¿Qué es Privileged Access Management (PAM)?
Privileged Access Management (PAM), o en castellano, gestión de accesos privilegiados, se refiere a una clase de soluciones software que ayudan a asegurar, controlar, gestionar y supervisar el acceso privilegiado a activos críticos.
Para lograr estos objetivos, las soluciones PAM suelen tomar las credenciales de las cuentas privilegiadas, es decir, las cuentas de administrador y las colocan dentro de un repositorio seguro que aísla el uso de las cuentas privilegiadas para reducir el riesgo de que esas credenciales sean robadas.
Una vez dentro del repositorio, los administradores del sistema tienen que pasar por el sistema PAM para acceder a sus credenciales, momento en el que se autentifican y se registra su acceso. Cuando se vuelve a registrar una credencial, se restablece para garantizar que los administradores tengan que pasar por el sistema PAM la próxima vez que quieran utilizar la credencial.
Al centralizar las credenciales privilegiadas en un solo lugar, los sistemas PAM pueden garantizar un alto nivel de seguridad para ellas, controlar quién accede a ellas, registrar todos los accesos y supervisar cualquier actividad sospechosa. También es preciso realizar una evaluación de vulnerabilidades (VAPT) y así poder identificar las amenazas y puntos débiles para así conseguir una óptima ciberseguridad de su empresa.
¿Qué son los privilegios y cómo se crean?
Los privilegios, en el contexto de las tecnologías de la información, pueden definirse como la autoridad que tiene una cuenta o un proceso determinado dentro de un sistema informático o una red. Los privilegios proporcionan la autorización para anular, o eludir, ciertas restricciones de seguridad, y pueden incluir permisos para realizar acciones como apagar sistemas, cargar controladores de dispositivos, configurar redes o sistemas, aprovisionar y configurar cuentas e instancias en la nube, etc.
Los privilegios cumplen una importante función operativa al permitir a los usuarios, aplicaciones y otros procesos del sistema derechos elevados para acceder a determinados recursos y completar tareas relacionadas con el trabajo. Al mismo tiempo, el potencial para el mal uso o el abuso de privilegios por parte de personas internas o atacantes externos presenta a las organizaciones un formidable riesgo de seguridad.
Los privilegios para varias cuentas de usuario y procesos están incorporados en los sistemas operativos, sistemas de archivos, aplicaciones, bases de datos, plataformas de gestión de la nube, etc. Los privilegios también pueden ser asignados por ciertos tipos de usuarios privilegiados, como por ejemplo por un administrador de sistemas o de redes.
Dependiendo del sistema, algunas asignaciones de privilegios, o delegaciones, a las personas pueden basarse en atributos que se basan en el rol, como la unidad de negocio, (por ejemplo, marketing, recursos humanos o TI), así como una variedad de otros parámetros (por ejemplo, la antigüedad, la hora del día, la circunstancia especial, etc.).
¿Qué son las cuentas con privilegios?
En un entorno de mínimos privilegios, la mayoría de los usuarios operan con cuenta sin privilegios el 90-100% del tiempo. Las cuentas sin privilegios, suelen ser de los siguientes tipos:
Las cuentas de usuario estándar tienen un conjunto limitado de privilegios, como por ejemplo para navegar por Internet, acceder a ciertos tipos de aplicaciones (por ejemplo, MS Office, etc.) y para acceder a una serie limitada de recursos, que suele estar definida por políticas de acceso basadas en roles.
Las cuentas de usuario invitado poseen menos privilegios que las cuentas de usuario estándar, ya que suelen estar restringidas a un acceso básico a las aplicaciones y a la navegación por Internet.
Se considera que una cuenta privilegiada es cualquier cuenta que proporciona acceso y privilegios más allá de los de las cuentas no privilegiadas.
A continuación, se muestran ejemplos de cuentas privilegiadas que se utilizan comúnmente en una organización:
Cuentas administrativas locales: Cuentas no personales que brindan acceso administrativo al host local o solo a la instancia.
Cuentas administrativas de dominio: Acceso administrativo privilegiado en todas las estaciones de trabajo y servidores dentro del dominio.
Cuentas de rotura de vidrio (también llamadas de emergencia o llamada de emergencia): Usuarios sin privilegios con acceso administrativo a sistemas seguros en caso de emergencia.
Cuentas de servicio: Cuentas locales o de dominio privilegiadas que utiliza una aplicación o servicio para interactuar con el sistema operativo.
Cuentas de servicio de dominio o Active Directory: Habilite los cambios de contraseña en las cuentas, etc.
Cuentas de aplicación: Utilizado por aplicaciones para acceder a bases de datos, ejecutar trabajos por lotes o scripts, o proporcionar acceso a otras aplicaciones.
Si bien la mayoría de los usuarios que no son de TI deberían solo tener acceso a la cuenta de usuario estándar, algunos empleados de TI pueden poseer varias cuentas, iniciando sesión como un usuario estándar para realizar tareas de rutina, mientras inician sesión en una cuenta de superusuario para realizar actividades administrativas.
Debido a que las cuentas administrativas poseen más privilegios y, por lo tanto, representan un mayor riesgo si se usan incorrectamente o abusan en comparación con las cuentas de usuario estándar, una mejor práctica de PAM es usar estas cuentas de administrador solo cuando sea absolutamente necesario y durante el menor tiempo necesario.
¿Qué son las credenciales privilegiadas?
Las credenciales privilegiadas son un subconjunto de credenciales que brindan acceso y permisos elevados en cuentas, aplicaciones y sistemas. Las contraseñas privilegiadas se pueden asociar con cuentas humanas, de aplicaciones, de servicio y más.
¿Por qué las empresas necesitan el acceso y gestión de la información y de la identidad?
Algunos de los principales riesgos y desafíos relacionados con los privilegios incluyen:
- Falta de visibilidad y conocimiento de los usuarios privilegiados, las cuentas, los activos y las credenciales: las cuentas privilegiadas olvidadas por lo general se encuentran dispersas en todas las organizaciones. Estas cuentas pueden ascender a millones y proporcionar puertas traseras peligrosas para los atacantes, incluidos, en muchos casos, ex empleados que han dejado la empresa pero conservan el acceso.
- Aprovisionamiento excesivo de privilegios: si los controles de acceso privilegiado son demasiado restrictivos, pueden interrumpir los flujos de trabajo de los usuarios, provocando frustración y obstaculizando la productividad. Dado que los usuarios finales rara vez se quejan de poseer demasiados privilegios, los administradores de TI tradicionalmente brindan a los usuarios finales amplios conjuntos de privilegios. Además, el rol de un empleado es a menudo fluido y puede evolucionar de tal manera que acumule nuevas responsabilidades y los privilegios correspondientes, al mismo tiempo que conserva los privilegios que ya no usa o necesita.
Todo este exceso de privilegios se suma a una mayor posibilidad de ataque. La rutina para los empleados en usuarios de PC personales puede implicar la navegación por Internet, ver videos en tiempo real, el uso de MS Office y otras aplicaciones básicas, incluido SaaS (por ejemplo, Salesforce.com, GoogleDocs, etc.). En el caso de las PC con Windows, los usuarios a menudo inician sesión con privilegios de cuenta administrativa, mucho más amplios de lo necesario. Estos privilegios excesivos aumentan enormemente el riesgo de que el malware o los piratas informáticos roben contraseñas o instalen código malicioso que podría enviarse a través de la navegación web o archivos adjuntos de correo electrónico. El malware o pirata informático podría aprovechar todo el conjunto de privilegios de la cuenta, acceder a los datos de la computadora infectada e incluso lanzar un ataque contra otras computadoras o servidores en red.
- Cuentas y contraseñas compartidas:los equipos de TI comúnmente comparten la raíz, el administrador de Windows y muchas otras credenciales con privilegios para mayor comodidad, de modo que las cargas de trabajo y las tareas se puedan compartir sin problemas según sea necesario. Sin embargo, si varias personas comparten la contraseña de una cuenta, puede resultar imposible vincular las acciones realizadas con una cuenta a una sola persona. Esto crea problemas de seguridad, auditabilidad y cumplimiento.
- Credenciales codificadas / incrustadas: se necesitan credenciales privilegiadas para facilitar la autenticación de las comunicaciones y el acceso de aplicación a aplicación (A2A) y aplicación a base de datos (A2D). Las aplicaciones, los sistemas, los dispositivos de red y los dispositivos de IoT se envían comúnmente, y a menudo se implementan, con credenciales predeterminadas integradas que se pueden adivinar fácilmente y representan un riesgo sustancial. Además, los empleados a menudo codificarán secretos en texto sin formato, como dentro de un script, código o archivo, para que sea fácilmente accesible cuando lo necesiten.
- Gestión de credenciales manual y / o descentralizada: los controles de seguridad de privilegios a menudo son inmaduros. Las cuentas y credenciales privilegiadas se pueden administrar de manera diferente en varios silos organizacionales, lo que lleva a una aplicación inconsistente de las mejores prácticas. Los procesos de administración de privilegios humanos no pueden escalar en la mayoría de los entornos de TI donde pueden existir miles, o incluso millones, de cuentas, credenciales y activos con privilegios. Con tantos sistemas y cuentas para administrar, los humanos invariablemente toman atajos, como reutilizar credenciales en múltiples cuentas y activos. Por lo tanto, una cuenta comprometida puede poner en peligro la seguridad de otras cuentas que comparten las mismas credenciales.
- Falta de visibilidad de los privilegios de la aplicación y la cuenta de servicio: lasaplicaciones y las cuentas de servicio a menudo ejecutan automáticamente procesos privilegiados para realizar acciones, así como para comunicarse con otras aplicaciones, servicios, recursos, etc. Las aplicaciones y las cuentas de servicio suelen poseer derechos de acceso privilegiados excesivos de forma predeterminada , y también sufren otras graves deficiencias de seguridad.
- Herramientas y procesos de gestión de identidad en silos: los entornos de TI modernos normalmente se ejecutan en varias plataformas (por ejemplo, Windows, Mac, Unix, Linux, etc.), cada una mantenida y gestionada por separado. Esta práctica equivale a una administración inconsistente de TI, mayor complejidad para los usuarios finales y mayor riesgo cibernético.
Beneficios de la gestión de acceso privilegiado
Cuantos más privilegios y acceso acumule un usuario, cuenta o proceso, mayor será el potencial de abuso, explotación o error. La implementación de la gestión de privilegios no solo minimiza la posibilidad de que se produzca una infracción de seguridad, sino que también ayuda a limitar el alcance de una infracción en caso de que se produzca.
Un diferenciador entre PAM y otros tipos de tecnologías de seguridad es que PAM puede desmantelar múltiples puntos de la cadena de ciberataques, brindando protección tanto contra ataques externos como contra ataques que ocurren dentro de redes y sistemas.
PAM confiere varios beneficios principales, que incluyen:
- Una superficie de ataque condensada que protege contra amenazas internas y externas: lalimitación de privilegios para personas, procesos y aplicaciones significa que las vías y las entradas para la explotación también se reducen.
- Reducción de la propagación e infección de malware: muchas variedades de malware (como las inyecciones de SQL, que dependen de la falta de privilegios mínimos) necesitan privilegios elevados para su instalación o ejecución. La eliminación de privilegios excesivos, como la aplicación de los privilegios mínimos en toda la empresa, puede evitar que el malware se afiance o reducir su propagación si lo hace.
- Rendimiento operativo mejorado: restringir los privilegios al rango mínimo de procesos para realizar una actividad autorizada reduce la posibilidad de problemas de incompatibilidad entre aplicaciones o sistemas y ayuda a reducir el riesgo de tiempo de inactividad.
- Más fácil de lograr y demostrar el cumplimiento: al frenar las actividades privilegiadas que posiblemente se pueden realizar, la administración de acceso privilegiado ayuda a crear un entorno menos complejo y, por lo tanto, más amigable para las auditorías.
Muchas organizaciones trazan un camino similar hacia la madurez de los privilegios, priorizando las ganancias fáciles y los mayores riesgos primero, y luego mejorando gradualmente los controles de seguridad privilegiados en toda la empresa. Sin embargo, el mejor enfoque para cualquier organización se determinará mejor después de realizar una auditoría integral de los riesgos y luego trazar los pasos necesarios para llegar a un estado ideal de política de seguridad de acceso privilegiado.
Si busca más información en servicios PAM, no dude en contactarnos, como consultora de ciberseguridad ofrecemos una hora de asesoramiento totalmente gratuito. Además, también le invitamos a ver nuestros diversos servicios de IT.
Si le ha interesado este artículo, creemos que puede ser de su interés:
