La protección de cuentas privilegiadas y la respuesta activa a posibles compromisos se ha convertido en una iniciativa fundamental para muchos CISO. Las credenciales robadas están en el centro de la mayoría de los ataques e infracciones modernas. Los atacantes pueden obtener fácilmente las credenciales mediante ataques de phishing, fuerza bruta, registradores de pulsaciones de teclas, técnicas de paso del hash o utilizando una base de datos de credenciales robadas previamente. Y una vez que una cuenta se ve comprometida, el atacante puede ver y hacer cualquier cosa que esté permitida para ese usuario o cuenta.
Cuanto mayores sean los privilegios de la cuenta, más valiosa será para un atacante. Ponga en peligro a un administrador de red, y un atacante tendría rienda suelta sobre la red, sus aplicaciones y dispositivos.
Sin embargo, los usuarios privilegiados no se limitan solo al personal de seguridad y de TI. Los ejecutivos a menudo tienen acceso a datos muy confidenciales y, con regularidad, se les otorgan excepciones a la política de seguridad estándar. A los empleados y contratistas se les pueden otorgar privilegios más altos por una necesidad a corto plazo y luego se olvidan. Los atacantes están altamente capacitados para encontrar privilegios en la red y aprovecharlos.
Aquí hay una sinopsis de algunas de las formas clave en las que puede mantener seguras estas cuentas tan importantes.
Identificar y rastrear cuentas privilegiadas Las cuentas privilegiadas pueden causar daños graves en las manos equivocadas. Hacer un seguimiento de las cuentas y los puntos finales privilegiados es el primer paso para mantenerlos seguros.
Reducir las cuentas donde sea posible Los usuarios con acceso privilegiado innecesario presentan un problema común para muchas redes empresariales que pueden ser explotadas en gran medida por los ciberataques. El acceso privilegiado significa un mayor riesgo de comprometer la red empresarial.
No todas las cuentas de servicios necesitan privilegios de acceso s cuenta de servicio A es una cuenta de usuario creada expresamente para proporcionar un contexto de seguridad para los servicios que se ejecutan en aplicaciones que interactúan con los sistemas operativos. El contexto de seguridad determina la capacidad de la cuenta de servicio para acceder a los recursos locales y de la red. Esto significa que no todas las cuentas de servicio deben ser también cuentas privilegiadas. Debe revisar cuidadosamente todas las cuentas de servicio en su entorno para determinar el acceso apropiado para cada una y eliminar los privilegios donde no sean necesarios.
No use la cuenta de administrador como una cuenta compartida En muchas redes empresariales, la cuenta de administrador se usa para atender otras cuentas o realizar cambios en la red. Una cuenta de administrador compartida nunca debe usarse como una cuenta de servicio o de otro modo.
Eliminar cuentas obsoletas con privilegios A medida que el equipo de TI crece, los equipos de seguridad deben revisar periódicamente las cuentas de servicio y las cuentas de usuarios privilegiados. Si una cuenta privilegiada está obsoleta, el personal de seguridad debe desactivarla si ya no es necesaria.
Cambie las contraseñas predeterminadas y aplique reglas estrictas de contraseñas Las contraseñas débiles son un culpable común que permiten a los ciberatacantes ingresar a las redes empresariales o les permiten acceder a más servidores y cuentas de usuario a través del movimiento lateral . Cuando se trata de contraseñas, sea complejo, diferente y único: podría marcar la diferencia.
Comments