En un entorno empresarial, el «acceso con privilegios» es un término que se utiliza para designar el acceso o las capacidades especiales por encima de las de un usuario estándar. El acceso con privilegios permite a las organizaciones proteger su infraestructura y aplicaciones, gestionar su negocio de manera eficiente y mantener la confidencialidad de los datos sensibles y la infraestructura crítica.
El acceso con privilegios puede asociarse tanto a usuarios humanos como a usuarios no humanos, como las aplicaciones y las identidades de las máquinas.
Ejemplos del acceso con privilegios utilizado por los humanos:
- Cuenta de superusuario: Cuenta potente que utilizan los administradores de TI que puede utilizarse para realizar configuraciones en un sistema o aplicación, añadir o eliminar usuarios o eliminar datos.
- Cuenta administrativa de dominio: Cuenta que proporciona acceso administrativo con privilegios a todas las estaciones y servidores dentro de un dominio de red. El número de estas cuentas es escaso, pero proporcionan el acceso más amplio y robusto en toda la red. La expresión «llaves del reino de TI» se utiliza a menudo para referirse al carácter privilegiado de algunas cuentas y sistemas de administrador.
- Cuenta administrativa local: Cuenta que se encuentra en un endpoint o estación de trabajo y utiliza una combinación de nombre de usuario y contraseña. Ayuda a los usuarios a acceder a sus equipos o dispositivos locales y a realizar cambios.
- Clave SSH (intérprete seguro): Las claves SSH son protocolos de control de acceso muy utilizados que proporcionan un acceso a la raíz directo a los sistemas críticos. Root es el nombre de usuario o cuenta que, por defecto, tiene acceso a todos los comandos y archivos de un sistema operativo Linux o de otro tipo Unix.
- Cuenta de emergencia: Cuenta que proporciona a los usuarios acceso administrativo a sistemas seguros en caso de emergencia. A veces se le conoce como cuenta de aviso de incendio.
- Usuario empresarial con privilegios: Persona que no trabaja en el departamento de TI, pero que tiene acceso a sistemas sensibles. Puede incluir a alguien que necesite acceso a las finanzas, a los recursos humanos o a los sistemas de marketing.
Ejemplos de acceso con privilegios no humano:
- Cuenta de aplicación: Cuenta con privilegios que es específica del software de aplicación y se suele utilizar para administrar, configurar o gestionar el acceso al software de aplicación.
- Cuenta de servicio: Cuenta que una aplicación o servicio utiliza para interactuar con el sistema operativo. Los servicios utilizan estas cuentas para acceder y hacer cambios en el sistema operativo o en la configuración.
- Clave SSH: (Como se describe arriba). Las claves SSH también se utilizan en procesos automatizados.
- Secreto: Utilizado por el equipo de desarrollo y operaciones (DevOps) a menudo como término general que hace referencia a claves SSH, claves de interfaz de programación de aplicaciones (API) y otras credenciales utilizadas por los equipos de DevOps para proporcionar acceso con privilegios.
Las cuentas, credenciales y secretos con privilegios existen en todas partes: se estima que normalmente superan en número a los empleados entre tres o cuatro veces. En los entornos empresariales modernos, la superficie de ataque relacionada con los privilegios crece rápidamente a medida que los sistemas, las aplicaciones, las cuentas de máquina a máquina, los entornos en la nube e híbridos, DevOps, la automatización robótica de procesos y los dispositivos IoT se interconectan cada vez más. Los delincuentes lo saben y dirigen sus ataques al acceso con privilegios. Hoy en día, casi el 100 % de los ataques avanzados se basan en la explotación de credenciales con privilegios para alcanzar los datos, las aplicaciones y la infraestructura más sensibles de un objetivo. Si se abusa de él, el acceso con privilegios tiene el poder de interrumpir la actividad de una empresa.
Brechas de seguridad destacadas relacionadas con el acceso con privilegios
En la última década, se han producido múltiples brechas de seguridad relacionadas con el abuso del acceso con privilegios. Desde Terry Childs y Edward Snowden hasta Yahoo! y la filtración masiva de la Oficina de Administración de Personal de EE. UU., pasando por la brecha del Banco de Bangladesh, el ataque a la red eléctrica de Ucrania e incluso la muy difundida filtración de Uber: el denominador común de cada ataque fue que las credenciales con privilegios fueron explotadas y utilizadas para planificar, coordinar y ejecutar ciberataques.
¿Qué es la gestión del acceso con privilegios (PAM)?
Las organizaciones aplican la gestión del acceso con privilegios (PAM) para protegerse contra las amenazas que suponen el robo de credenciales y el uso indebido de privilegios. PAM hace referencia a una estrategia integral de ciberseguridad (que comprende personas, procesos y tecnología) para controlar, supervisar, proteger y auditar todas las identidades y actividades con privilegios humanas y no humanas en todo el entorno informático de una empresa.
PAM, a veces denominada gestión de identidad con privilegios (PIM) o seguridad de los accesos con privilegios (PAS), se basa en el principio del mínimo privilegio, en virtud del cual los usuarios solo reciben los niveles mínimos de acceso necesarios para desempeñar sus funciones laborales. En general, el principio del mínimo privilegio se considera una práctica óptima de ciberseguridad y es un paso fundamental para proteger el acceso con privilegios a datos y activos de gran valor. Al aplicar el principio del mínimo privilegio, las organizaciones pueden reducir la superficie de ataque y mitigar el riesgo de usuarios internos malintencionados o de ciberataques externos que pueden ocasionar costosas filtraciones de datos.
Principales retos de la gestión del acceso con privilegios
Las organizaciones se enfrentan a una serie de retos para proteger, controlar y monitorizar el acceso con privilegios, entre ellos:
- Gestionar las cuentas con privilegios: Muchas organizaciones de TI dependen de procesos administrativos manuales exhaustivos y propensos a errores para rotar y actualizar las credenciales con privilegios. Este puede ser un enfoque ineficaz y costoso.
- Supervisar la actividad con privilegios: Muchas empresas no pueden supervisar y controlar de forma centralizada las sesiones con privilegios, lo que las expone a amenazas de ciberseguridad y a infracciones de cumplimiento.
- Monitorizar y analizar las amenazas: Muchas organizaciones carecen de herramientas exhaustivas de análisis de amenazas y no pueden identificar de forma proactiva las actividades sospechosas y remediar los incidentes de seguridad.
- Controlar el acceso de usuarios con privilegios: A menudo, las organizaciones luchan por controlar eficazmente el acceso de los usuarios con privilegios a las plataformas en la nube (la infraestructura como servicio y la plataforma como servicio), las aplicaciones de software como servicio (SaaS), las redes sociales y más, creando riesgos de cumplimiento y complejidad operativa.
- Proteger los controladores de dominio de Windows: Los ciberatacantes pueden explotar las vulnerabilidades del protocolo de autenticación Kerberos para suplantar la identidad de usuarios autorizados y acceder a recursos informáticos críticos y a datos confidenciales.
¿Por qué es importante para su organización la gestión del acceso con privilegios (PAM)?
- Los humanos son su eslabón más débil. Los seres humanos siempre son el eslabón más débil de la cadena de ciberseguridad, desde los usuarios internos con privilegios que abusan de su nivel de acceso hasta los ciberatacantes externos que atacan y roban privilegios de usuarios para operar con discreción como miembros internos con privilegios. La gestión del acceso con privilegios ayuda a las organizaciones a garantizar que las personas solo tengan los niveles de acceso necesarios para hacer su trabajo. PAM también permite a los equipos de seguridad identificar actividades maliciosas relacionadas con el abuso de privilegios y tomar medidas rápidas para remediar el riesgo.
- En el negocio digital, los privilegios están en todas partes. Los sistemas deben poder acceder y comunicarse entre sí para poder trabajar juntos. A medida que las organizaciones adoptan la nube, la automatización robótica de procesos, DevOps, el IoT, etc., el número de máquinas y aplicaciones que requieren acceso con privilegios ha aumentado y la superficie de ataque ha crecido. Estas entidades no humanas superan ampliamente a las personas de una organización típica y son más difíciles de supervisar y gestionar, o incluso de identificar. Las aplicaciones comerciales disponibles en el mercado (COTS) suelen requerir el acceso a varias partes de la red, que los atacantes pueden explotar. Una sólida estrategia de gestión del acceso con privilegios da cuenta de los privilegios independientemente de donde «vivan» —a nivel local, en la nube o en entornos híbridos— y detecta las actividades anómalas a medida que se producen.
- Los ciberatacantes se dirigen a endpoints y estaciones de trabajo. En una empresa, cada endpoint (portátil, smartphone, tableta, ordenador de sobremesa, servidor, etc.) contiene privilegios de forma predeterminada. Las cuentas de administrador integradas permiten a los equipos de TI resolver problemas localmente, pero también introducen un gran riesgo. Los atacantes pueden explotar las cuentas de administrador y, después, saltar de un equipo a otro, robar más credenciales, elevar los privilegios y moverse lateralmente a través de la red hasta llegar a lo que buscan. Un programa de PAM proactivo debe contemplar la eliminación completa de los derechos administrativos locales en las estaciones para reducir el riesgo.
- PAM es fundamental para garantizar el cumplimiento de la normativa. La capacidad de monitorizar y detectar eventos sospechosos en un entorno es muy importante, pero sin un enfoque claro de lo que presenta más riesgo —un acceso con privilegios no administrado, no supervisado y sin proteger—, la empresa seguirá siendo vulnerable. La aplicación de PAM como parte de una estrategia integral de seguridad y gestión de riesgos permite a las organizaciones registrar todas las actividades relacionadas con la infraestructura de TI crítica y la información confidencial, lo que les ayuda a simplificar los requisitos de auditoría y cumplimiento.
Las organizaciones que dan prioridad a los programas de PAM como parte de su estrategia de ciberseguridad más amplia pueden experimentar una serie de beneficios organizativos, como la mitigación de los riesgos de seguridad y la reducción de la superficie total expuesta a ciberataques, la disminución de los costes y complejidad operacionales, el aumento de la visibilidad y el conocimiento de la situación en toda la empresa y la mejora del cumplimiento de las normas.
Prácticas recomendadas de gestión del acceso con privilegios
Los siguientes pasos ofrecen un marco para establecer controles PAM esenciales a fin de reforzar la posición en materia de seguridad de una organización. La aplicación de un programa que se sirva de estas medidas puede ayudar a las organizaciones a lograr una mayor reducción de los riesgos en menos tiempo, proteger la reputación de su marca y ayudar a satisfacer los objetivos de seguridad y de regulación con menos recursos internos.
- Eliminar los ataques irreversibles de toma de control de la red. Aísle todo acceso con privilegios a los controladores de dominio y otros activos de nivel 0 y nivel 1, y exija la autenticación multifactor.
- Controlar y proteger las cuentas de infraestructura. Coloque todas las cuentas de infraestructura conocidas en una bóveda digital administrada de forma centralizada. Rote las contraseñas después de cada uso de forma sistemática y automática.
- Limitar la propagación lateral. Elimine completamente a todos los usuarios finales del grupo de administradores locales en las estaciones Windows de TI para detener el robo de credenciales.
- Proteger las credenciales de las aplicaciones de terceros. Coloque en una bóveda todas las cuentas con privilegios utilizadas por aplicaciones de terceros y elimine las credenciales incrustadas en el código fuente para las aplicaciones comerciales de venta al público.
- Gestionar las claves SSH de *NIX. Coloque en una bóveda todos los pares de claves SSH en servidores de producción Linux y Unix y rótelos de forma periódica.
- Proteger los secretos de DevOps en la nube y a nivel local. Proteja todas las cuentas con privilegios de la nube pública, las claves y las claves de API. Coloque en una bóveda segura todas las credenciales y secretos utilizados por las herramientas de CI/CD como Ansible, Jenkins y Docker, lo que permite que se recuperen en el momento y se roten y gestionen automáticamente.
- Proteger a los administradores de SaaS y usuarios empresariales con privilegios. Aísle todo el acceso a ID compartidos y exija la autenticación multifactor.
- Invertir en ejercicios periódicos del equipo rojo para poner a prueba las defensas. Valide y mejore la eficacia contra los ataques del mundo real.
Para explorar estas prácticas recomendadas en detalle, visite esta página.