¿Qué es la gestión de acceso privilegiado?

Cualquier organización funciona como una máquina bien engrasada cuando todas estas diferentes partes de una organización trabajan en conjunto entre sí. Todos los individuos, servidores, aplicaciones y otros elementos similares tienen un papel específico que desempeñar. Sin embargo, algunos roles constan de capacidades elevadas. Estos son usuarios privilegiados que tienen accesos especiales que no se proporcionan a un usuario estándar.

Las cuentas privilegiadas son usuarios, aplicaciones y otras identidades no humanas que llevan a cabo varias tareas y tienen ciertas responsabilidades que eluden otras operaciones. Algunos ejemplos incluyen cuentas que tienen la capacidad de configurar cuentas y redes, aprobar accesos a aplicaciones confidenciales, cuentas de administrador del sistema, cuentas con acceso a datos que están bajo estrictas regulaciones como PII, cuentas raíz, cuentas de administración de redes sociales corporativas y muchos más.

Un rasgo común en todas estas cuentas es que tienen accesos que son extremadamente valiosos para el buen funcionamiento de una organización.

Sin embargo, a pesar de la naturaleza sensible de estos accesos, normalmente no están tan bien protegidos como cabría esperar. Estos son los problemas más comunes con las cuentas privilegiadas:

1. Se crean demasiadas cuentas privilegiadas con el tiempo y, a menudo, se olvidan. Estas son puertas traseras que esperan ser explotadas por malos actores.

2. Varios usuarios comparten una cuenta común. Las credenciales compartidas crean un problema de falta de responsabilidad sobre quién ha accedido a qué. Podría dar lugar a una mayor probabilidad de que se vulnere una cuenta, ya que está abierta a varios usuarios al mismo tiempo.

3. El aprovisionamiento manual de cuentas privilegiadas conduce a problemas de proporcionar acceso privilegiado de forma ad-hoc. Esto puede crear una gran cantidad de usuarios no contabilizados que tienen acceso privilegiado.

4. Políticas deficientes de contraseñas para cuentas privilegiadas. A menudo, estas cuentas se utilizan con contraseñas predeterminadas durante mucho tiempo. No se modifican con regularidad ni se protegen con estrictas políticas de autenticación. Esto podría provocar muchos contratiempos. Teniendo en cuenta la cantidad de contraseñas disponibles en la web oscura hoy en día, métodos como el relleno de credenciales podrían ser suficientes para abrir esas cuentas privilegiadas.

5. Algunas cuentas privilegiadas también son demasiado restrictivas, lo que dificulta el acceso a aplicaciones cruciales. En lugar de hacer que las cuentas privilegiadas sean seguras, a veces las organizaciones tienden a hacer que sea demasiado estricto acceder a ellas con varias capas de aprobadores y procesos. Aunque mantener la seguridad es imperativo, la facilidad de uso también es esencial. Encontrar un equilibrio entre seguridad y productividad es fundamental para estas cuentas.

6. Falta de transparencia o gobernanza de cuentas. En la mayoría de las organizaciones, las cuentas privilegiadas no se controlan. No hay forma de entender quién accedió a qué y cuándo, cómo accedió, cuántos intentos hicieron para autenticarse, cuánto tiempo permanecieron conectados, a cuántos recursos accedieron, etc. Estas preguntas son cruciales para comprender qué tan seguros están sus recursos y para garantizar un enfoque proactivo de la seguridad.

7. Sin pistas de auditoría. La falta de capacidades de administración y monitoreo de sesiones a menudo deja a las organizaciones en busca de datos durante las auditorías. A menudo tienen dificultades para proporcionar un informe detallado de los accesos y recursos.

8. Cuentas de administrador predeterminadas en todos los dispositivos. En la mayoría de los dispositivos, existe una cuenta de administrador local que nunca se elimina. Si tal dispositivo es pirateado a través de intentos de ingeniería social, el mal actor podría moverse lateralmente en la red y obtener acceso a las cuentas de administrador.

9. La llegada de la nube también hace que las cuentas privilegiadas sean aún más vulnerables. Las organizaciones ahora tienen que administrar varias cargas de trabajo más.

¿Cómo se vulneran las cuentas privilegiadas?

"Se necesitan 20 años para construir una reputación y pocos minutos de ciberincidentes para arruinarla". - Stéphane Nappo, director global de seguridad de la información de Société Générale International Banking.

Ésta es de hecho la verdad. Con la llegada del trabajo remoto y el cambio digital debido a COVID-19 en 2020, la superficie de ataque de los malos actores ha aumentado significativamente. El 56% de las organizaciones que trabajan de forma remota experimentaron el robo de credenciales y el 48% experimentó la ingeniería social, como el phishing, según un informe de Kaspersky. Estas son las mayores amenazas para las cuentas privilegiadas, así como para la seguridad general de una organización.

Hay varios escenarios en los que esto podría provocar un gran daño financiero y de reputación.

Imagine que los usuarios tienen acceso a varias cuentas privilegiadas. Si no son lo suficientemente cuidadosos, es posible que incluso tengan contraseñas comunes para todas estas cuentas privilegiadas. Un día reciben un correo electrónico que parece ser de su gerente. No saben que este correo electrónico es un intento de suplantación de identidad y no de la persona en cuestión. La identificación y el nombre de correo electrónico solo imitan la identificación original. Los usuarios completan un formulario como se menciona en un correo electrónico que requiere que inicien sesión en algunas cuentas. Ahora han regalado libremente credenciales cruciales a los malos actores. La cantidad de daño que puede causar este incidente es inimaginable.

Los malos actores incluso podrían obtener acceso a las credenciales de un usuario, usar métodos como un ataque man-in-the-middle para adquirir credenciales privilegiadas. Permanecen en la red el tiempo suficiente para comprender a los equipos de TI y trabajar de manera que eviten las sospechas y, sin embargo, causen estragos sin dejar rastro.

La necesidad de una gestión de acceso privilegiado

La administración de acceso privilegiado garantiza que todas las lagunas anteriores se aborden de manera eficiente. Con una solución PAM, las cuentas se administran desde un lugar seguro centralizado. Los accesos se proporcionan sobre la base de privilegios mínimos, que son solo los necesarios para un usuario.

Una investigación reveló que hasta el 44% de los profesionales de la seguridad creen que la solución de administración de identidades y accesos solucionará sus brechas de seguridad.

Una solución PAM en una organización puede marcar la diferencia entre que las organizaciones se mantengan seguras y sean violadas de las siguientes maneras:

1. Guarda las credenciales en una bóveda de alta seguridad. Estas bóvedas de contraseñas están protegidas por métodos de cifrado de alta gama. Esto asegura que las contraseñas nunca se vean comprometidas, alivia a los usuarios de recordar contraseñas complejas, impidiendo que reutilicen contraseñas comunes.

2. Automatiza procesos como la rotación de contraseñas. Las soluciones PAM ofrecen la opción de rotación de contraseñas que ocurre periódicamente o cada vez que alguien accede a una aplicación usando una credencial. Esto elimina por completo la posibilidad de robar credenciales, ya que la contraseña una vez utilizada no funcionará la próxima vez.

3. Aplica el mínimo privilegio en todas las cuentas. El privilegio mínimo garantiza que incluso los usuarios privilegiados tengan acceso solo a datos limitados. Los factores de su uso de privilegios pueden basarse en su función, antigüedad, datos a los que se accede, etc. Limita su acceso sin obstaculizar lo que necesitan para llevar a cabo sus responsabilidades sin problemas.

4. Capacidades de administración de sesiones que brindan información detallada sobre las actividades del usuario privilegiado. Esto monitorea todas las actividades de un usuario privilegiado y también puede notificar a las personas interesadas sobre cualquier posible actividad que parezca posiblemente peligrosa para la organización, como información sobre quién inició sesión y cuándo, así como detalles granulares de lo que se accedió.

5. Informes de auditoría de cuentas privilegiadas. Los organismos reguladores y de cumplimiento en las industrias de la atención médica, la banca, la fabricación, la educación y más garantizan que se siga un determinado estándar. También tienen varias políticas para cuentas privilegiadas. Con una solución PAM implementada, cumplir con las regulaciones no será un desafío.

6. La justificación comercial para el uso de cuentas privilegiadas. Agregar contexto a los accesos es clave en el panorama de amenazas actual. Por lo tanto, se pueden realizar personalizaciones para varias aplicaciones solicitando al usuario una justificación comercial para acceder a cuentas privilegiadas. El revisor puede entonces tomar una decisión informada.

7. Un lugar para monitorear todas las cuentas privilegiadas en lugar de diferentes silos de accesos en una organización. A medida que una organización crece, es importante tener una vista optimizada de todos los accesos. Se vuelve aún más crucial cuando se trata de cuentas privilegiadas. Gestionarlos en una única solución PAM puede aliviar el estrés de examinar los accesos y tener todos los datos en un único lugar seguro.

PAM dentro de la solución de gestión de acceso e identidad

Mientras que PAM se ocupa específicamente de las cuentas privilegiadas, la gestión de identidades y accesos se ocupa de todos los usuarios e identidades de una organización. Pueden ser diferentes en lo que protegen, pero en el panorama general, PAM junto con IAM ofrece una seguridad integral, ya que comprende la administración de acceso y el gobierno y administración de identidades.

A continuación, se muestran algunos escenarios:

• A pesar de la eficiencia de PAM, las organizaciones aún necesitan capas adicionales de seguridad. Por lo tanto, varias aplicaciones, según el criterio del administrador, se pueden personalizar para tener autenticación multifactor. Esto eleva la seguridad de los accesos, asegurando que solo los usuarios con la capacidad de autenticarse correctamente contra todos los factores definidos tengan acceso.

• Varias veces, también se proporcionan accesos privilegiados en caso de emergencia. En una organización grande, esto puede llevar a proporcionar aplicaciones a los usuarios que pueden estar en conflicto. Por ejemplo, si un administrador es responsable de operar el firewall, tampoco puede ser el que proporcione acceso al firewall. No pueden tener dos accesos que se aprueben entre sí. A esto se le llama separación de funciones. Los controles de SoD se pueden proporcionar de manera eficiente en una solución de administración de identidades y accesos.

• Identity Analytics también juega un papel muy importante a la hora de garantizar la seguridad de las cuentas PAM. Con la combinación de aprendizaje automático, informes inteligentes y SIEM, se pueden neutralizar varias amenazas antes de que se produzca la infracción. Esto permite un enfoque proactivo de la seguridad.

Gestión de acceso privilegiado justo a tiempo

La gestión de identidades y accesos mejora enormemente la eficiencia de PAM con su amplio conjunto de funcionalidades. Just in Time for PAM es otra forma de administrar cuentas en PAM para garantizar la seguridad constantemente. Aquí, los usuarios tienen acceso a privilegiados solo cuando lo necesitan durante un tiempo estipulado. Aprovecha el aspecto de "privilegio mínimo" en PAM y el administrador puede definir la duración del acceso según el usuario o la sensibilidad de la aplicación. Hemos abordado el JIT para PAM en detalle en este blog “ ¿Qué es Just-in-Time para PAM? ”. Puedes leer el blog para entenderlo en detalle.

Confianza cero para proteger cuentas privilegiadas durante Covid-19

El advenimiento de la pandemia trajo un cambio digital drástico. No es una sorpresa que varias organizaciones hayan tenido problemas para hacer que el trabajo remoto sea una transición fluida debido a la falta de soluciones IAM amigables para las empresas. PAM, especialmente como se discutió anteriormente, es más vulnerable a las lagunas que existen en la seguridad organizacional. Sin embargo, la necesidad de un modelo de seguridad de confianza cero para proteger PAM también se hizo más evidente. Sin embargo, esto no puede ser un esfuerzo aislado para proteger únicamente a PAM. Aplicar la filosofía de confianza cero a toda la organización con soluciones IAM es también la forma de proteger las cuentas privilegiadas. Si existen políticas para la autenticación en todos los niveles, los usuarios deben realizar la autenticación para elevar su acceso. Asegurar segmentos de accesos en toda la organización: ni más ni menos para llevar a cabo las tareas diarias y más, tales acciones de seguridad pueden dificultar el acceso a las cuentas PAM o incluso violar una cuenta de usuario estándar. Puede leer más sobre la correlación entre confianza cero y PAM aquí.

La gestión de acceso privilegiado es fundamental para proteger las funciones clave de una organización. Cuando la responsabilidad de dicho acceso es importante, también deben estar dotados de los mecanismos de seguridad adecuados. Brinde seguridad a sus empleados, libérelos del estrés de una posible violación de datos. PAM en combinación con IAM puede allanar el camino para una seguridad mucho más amplia y holística necesaria para que las empresas prosperen con la seguridad en el panorama digital actual.