegiadas con PAM
¿Cómo PAM reduce el riesgo de un ataque a una cuenta privilegiada?
El objetivo general al diseñar su proceso de administración de acceso privilegiado e implementar soluciones es dotar a los profesionales de TI y seguridad con las herramientas que necesitan para controlar el acceso dentro de su entorno corporativo, reduciendo así la superficie de ataque al limitar el acceso y el comportamiento privilegiados. En última instancia, al implementar una solución PAM junto con otras prácticas recomendadas de seguridad de TI, puede contener daños potenciales relacionados con ataques que se originan fuera de su organización, o instigados internamente, independientemente de si una acción se debe a malicia intencional o incompetencia inadvertida.
¿Por qué es tan difícil prevenir ataques utilizando
herramientas de seguridad perimetral o de red?
Muchas organizaciones intentan proteger su información con herramientas perimetrales de seguridad tradicionales, como firewalls, antivirus y soluciones de detección de intrusos. Pero con las tecnologías móviles, de nube y de virtualización que evolucionan rápidamente, ya no es suficiente construir una cerca o un foso alrededor de los activos críticos. De hecho, es imposible.
En el lugar de trabajo digital, las personas comparten información constantemente y están expuestas a ingeniería social y ataques de phishing selectivo dirigidos a obtener contraseñas y credenciales. Cuando se roban las identidades, los atacantes pueden eludir fácilmente el perímetro de seguridad tradicional sin ser detectados y escalar la explotación de cuentas privilegiadas.
La piratería de credenciales privilegiadas puede significar la diferencia entre una simple infracción y una que podría conducir a una catástrofe cibernética. Por lo tanto, el “nuevo perímetro de seguridad cibernética” debe enfocarse en proteger el acceso de empleados, contratistas, socios externos, servicios y sistemas en la nube.
¿Cuáles son las 10 capacidades principales del software PAM
que frustran a los piratas informáticos maliciosos y otras amenazas externas?
Las soluciones PAM de nivel empresarial emplean numerosas funciones para bloquear el acceso privilegiado y frustrar los ataques cibernéticos. Pueden descubrir cuentas privilegiadas en toda su organización e importarlas a un repositorio seguro y encriptado: una bóveda de contraseñas. Una vez que todas las credenciales privilegiadas están dentro, la solución PAM puede administrar sesiones, contraseñas y accesos automáticamente. Combine todo esto con características como ocultar contraseñas de ciertos usuarios, rotación automática de contraseñas, sesiones de grabación, auditoría y autenticación multifactor y tendrá una defensa sólida contra amenazas externas. Aquí hay 10 capacidades importantes del software PAM:
Almacenamiento de contraseñas Las fugas de contraseñas y las filtraciones de datos son una parte cada vez mayor del mundo de TI. La reutilización de contraseñas aumenta la probabilidad de que un sistema y sus datos se vean comprometidos. El principal método de seguridad proporcionado por una solución de administración de acceso privilegiado es la bóveda de contraseñas, donde las contraseñas se almacenan en una ubicación central altamente segura y protegida por un cifrado fuerte. Esto asegura un acceso extremadamente limitado a todas las contraseñas.
Cambio de contraseña y generación automática Con PAM, puede generar valores de contraseña aleatorios o simplemente rotar la contraseña actual. Esto puede hacerlo manualmente una persona con una función de gestión de contraseñas asignada o como una función automatizada del sistema PAM. Cada vez que un usuario solicita acceso, el sistema PAM puede generar automáticamente una nueva contraseña para evitar la reutilización o la fuga de contraseñas, al tiempo que garantiza una coincidencia entre las credenciales actuales y los sistemas de destino.
Automatización Para escalar los sistemas de TI mientras se administran los costos, la administración eficaz de los sistemas requiere cada vez más un alto grado de automatización. Los sistemas PAM pueden realizar automáticamente tareas repetitivas relacionadas con contraseñas y también pueden alertar a los administradores sobre una variedad de condiciones de acceso privilegiado, como intentos fallidos de contraseña, solicitudes de contraseña y transacciones de aplicaciones web.
Los sistemas PAM de recuperación ante desastres se pueden diseñar con salvaguardas de conmutación por error para garantizar que ningún punto único de falla pueda evitar el acceso crítico a los sistemas durante una falla generalizada del sistema o de la red.
Acceso para personas que no son empleados El personal de terceros puede necesitar acceso continuo a los sistemas (a diferencia del acceso único de emergencia que se describe a continuación). El software PAM puede proporcionar acceso basado en roles que no requiere otorgar credenciales de dominio a personas externas, lo que limita el acceso a los recursos necesarios y reduce la probabilidad de acceso privilegiado no autorizado.
Acceso de emergencia a sistemas críticos Bajo ciertas condiciones, se debe otorgar acceso de emergencia a administradores específicos y aún deberá garantizar la supervisión y el registro de toda la actividad privilegiada en sus sistemas. Las soluciones PAM pueden ofrecer un iniciador de aplicaciones seguro que proporciona acceso inmediato a las aplicaciones sin revelar las contraseñas.
Protocolos de autenticación de múltiples factores Incluso con múltiples protocolos de seguridad, todavía existe la posibilidad de que se violen las cuentas privilegiadas. El software PAM puede agregar una capa adicional de seguridad con protocolos de autenticación multifactor (MAP) cuando un usuario solicita acceso. La autenticación OATH y los tokens de propiedad también se pueden integrar como parte del MAP.
Gestión de sesiones Una vez que un usuario ha accedido al sistema, el software PAM puede ayudar en la gestión del flujo de trabajo a través de la automatización de cada paso de aprobación a lo largo de la duración de la sesión. Para cada función de usuario, puede configurar reglas de verificación y, si es necesario, recibir notificaciones para solicitudes de acceso específicas que requieren la aprobación manual de un administrador.
Puntos de acceso móviles Los dispositivos móviles se están convirtiendo en puntos de acceso comunes a los sistemas empresariales. El software PAM puede proporcionar integración con un iniciador de aplicaciones seguro para otorgar acceso a dispositivos remotos.
Auditoría e informes La auditoría de las sesiones privilegiadas es fundamental. Las soluciones PAM pueden proporcionar grabación e informes para una variedad de actividades, incluidas solicitudes de contraseña y grabación de transacciones durante sesiones privilegiadas. Además, el software PAM puede proporcionar docenas de informes críticos, incluidos informes de activos, informes de cumplimiento e informes de actividades privilegiadas.
¿Cómo protege el software PAM a las organizaciones de las amenazas internas?
Las soluciones PAM contienen múltiples funciones para protegerse contra las amenazas internas. Los registros de auditoría y las alertas por correo electrónico mantienen informados a los administradores sobre lo que sucede en el entorno de TI. El monitoreo y registro de sesiones aumenta la visibilidad de la actividad de la cuenta privilegiada. También hay permisos y controles de acceso basados en roles para dar a los usuarios el acceso que necesitan para hacer su trabajo. Por último, pero no menos importante, PAM le permite cortar el acceso que tenían los usuarios en el momento en que abandonan su organización, una acción que un número sorprendente de organizaciones no incluyen en su estrategia PAM.
¿Cómo se implementa PAM?
PAM se puede implementar en las instalaciones, en la nube (también conocido como PAM como servicio) o con un enfoque híbrido. Cada vez más, las soluciones PAM se entregan como un servicio. En el modelo PAMaaS, un proveedor de software PAM administra el alojamiento y las actualizaciones para que pueda evitar los gastos y los recursos de instalar software y mantenerlo actualizado. Las soluciones PAMaaS nativas de la nube también brindan integraciones más estrechas con los recursos de la nube para fortalecer la protección de las cuentas privilegiadas en la nube.
Cómo desarrollar un PAM integral
Preguntas críticas para responder al comenzar
Al igual que cualquier medida de seguridad de TI diseñada para ayudar a proteger los activos de información críticos, la gestión adecuada del acceso privilegiado requiere tanto un plan inicial como un programa continuo. Debe identificar qué cuentas privilegiadas deben ser una prioridad en su organización, así como asegurarse de que las personas responsables de administrar sus cuentas privilegiadas tengan claro su uso aceptable y sus responsabilidades.
Antes de que pueda implementar con éxito una solución de administración de acceso privilegiado, una fase de planificación debe responder varias preguntas clave:
¿Cómo define una cuenta privilegiada para su organización? Mapee qué funciones importantes dependen de los datos, los sistemas y el acceso. Identifique los sistemas importantes que deberían recuperarse primero en caso de una infracción. Luego puede identificar las cuentas privilegiadas para esos sistemas. Clasificar las cuentas privilegiadas en esta etapa es una buena práctica porque ayuda a priorizar las cuentas privilegiadas y facilitará las decisiones a la hora de aplicar controles de seguridad.
¿Quién necesita acceso a sus cuentas privilegiadas? Las cuentas privilegiadas deben clasificarse como: a) humanos, b) aplicaciones y servicios, c) sistemas y d) cuentas de infraestructura, incluidas las cuentas basadas en la nube. Estas clasificaciones determinarán el nivel de interacción y los controles de seguridad que se deben aplicar a cada cuenta privilegiada. Para aplicaciones y sistemas, pregúntese con qué frecuencia se requiere rotar las contraseñas y si la ruta al sistema es estática para poder restringir las direcciones IP que pueden usar las cuentas privilegiadas.
¿Confía en contratistas externos que necesitan acceso? Los contratistas externos que necesitan acceso a cuentas privilegiadas pueden ser uno de los mayores riesgos porque no tiene control total sobre cómo acceden y administran las cuentas privilegiadas. Asegúrese de incluir estos casos de uso en su planificación e identifique cómo se deben crear, controlar y eliminar esas cuentas a medida que se completan los contratos.
¿Establece ventanas de tiempo para el uso de cuentas privilegiadas? Saber cuándo se supone que se deben usar cuentas privilegiadas específicas indica comportamientos normales que le permiten identificar posibles abusos o usos indebidos. Los sistemas de contabilidad, por ejemplo, pueden requerir acceso solo al final del mes o trimestre. Los sistemas de copia de seguridad normalmente se ejecutan en horarios programados. La validación de integridad y el escaneo de vulnerabilidades probablemente seguirán una prueba de penetración programada.
¿Qué sucede si las cuentas privilegiadas se ven comprometidas? Muchas organizaciones no están preparadas cuando se viola una cuenta y, por lo general, simplemente cambian las contraseñas de la cuenta privilegiada o deshabilitan la cuenta privilegiada. Eso no es suficiente. Un completo kit de herramientas de respuesta a incidentes lo ayuda a evitar que un ataque cibernético se convierta en una catástrofe cibernética al garantizar que se aborden áreas clave, como:
Pasos a seguir antes de que ocurra un incidente para asegurarse de que las personas estén preparadas para actuar
Indicadores de compromiso que lo ayudan a descubrir un ataque privilegiado
Acciones a tomar durante cada fase de un incidente para contener el daño
Estrategias que lo ayudan a continuar con las operaciones comerciales normales incluso cuando está bajo ataque
¿Cuál es el riesgo de que una persona interna exponga o abuse de las cuentas privilegiadas? La protección de las cuentas privilegiadas contra el uso indebido o el abuso interno debe centrarse en sus sistemas más críticos. La mayoría de los empleados, por ejemplo, no deberían tener acceso a todos los sistemas críticos al mismo tiempo, incluidos los sistemas de producción, los sistemas de respaldo y los sistemas financieros. Los empleados que cambian de trabajo dentro de su organización no deberían poder mantener el mismo acceso que tenían en sus funciones anteriores.
¿Tiene una política de seguridad de TI que cubra explícitamente la gestión de acceso privilegiado? Si bien muchas empresas cuentan con una política corporativa de TI, muchas aún carecen de un uso aceptable y de las responsabilidades de las cuentas privilegiadas. Cree una política de contraseña de cuenta privilegiada que trate las cuentas privilegiadas por separado definiendo claramente una cuenta privilegiada y detallando las políticas de uso aceptable. Asegúrese de incluir quién es responsable del uso de cuentas privilegiadas.
¿Tiene que cumplir con las regulaciones gubernamentales o de la industria? Si su empresa debe cumplir con ciertas regulaciones de la industria, es fundamental asegurar las cuentas privilegiadas. Muchas organizaciones deben someterse a auditorías internas y externas periódicas para cumplir con las políticas y los requisitos legales. Eso significa demostrar a los auditores que sus cuentas privilegiadas están auditadas, protegidas y controladas.
¿Qué informes espera su CISO sobre el uso y la exposición de cuentas privilegiadas? Discuta con su CISO sus objetivos para un programa PAM y cómo medirá el éxito. Si no puede observar correctamente lo que sucede con sus cuentas privilegiadas, aumenta su riesgo. Si ocurre una infracción, monitorear el uso de cuentas privilegiadas ayuda al análisis forense digital a identificar la causa raíz e identificar los controles críticos que pueden reducir su riesgo de amenazas de seguridad cibernética.
Controles básicos de seguridad PAM
La administración de acceso privilegiado no tiene por qué ser un desafío insuperable. Cualquier organización puede controlar y asegurar sus cuentas privilegiadas (y dificultar el trabajo de un atacante) con estas mejores prácticas:
Aumente la conciencia y empodere a los empleados Con ataques de phishing e ingeniería social más sofisticados, y con más dispositivos personales utilizados con fines comerciales, debe capacitar a los empleados en el comportamiento seguro. Proporcione capacitación en administración de acceso privilegiado a quienes usarán y son responsables de las cuentas privilegiadas. La capacitación de PAM debe enfatizar la importancia crítica de la seguridad de las cuentas privilegiadas e incluir políticas de seguridad de TI específicas para su organización. Asegúrese de obtener la aceptación de su equipo ejecutivo educándolos también.
Escriba una política formal para las cuentas privilegiadas para garantizar la responsabilidad . Base las políticas en la categorización y clasificación de las cuentas privilegiadas específicas de su organización. Confíe en documentos de políticas de seguridad especialmente diseñados; no empieces de cero.
Cambie las ID y contraseñas predeterminadas para muchas cuentas privilegiadas integradas. Esta debería ser una de sus primeras tareas para mejorar la seguridad de PAM. La investigación muestra que una de cada cinco organizaciones nunca ha cambiado las contraseñas predeterminadas, como “admin” o “12345”, en cuentas privilegiadas. Estas credenciales predeterminadas son una prioridad para los piratas informáticos malintencionados porque es muy fácil descifrar sus contraseñas.
Limite el acceso privilegiado a los sistemas Limite el acceso privilegiado a las cuentas a través de una estrategia de privilegios mínimos, lo que significa que los privilegios solo se otorgan en el nivel necesario. Refuerce los privilegios mínimos en las estaciones de trabajo manteniéndolas configuradas con un perfil de usuario estándar y elevando automáticamente sus privilegios para ejecutar solo aplicaciones aprobadas. Para usuarios administradores de TI, controle el acceso e implemente la administración de privilegios de superusuario para sistemas Windows y Unix y recursos en la nube.
No permita que las cuentas privilegiadas se compartan directamente Las credenciales compartidas entre los administradores de TI hacen que sea muy fácil para un atacante escalar permisos y obtener acceso a información confidencial. El acceso privilegiado a la cuenta debe estar limitado por el tiempo, el alcance de los permisos y las aprobaciones necesarias.
Limite las aplicaciones privilegiadas y desconocidas Las aplicaciones deben inventariarse y someterse a una estricta aplicación de políticas para la seguridad de la contraseña, el acceso a la cuenta y la rotación de contraseñas. Las soluciones de control de aplicaciones y privilegios mínimos permiten la elevación sin inconvenientes de aplicaciones confiables y aprobadas, al mismo tiempo que minimizan el riesgo de ejecutar aplicaciones no autorizadas.
Controle la creación de nuevas cuentas privilegiadas con un proceso formal de revisión y aprobación La creación de cualquier nueva cuenta privilegiada debe estar sujeta a revisiones y aprobaciones específicas que involucren una revisión de un supervisor o de un compañero.
Gobierne las cuentas privilegiadas Administre, supervise y controle proactivamente el acceso a las cuentas privilegiadas. Rote, audite, analice y administre la actividad de sesiones privilegiadas. Supervise las cuentas privilegiadas para detectar y responder rápidamente a la actividad maliciosa.
Evalúe sus cuentas con privilegios para establecer las fechas de caducidad adecuadas . Esta política ayuda a evitar lo que se conoce como aumento progresivo del acceso con privilegios, en el que los usuarios acumulan privilegios con el tiempo. Revise y deshabilite las cuentas privilegiadas que no son apropiadas para usuarios específicos, especialmente para las cuentas utilizadas por contratistas externos que ya no se necesitan.
Manténgase alejado de los métodos manuales para PAM Demasiadas organizaciones confían en las hojas de cálculo para realizar un seguimiento de las contraseñas de las cuentas privilegiadas e intentan controlarlas manualmente. Estas prácticas son ineficientes y aumentan su riesgo. A medida que su organización crece, los métodos manuales son imposibles de escalar.
Cómo elegir un socio para su solución PAM
Desea implementar una solución integral de administración de acceso privilegiado con un socio de confianza para ayudarlo a controlar el acceso a los sistemas y datos confidenciales, cumplir con las políticas y regulaciones y, en última instancia, hacer que su organización sea más segura.
Seleccionar la mejor solución de seguridad de cuentas con privilegios para su organización puede ser desalentador. Para simplificar el proceso, concéntrese en algunos requisitos clave:
Solución robusta : ¿El precio incluye todo lo que necesita para gobernar sus cuentas privilegiadas de la manera más adecuada para su organización? No debería tener que navegar por numerosos complementos para cada pequeña característica o pagar más tarde por funciones o servicios adicionales.
Fácil de administrar : ¿El software facilita que un administrador de TI haga su trabajo?
Excelente incorporación de usuarios: una alta tasa de adopción entre los usuarios da como resultado una mejor seguridad en toda su organización.
Valoración rápida : la solución debe ser rápida, eficaz y ayudarlo con el tipo de protección prometida sin necesidad de invertir en servicios prolongados y costosos ni establecer plazos prolongados.
Soporte de primer nivel : los mejores proveedores ofrecen soporte por teléfono, correo electrónico, base de conocimiento y foro en cada etapa, desde la prueba hasta la compra y el uso continuo.
Innovación y actualizaciones frecuentes : los vectores de ataque aumentan constantemente en número y complejidad. La solución que elija debe ser capaz de mantenerse al día.
Escalabilidad : el software debe escalar a medida que crece su organización y se expanden sus necesidades.
Basándose en los conceptos básicos de PAM
Una vez que esté experimentando los beneficios de un sistema de administración de acceso privilegiado, es importante mantenerlo en óptimas condiciones y planificar mejoras continuas.
Audite y analice la actividad de la cuenta privilegiada. La combinación de auditoría y análisis puede reducir el riesgo de su cuenta privilegiada. La auditoría de cuentas privilegiadas le brinda métricas que brindan a los ejecutivos información vital para tomar decisiones más informadas y demostrar el cumplimiento de políticas y regulaciones.
Sigue descubriendo cuentas privilegiadas. Implemente un proceso y herramientas automatizadas para identificar continuamente nuevas cuentas privilegiadas y cambios de cuenta realizados en su red. Es la única forma práctica de mantener la visibilidad y el control necesarios para proteger sus activos de información críticos.
Prevenir la expansión. El gobierno automatizado de la cuenta de servicio evita la expansión de la cuenta de servicio al administrar el ciclo de vida de las cuentas de servicio desde el aprovisionamiento hasta el desmantelamiento.
Integre PAM con otros sistemas de TI y seguridad. Integre PAM en otros sistemas de TI y seguridad de su organización para una estrategia de defensa en profundidad. La integración de PAM como parte de la categoría más amplia de administración de identidad y acceso (IAM) garantiza el control automatizado del aprovisionamiento de usuarios junto con las mejores prácticas de seguridad para proteger todas las identidades de los usuarios. La seguridad PAM también debe integrarse con las soluciones de gestión de eventos e información de seguridad (SIEM). Esto brinda una imagen más inclusiva de los eventos de seguridad que involucran cuentas privilegiadas y brinda a su personal de seguridad de TI una mejor indicación de los problemas de seguridad que deben corregirse o aquellos que requieren un análisis adicional.
PAM también se puede utilizar para mejorar la comprensión de las evaluaciones de vulnerabilidades, el análisis del inventario de la red de TI, la seguridad del entorno virtual y el análisis de la administración y el comportamiento. Al prestar especial atención a la seguridad de las cuentas privilegiadas, puede mejorar toda su seguridad cibernética para salvaguardar su organización de la manera más eficiente y efectiva posible.
Amplíe los directorios existentes, como Active Directory, a Unix/Linux. Aumente la visibilidad de los usuarios y cuentas locales y privilegiados en todos los sistemas operativos y plataformas para simplificar la gestión y la generación de informes.
Próximos pasos para convertirse en un experto en PAM
Ahora que conoce los conceptos básicos de la administración de acceso privilegiado, puede probar una solución PAM por sí mismo. Comience con una prueba gratuita de Delinea Secret Server y vea cómo funciona para usted.
Gestión de acceso privilegiado (PAM)
¿Qué es la gestión de acceso privilegiado?
PAM es una categoría amplia que se refiere a quién puede acceder a una cuenta privilegiada y qué puede hacer una vez que haya iniciado sesión en la red de su organización con esa cuenta privilegiada. PAM incluye administración de cuentas privilegiadas y administración de sesiones privilegiadas.
Esta descripción general aumenta su comprensión de PAM para que pueda sentar las bases de una estrategia integral de administración de acceso privilegiado. Cubriremos:
Lo que un profesional de TI debe saber sobre cómo funcionan las cuentas privilegiadas y los riesgos asociados con su compromiso y uso indebido.
Cómo puede usar este conocimiento para hacer que su organización sea mucho menos vulnerable a posibles daños monetarios y de reputación por amenazas crecientes.
Obtendrá una comprensión práctica de la administración de acceso privilegiado y sus beneficios para su organización. Aprenderá qué son las cuentas privilegiadas, dónde están ubicadas en un entorno de TI y cómo funcionan. Lo que es más importante, comprenderá los riesgos asociados con estas cuentas y aprenderá cómo la implementación de una solución de seguridad de cuenta privilegiada puede protegerlo de amenazas internas y externas maliciosas.
Definiciones clave de administración de acceso privilegiado
Primero, definamos algunos términos clave que necesita saber para comprender PAM.
¿Cuál es la diferencia entre la administración de acceso privilegiado y
la administración de cuentas privilegiadas (ambas llamadas PAM)?
La industria PAM comenzó con las capacidades centrales de la administración de cuentas privilegiadas. La administración de cuentas privilegiadas es el proceso de seguridad de TI que utiliza software y estrategias basadas en políticas para controlar quién puede acceder a sistemas e información confidenciales. Las cuentas privilegiadas se basan en credenciales (contraseñas, claves y secretos) para controlar el acceso. Al crear, almacenar y administrar estas credenciales en una bóveda segura, la administración de cuentas privilegiadas controla el acceso autorizado de un usuario, proceso o computadora a los recursos protegidos en un entorno de TI.
Sin embargo, desde los primeros días de PAM, las estrategias de seguridad privilegiadas se han expandido y la definición común de PAM ha cambiado. Hoy en día, la mayoría de la gente define PAM como gestión de acceso privilegiado. Esta definición de PAM refleja una categoría de seguridad más amplia que la gestión de cuentas privilegiadas. Incluye estrategias de seguridad cibernética para ejercer control sobre accesos y permisos elevados para usuarios, cuentas y procesos. Determina no solo qué personas y sistemas pueden acceder a una cuenta privilegiada, sino también qué pueden hacer una vez que inician sesión.
Además, esta definición de PAM incorpora estrategias que brindan a los equipos de seguridad un control y una supervisión más detallados sobre las acciones realizadas durante las sesiones privilegiadas. Incluye la gestión de contraseñas de cuentas privilegiadas a través de tácticas como la gestión de credenciales, la aplicación de privilegios mínimos y el control de cuentas. Por ejemplo, la aprobación y los flujos de trabajo de acceso privilegiado, la autenticación de dos o varios factores, la supervisión y grabación de sesiones privilegiadas y el inicio remoto son elementos fundamentales de un programa completo de gestión de acceso privilegiado.
¿Cuál es la diferencia entre cuentas de usuario y cuentas privilegiadas?
Hay dos categorías principales de cuentas de TI:
Cuentas de usuario: una cuenta de usuario generalmente representa una identidad humana (como una cuenta de usuario de Active Directory) y tiene una contraseña asociada para proteger la información y evitar que cualquier otra persona acceda sin permiso. Por lo general, hay una sola contraseña de cuenta por usuario que debe ser memorizada por una persona.
Cuentas privilegiadas: las cuentas privilegiadas brindan niveles administrativos o especializados de acceso a sistemas empresariales y datos confidenciales, en función de niveles más altos de permisos. Una cuenta privilegiada se puede asociar con un ser humano o un sistema de TI no humano.
Las organizaciones a menudo tienen de dos a tres veces más cuentas privilegiadas que empleados. En la mayoría de las organizaciones, el personal de TI tiene una cuenta con permisos de nivel estándar y otra cuenta para realizar operaciones que requieren permisos elevados.
¿Para qué se utilizan las cuentas privilegiadas?
Las cuentas privilegiadas son la clave de su reino de TI porque se pueden usar para acceder a un servidor confidencial, ajustar permisos, crear cuentas de puerta trasera o cambiar o eliminar datos críticos.
Las cuentas privilegiadas que necesitan permisos elevados incluyen:
¿Qué son las cuentas de servicio privilegiadas?
Una cuenta de servicio es una categoría especial de cuenta privilegiada que requiere privilegios elevados para ejecutar tareas programadas, trabajos por lotes, grupos de aplicaciones dentro de IIS y más en una red compleja de bases de datos, aplicaciones y sistemas de archivos. Cientos o miles de servicios dependen de cuentas privilegiadas para ejecutar procesos de TI críticos. Como tal, las cuentas de servicio se encuentran entre las cuentas privilegiadas de mayor riesgo.
Desafortunadamente, las cuentas de servicio también suelen ser los tipos de cuentas privilegiadas más mal utilizadas. Para mantener los sistemas en funcionamiento y evitar el tiempo de inactividad, a menudo se configuran con niveles de privilegios innecesariamente altos. Sin dueños humanos, a menudo carecen de supervisión. Como resultado, las contraseñas de las cuentas de servicio no se rotan, las fechas de vencimiento pasan o nunca se establecen, y las cuentas nunca se dan de baja. Estas prácticas comunes crean una vulnerabilidad peligrosa para cualquier organización, abriendo la puerta a los ataques cibernéticos.
¿Quién usa las cuentas privilegiadas y dónde se ubican las cuentas privilegiadas?
El usuario típico de una cuenta privilegiada es un administrador del sistema (sysadmin) responsable de administrar un entorno, o un administrador de TI de software o hardware específico. Necesitan privilegios elevados para:
Los administradores de sistemas utilizan las cuentas con privilegios para implementar y mantener los sistemas de TI, por lo que existen en casi todos los dispositivos, servidores, bases de datos y aplicaciones conectados. Las cuentas privilegiadas se extienden mucho más allá de la infraestructura empresarial local o basada en la nube de una organización para incluir cuentas de marketing, ventas, finanzas y redes sociales administradas por empleados. Por lo tanto, es importante que incluso las pequeñas y medianas empresas cuenten con un proceso eficiente de administración de cuentas privilegiadas.
¿Cuál es la diferencia entre la gestión de acceso e identidad (IAM)
y la gestión de acceso privilegiado?
El dominio de la gestión de acceso privilegiado se acepta generalmente como parte del alcance más amplio de la gestión de identidad y acceso (IAM). Sin embargo, la identidad y el privilegio están inextricablemente vinculados y, a medida que las herramientas y las soluciones se vuelven más sofisticadas, las líneas siguen desdibujándose.
La identidad se refiere a las personas. Usted, su jefe, el administrador de TI y la persona de recursos humanos son solo algunos ejemplos de personas que pueden ser responsables de crear, actualizar o incluso eliminar atributos. El objetivo central de IAM es tener una identidad digital por individuo. Una vez que se ha establecido esa identidad digital, debe mantenerse, modificarse y monitorearse.
La administración de acceso privilegiado es parte de IAM y ayuda a administrar los derechos, no solo de usuarios individuales, sino también de cuentas compartidas, como superusuarios, cuentas administrativas y de servicio. Una herramienta PAM, a diferencia de las herramientas IAM o los administradores de contraseñas, protege y administra todo tipo de cuentas privilegiadas. Una solución madura de gestión de acceso privilegiado va incluso más allá de la simple generación de contraseñas y el control de acceso a sistemas individuales. También proporciona una plataforma unificada, robusta y, lo que es más importante, transparente que se integra en la estrategia general de administración de acceso e identidad (IAM) de una organización.
Riesgos y vulnerabilidades relacionados con las cuentas privilegiadas
¿Cuáles son los riesgos asociados con las cuentas privilegiadas no administradas?
Muchas infracciones de alto perfil tienen una cosa en común: se lograron mediante el compromiso de credenciales privilegiadas. Los analistas de la industria estiman que hasta el 80 % de todas las infracciones de seguridad involucran el compromiso de cuentas privilegiadas.
A pesar del riesgo, los métodos tradicionales de identificación y administración de cuentas privilegiadas aún se basan en tareas manuales que consumen mucho tiempo y que se realizan de manera poco frecuente o ad hoc. Incluso en los entornos de TI más sofisticados, las cuentas privilegiadas se administran con demasiada frecuencia mediante el uso de contraseñas comunes en múltiples sistemas, el intercambio no autorizado de credenciales y contraseñas predeterminadas que nunca se cambian, lo que las convierte en objetivos principales para los ataques.
Estas prácticas pueden comprometer fácilmente la seguridad porque, para la mayoría de los atacantes, hacerse cargo de las cuentas de usuario de bajo nivel es solo el primer paso. Su objetivo real es apoderarse de las cuentas privilegiadas para que puedan escalar su acceso a aplicaciones, datos y funciones administrativas clave. Por ejemplo, en muchos casos, las cuentas de dominio local en los dispositivos de los usuarios finales se piratean inicialmente mediante diversas técnicas de ingeniería social. Luego, los ataques se intensifican para obtener acceso a más sistemas.
Prácticamente todas las organizaciones tienen algunas cuentas privilegiadas desconocidas o no administradas, lo que aumenta su riesgo. Algunos tienen miles. Esto puede suceder por varias razones:
Cada cuenta privilegiada desconocida o no administrada aumenta la vulnerabilidad de su organización y presenta una oportunidad para una intrusión. Un empleado puede acceder a él para realizar tareas no autorizadas, de forma intencionada o no, infringiendo las normas de cumplimiento y aumentando su responsabilidad. Un ex empleado descontento que conserva el acceso privilegiado puede causar daño.
Un ciberdelincuente puede encontrar la cuenta y penetrar en su organización, robar información y causar estragos incalculables.
Si se usa una sola cuenta privilegiada en toda su organización para ejecutar muchos servicios o aplicaciones, cuando se viola esa cuenta, su riesgo aumenta exponencialmente. En ese caso, solo se necesita una cuenta privilegiada comprometida para que un atacante obtenga acceso a prácticamente cualquier información dentro de la red de TI de su organización.
¿Cómo aumenta la nube el riesgo de un ataque a una cuenta privilegiada?
A medida que las empresas migran a la nube, se expande la diversidad de casos de uso de administración de acceso privilegiado. En un modelo de nube, administrar el acceso privilegiado a las cargas de trabajo, los servicios y las aplicaciones sigue siendo su responsabilidad, no la de los proveedores de la nube. También es su responsabilidad asegurarse de que los datos que van y vienen de la nube (a través de navegadores web, correo electrónico, intercambios de archivos como SFTP, API, productos SaaS y protocolos de transmisión) estén debidamente protegidos.
Desafortunadamente, muchas organizaciones no implementan ni hacen cumplir adecuadamente las políticas para controlar el acceso privilegiado. El desafío no está en la seguridad de la nube en sí, sino en las políticas y tecnologías que controlan el acceso, las identidades y los privilegios. En casi todos los casos, es el usuario, no el proveedor de la nube, quien no logra administrar los controles. Según Gartner, hasta 2023, al menos el 99 % de las fallas de seguridad en la nube serán culpa del cliente, y el 50 % de los problemas se atribuirán al acceso inadecuado, la identidad y la administración privilegiada.
¿Sus casos de uso de la nube incluyen infraestructura, desarrollo de aplicaciones y automatización de procesos comerciales?
Como parte de su estrategia de administración de acceso privilegiado, debe proteger las credenciales privilegiadas utilizadas para acceder y administrar sus recursos en la nube .
¿Cómo comprometen los ciberdelincuentes las cuentas privilegiadas?
Hemos discutido la importancia de las cuentas privilegiadas, el papel central que juegan las cuentas privilegiadas en la administración de sistemas, infraestructura y aplicaciones, y los riesgos asociados con la pérdida de control de las cuentas privilegiadas. A continuación, es importante comprender los trucos y las técnicas que utilizan los ciberdelincuentes para arrebatar el control de estas cuentas. En la siguiente sección, analizaremos qué se puede hacer para proteger las cuentas con privilegios.
El camino para comprometer una cuenta privilegiada a menudo sigue una variación de este patrón:
Prevención de ataques a cuentas privilegiadas con PAM
¿Cómo PAM reduce el riesgo de un ataque a una cuenta privilegiada?
El objetivo general al diseñar su proceso de administración de acceso privilegiado e implementar soluciones es dotar a los profesionales de TI y seguridad con las herramientas que necesitan para controlar el acceso dentro de su entorno corporativo, reduciendo así la superficie de ataque al limitar el acceso y el comportamiento privilegiados. En última instancia, al implementar una solución PAM junto con otras prácticas recomendadas de seguridad de TI, puede contener daños potenciales relacionados con ataques que se originan fuera de su organización, o instigados internamente, independientemente de si una acción se debe a malicia intencional o incompetencia inadvertida.
¿Por qué es tan difícil prevenir ataques utilizando
herramientas de seguridad perimetral o de red?
Muchas organizaciones intentan proteger su información con herramientas perimetrales de seguridad tradicionales, como firewalls, antivirus y soluciones de detección de intrusos. Pero con las tecnologías móviles, de nube y de virtualización que evolucionan rápidamente, ya no es suficiente construir una cerca o un foso alrededor de los activos críticos. De hecho, es imposible.
En el lugar de trabajo digital, las personas comparten información constantemente y están expuestas a ingeniería social y ataques de phishing selectivo dirigidos a obtener contraseñas y credenciales. Cuando se roban las identidades, los atacantes pueden eludir fácilmente el perímetro de seguridad tradicional sin ser detectados y escalar la explotación de cuentas privilegiadas.
La piratería de credenciales privilegiadas puede significar la diferencia entre una simple infracción y una que podría conducir a una catástrofe cibernética. Por lo tanto, el “nuevo perímetro de seguridad cibernética” debe enfocarse en proteger el acceso de empleados, contratistas, socios externos, servicios y sistemas en la nube.
¿Cuáles son las 10 capacidades principales del software PAM
que frustran a los piratas informáticos maliciosos y otras amenazas externas?
Las soluciones PAM de nivel empresarial emplean numerosas funciones para bloquear el acceso privilegiado y frustrar los ataques cibernéticos. Pueden descubrir cuentas privilegiadas en toda su organización e importarlas a un repositorio seguro y encriptado: una bóveda de contraseñas. Una vez que todas las credenciales privilegiadas están dentro, la solución PAM puede administrar sesiones, contraseñas y accesos automáticamente. Combine todo esto con características como ocultar contraseñas de ciertos usuarios, rotación automática de contraseñas, sesiones de grabación, auditoría y autenticación multifactor y tendrá una defensa sólida contra amenazas externas. Aquí hay 10 capacidades importantes del software PAM:
de contraseñas Las fugas de contraseñas y las filtraciones de datos son una parte cada vez mayor del mundo de TI. La reutilización de contraseñas aumenta la probabilidad de que un sistema y sus datos se vean comprometidos. El principal método de seguridad proporcionado por una solución de administración de acceso privilegiado es la bóveda de contraseñas, donde las contraseñas se almacenan en una ubicación central altamente segura y protegida por un cifrado fuerte. Esto asegura un acceso extremadamente limitado a todas las contraseñas.
Con PAM, puede generar valores de contraseña aleatorios o simplemente rotar la contraseña actual. Esto puede hacerlo manualmente una persona con una función de gestión de contraseñas asignada o como una función automatizada del sistema PAM. Cada vez que un usuario solicita acceso, el sistema PAM puede generar automáticamente una nueva contraseña para evitar la reutilización o la fuga de contraseñas, al tiempo que garantiza una coincidencia entre las credenciales actuales y los sistemas de destino.
Para escalar los sistemas de TI mientras se administran los costos, la administración eficaz de los sistemas requiere cada vez más un alto grado de automatización. Los sistemas PAM pueden realizar automáticamente tareas repetitivas relacionadas con contraseñas y también pueden alertar a los administradores sobre una variedad de condiciones de acceso privilegiado, como intentos fallidos de contraseña, solicitudes de contraseña y transacciones de aplicaciones web.
se pueden diseñar con salvaguardas de conmutación por error para garantizar que ningún punto único de falla pueda evitar el acceso crítico a los sistemas durante una falla generalizada del sistema o de la red.
El personal de terceros puede necesitar acceso continuo a los sistemas (a diferencia del acceso único de emergencia que se describe a continuación). El software PAM puede proporcionar acceso basado en roles que no requiere otorgar credenciales de dominio a personas externas, lo que limita el acceso a los recursos necesarios y reduce la probabilidad de acceso privilegiado no autorizado.
Bajo ciertas condiciones, se debe otorgar acceso de emergencia a administradores específicos y aún deberá garantizar la supervisión y el registro de toda la actividad privilegiada en sus sistemas. Las soluciones PAM pueden ofrecer un iniciador de aplicaciones seguro que proporciona acceso inmediato a las aplicaciones sin revelar las contraseñas.
Incluso con múltiples protocolos de seguridad, todavía existe la posibilidad de que se violen las cuentas privilegiadas. El software PAM puede agregar una capa adicional de seguridad con protocolos de autenticación multifactor (MAP) cuando un usuario solicita acceso. La autenticación OATH y los tokens de propiedad también se pueden integrar como parte del MAP.
Una vez que un usuario ha accedido al sistema, el software PAM puede ayudar en la gestión del flujo de trabajo a través de la automatización de cada paso de aprobación a lo largo de la duración de la sesión. Para cada función de usuario, puede configurar reglas de verificación y, si es necesario, recibir notificaciones para solicitudes de acceso específicas que requieren la aprobación manual de un administrador.
móviles Los dispositivos móviles se están convirtiendo en puntos de acceso comunes a los sistemas empresariales. El software PAM puede proporcionar integración con un iniciador de aplicaciones seguro para otorgar acceso a dispositivos remotos.
La auditoría de las sesiones privilegiadas es fundamental. Las soluciones PAM pueden proporcionar grabación e informes para una variedad de actividades, incluidas solicitudes de contraseña y grabación de transacciones durante sesiones privilegiadas. Además, el software PAM puede proporcionar docenas de informes críticos, incluidos informes de activos, informes de cumplimiento e informes de actividades privilegiadas.
¿Cómo protege el software PAM a las organizaciones de las amenazas internas?
Las soluciones PAM contienen múltiples funciones para protegerse contra las amenazas internas. Los registros de auditoría y las alertas por correo electrónico mantienen informados a los administradores sobre lo que sucede en el entorno de TI. El monitoreo y registro de sesiones aumenta la visibilidad de la actividad de la cuenta privilegiada. También hay permisos y controles de acceso basados en roles para dar a los usuarios el acceso que necesitan para hacer su trabajo. Por último, pero no menos importante, PAM le permite cortar el acceso que tenían los usuarios en el momento en que abandonan su organización, una acción que un número sorprendente de organizaciones no incluyen en su estrategia PAM.
¿Cómo se implementa PAM?
PAM se puede implementar en las instalaciones, en la nube (también conocido como PAM como servicio) o con un enfoque híbrido. Cada vez más, las soluciones PAM se entregan como un servicio. En el modelo PAMaaS, un proveedor de software PAM administra el alojamiento y las actualizaciones para que pueda evitar los gastos y los recursos de instalar software y mantenerlo actualizado. Las soluciones PAMaaS nativas de la nube también brindan integraciones más estrechas con los recursos de la nube para fortalecer la protección de las cuentas privilegiadas en la nube.
Cómo desarrollar un PAM integral
Preguntas críticas para responder al comenzar
Al igual que cualquier medida de seguridad de TI diseñada para ayudar a proteger los activos de información críticos, la gestión adecuada del acceso privilegiado requiere tanto un plan inicial como un programa continuo. Debe identificar qué cuentas privilegiadas deben ser una prioridad en su organización, así como asegurarse de que las personas responsables de administrar sus cuentas privilegiadas tengan claro su uso aceptable y sus responsabilidades.
Antes de que pueda implementar con éxito una solución de administración de acceso privilegiado, una fase de planificación debe responder varias preguntas clave:
Mapee qué funciones importantes dependen de los datos, los sistemas y el acceso. Identifique los sistemas importantes que deberían recuperarse primero en caso de una infracción. Luego puede identificar las cuentas privilegiadas para esos sistemas. Clasificar las cuentas privilegiadas en esta etapa es una buena práctica porque ayuda a priorizar las cuentas privilegiadas y facilitará las decisiones a la hora de aplicar controles de seguridad.
Las cuentas privilegiadas deben clasificarse como: a) humanos, b) aplicaciones y servicios, c) sistemas y d) cuentas de infraestructura, incluidas las cuentas basadas en la nube. Estas clasificaciones determinarán el nivel de interacción y los controles de seguridad que se deben aplicar a cada cuenta privilegiada. Para aplicaciones y sistemas, pregúntese con qué frecuencia se requiere rotar las contraseñas y si la ruta al sistema es estática para poder restringir las direcciones IP que pueden usar las cuentas privilegiadas.
Los contratistas externos que necesitan acceso a cuentas privilegiadas pueden ser uno de los mayores riesgos porque no tiene control total sobre cómo acceden y administran las cuentas privilegiadas. Asegúrese de incluir estos casos de uso en su planificación e identifique cómo se deben crear, controlar y eliminar esas cuentas a medida que se completan los contratos.
Saber cuándo se supone que se deben usar cuentas privilegiadas específicas indica comportamientos normales que le permiten identificar posibles abusos o usos indebidos. Los sistemas de contabilidad, por ejemplo, pueden requerir acceso solo al final del mes o trimestre. Los sistemas de copia de seguridad normalmente se ejecutan en horarios programados. La validación de integridad y el escaneo de vulnerabilidades probablemente seguirán una prueba de penetración programada.
Muchas organizaciones no están preparadas cuando se viola una cuenta y, por lo general, simplemente cambian las contraseñas de la cuenta privilegiada o deshabilitan la cuenta privilegiada. Eso no es suficiente. Un completo kit de herramientas de respuesta a incidentes lo ayuda a evitar que un ataque cibernético se convierta en una catástrofe cibernética al garantizar que se aborden áreas clave, como:
La protección de las cuentas privilegiadas contra el uso indebido o el abuso interno debe centrarse en sus sistemas más críticos. La mayoría de los empleados, por ejemplo, no deberían tener acceso a todos los sistemas críticos al mismo tiempo, incluidos los sistemas de producción, los sistemas de respaldo y los sistemas financieros. Los empleados que cambian de trabajo dentro de su organización no deberían poder mantener el mismo acceso que tenían en sus funciones anteriores.
Si bien muchas empresas cuentan con una política corporativa de TI, muchas aún carecen de un uso aceptable y de las responsabilidades de las cuentas privilegiadas. Cree una política de contraseña de cuenta privilegiada que trate las cuentas privilegiadas por separado definiendo claramente una cuenta privilegiada y detallando las políticas de uso aceptable. Asegúrese de incluir quién es responsable del uso de cuentas privilegiadas.
Si su empresa debe cumplir con ciertas regulaciones de la industria, es fundamental asegurar las cuentas privilegiadas. Muchas organizaciones deben someterse a auditorías internas y externas periódicas para cumplir con las políticas y los requisitos legales. Eso significa demostrar a los auditores que sus cuentas privilegiadas están auditadas, protegidas y controladas.
Discuta con su CISO sus objetivos para un programa PAM y cómo medirá el éxito. Si no puede observar correctamente lo que sucede con sus cuentas privilegiadas, aumenta su riesgo. Si ocurre una infracción, monitorear el uso de cuentas privilegiadas ayuda al análisis forense digital a identificar la causa raíz e identificar los controles críticos que pueden reducir su riesgo de amenazas de seguridad cibernética.
Controles básicos de seguridad PAM
La administración de acceso privilegiado no tiene por qué ser un desafío insuperable. Cualquier organización puede controlar y asegurar sus cuentas privilegiadas (y dificultar el trabajo de un atacante) con estas mejores prácticas:
Con ataques de phishing e ingeniería social más sofisticados, y con más dispositivos personales utilizados con fines comerciales, debe capacitar a los empleados en el comportamiento seguro. Proporcione capacitación en administración de acceso privilegiado a quienes usarán y son responsables de las cuentas privilegiadas. La capacitación de PAM debe enfatizar la importancia crítica de la seguridad de las cuentas privilegiadas e incluir políticas de seguridad de TI específicas para su organización. Asegúrese de obtener la aceptación de su equipo ejecutivo educándolos también.
. Base las políticas en la categorización y clasificación de las cuentas privilegiadas específicas de su organización. Confíe en documentos de políticas de seguridad especialmente diseñados; no empieces de cero.
Esta debería ser una de sus primeras tareas para mejorar la seguridad de PAM. La investigación muestra que una de cada cinco organizaciones nunca ha cambiado las contraseñas predeterminadas, como “admin” o “12345”, en cuentas privilegiadas. Estas credenciales predeterminadas son una prioridad para los piratas informáticos malintencionados porque es muy fácil descifrar sus contraseñas.
Limite el acceso privilegiado a las cuentas a través de una estrategia de privilegios mínimos, lo que significa que los privilegios solo se otorgan en el nivel necesario. Refuerce los privilegios mínimos en las estaciones de trabajo manteniéndolas configuradas con un perfil de usuario estándar y elevando automáticamente sus privilegios para ejecutar solo aplicaciones aprobadas. Para usuarios administradores de TI, controle el acceso e implemente la administración de privilegios de superusuario para sistemas Windows y Unix y recursos en la nube.
Las credenciales compartidas entre los administradores de TI hacen que sea muy fácil para un atacante escalar permisos y obtener acceso a información confidencial. El acceso privilegiado a la cuenta debe estar limitado por el tiempo, el alcance de los permisos y las aprobaciones necesarias.
deben inventariarse y someterse a una estricta aplicación de políticas para la seguridad de la contraseña, el acceso a la cuenta y la rotación de contraseñas. Las soluciones de control de aplicaciones y privilegios mínimos permiten la elevación sin inconvenientes de aplicaciones confiables y aprobadas, al mismo tiempo que minimizan el riesgo de ejecutar aplicaciones no autorizadas.
La creación de cualquier nueva cuenta privilegiada debe estar sujeta a revisiones y aprobaciones específicas que involucren una revisión de un supervisor o de un compañero.
Administre, supervise y controle proactivamente el acceso a las cuentas privilegiadas. Rote, audite, analice y administre la actividad de sesiones privilegiadas. Supervise las cuentas privilegiadas para detectar y responder rápidamente a la actividad maliciosa.
. Esta política ayuda a evitar lo que se conoce como aumento progresivo del acceso con privilegios, en el que los usuarios acumulan privilegios con el tiempo. Revise y deshabilite las cuentas privilegiadas que no son apropiadas para usuarios específicos, especialmente para las cuentas utilizadas por contratistas externos que ya no se necesitan.
Demasiadas organizaciones confían en las hojas de cálculo para realizar un seguimiento de las contraseñas de las cuentas privilegiadas e intentan controlarlas manualmente. Estas prácticas son ineficientes y aumentan su riesgo. A medida que su organización crece, los métodos manuales son imposibles de escalar.
Cómo elegir un socio para su solución PAM
Desea implementar una solución integral de administración de acceso privilegiado con un socio de confianza para ayudarlo a controlar el acceso a los sistemas y datos confidenciales, cumplir con las políticas y regulaciones y, en última instancia, hacer que su organización sea más segura.
Seleccionar la mejor solución de seguridad de cuentas con privilegios para su organización puede ser desalentador. Para simplificar el proceso, concéntrese en algunos requisitos clave:
Basándose en los conceptos básicos de PAM
Una vez que esté experimentando los beneficios de un sistema de administración de acceso privilegiado, es importante mantenerlo en óptimas condiciones y planificar mejoras continuas.
Audite y analice la actividad de la cuenta privilegiada. La combinación de auditoría y análisis puede reducir el riesgo de su cuenta privilegiada. La auditoría de cuentas privilegiadas le brinda métricas que brindan a los ejecutivos información vital para tomar decisiones más informadas y demostrar el cumplimiento de políticas y regulaciones.
Sigue descubriendo cuentas privilegiadas. Implemente un proceso y herramientas automatizadas para identificar continuamente nuevas cuentas privilegiadas y cambios de cuenta realizados en su red. Es la única forma práctica de mantener la visibilidad y el control necesarios para proteger sus activos de información críticos.
Prevenir la expansión. El gobierno automatizado de la cuenta de servicio evita la expansión de la cuenta de servicio al administrar el ciclo de vida de las cuentas de servicio desde el aprovisionamiento hasta el desmantelamiento.
Integre PAM con otros sistemas de TI y seguridad. Integre PAM en otros sistemas de TI y seguridad de su organización para una estrategia de defensa en profundidad. La integración de PAM como parte de la categoría más amplia de administración de identidad y acceso (IAM) garantiza el control automatizado del aprovisionamiento de usuarios junto con las mejores prácticas de seguridad para proteger todas las identidades de los usuarios. La seguridad PAM también debe integrarse con las soluciones de gestión de eventos e información de seguridad (SIEM). Esto brinda una imagen más inclusiva de los eventos de seguridad que involucran cuentas privilegiadas y brinda a su personal de seguridad de TI una mejor indicación de los problemas de seguridad que deben corregirse o aquellos que requieren un análisis adicional.
PAM también se puede utilizar para mejorar la comprensión de las evaluaciones de vulnerabilidades, el análisis del inventario de la red de TI, la seguridad del entorno virtual y el análisis de la administración y el comportamiento. Al prestar especial atención a la seguridad de las cuentas privilegiadas, puede mejorar toda su seguridad cibernética para salvaguardar su organización de la manera más eficiente y efectiva posible.
Amplíe los directorios existentes, como Active Directory, a Unix/Linux. Aumente la visibilidad de los usuarios y cuentas locales y privilegiados en todos los sistemas operativos y plataformas para simplificar la gestión y la generación de informes.
Próximos pasos para convertirse en un experto en PAM
Ahora que conoce los conceptos básicos de la administración de acceso privilegiado, puede probar una solución PAM por sí mismo. Comience con una prueba gratuita de Delinea Secret Server y vea cómo funciona para usted.
Categorías
Buscar