¿Qué es Privileged Access Management (PAM)?

Privileged Access Management (PAM), o en castellano, gestión de accesos privilegiados, se refiere a una clase de soluciones software que ayudan a asegurar, controlar, gestionar y supervisar el acceso privilegiado a activos críticos.

Para lograr estos objetivos, las soluciones PAM suelen tomar las credenciales de las cuentas privilegiadas, es decir, las cuentas de administrador y las colocan dentro de un repositorio seguro que aísla el uso de las cuentas privilegiadas para reducir el riesgo de que esas credenciales sean robadas.

Una vez dentro del repositorio, los administradores del sistema tienen que pasar por el sistema PAM para acceder a sus credenciales, momento en el que se autentifican y se registra su acceso. Cuando se vuelve a registrar una credencial, se restablece para garantizar que los administradores tengan que pasar por el sistema PAM la próxima vez que quieran utilizar la credencial.

Al centralizar las credenciales privilegiadas en un solo lugar, los sistemas PAM pueden garantizar un alto nivel de seguridad para ellas, controlar quién accede a ellas, registrar todos los accesos y supervisar cualquier actividad sospechosa. También es preciso realizar una evaluación de vulnerabilidades (VAPT) y así poder identificar las amenazas y puntos débiles para así conseguir una óptima ciberseguridad de su empresa.

¿Qué son los privilegios y cómo se crean?

Los privilegios, en el contexto de las tecnologías de la información, pueden definirse como la autoridad que tiene una cuenta o un proceso determinado dentro de un sistema informático o una red. Los privilegios proporcionan la autorización para anular, o eludir, ciertas restricciones de seguridad, y pueden incluir permisos para realizar acciones como apagar sistemas, cargar controladores de dispositivos, configurar redes o sistemas, aprovisionar y configurar cuentas e instancias en la nube, etc.

Los privilegios cumplen una importante función operativa al permitir a los usuarios, aplicaciones y otros procesos del sistema derechos elevados para acceder a determinados recursos y completar tareas relacionadas con el trabajo. Al mismo tiempo, el potencial para el mal uso o el abuso de privilegios por parte de personas internas o atacantes externos presenta a las organizaciones un formidable riesgo de seguridad.

Los privilegios para varias cuentas de usuario y procesos están incorporados en los sistemas operativos, sistemas de archivos, aplicaciones, bases de datos, plataformas de gestión de la nube, etc. Los privilegios también pueden ser asignados por ciertos tipos de usuarios privilegiados, como por ejemplo por un administrador de sistemas o de redes.

Dependiendo del sistema, algunas asignaciones de privilegios, o delegaciones, a las personas pueden basarse en atributos que se basan en el rol, como la unidad de negocio, (por ejemplo, marketing, recursos humanos o TI), así como una variedad de otros parámetros (por ejemplo, la antigüedad, la hora del día, la circunstancia especial, etc.).

¿Qué son las cuentas con privilegios?

En un entorno de mínimos privilegios, la mayoría de los usuarios operan con cuenta sin privilegios el 90-100% del tiempo. Las cuentas sin privilegios, suelen ser de los siguientes tipos:

Las cuentas de usuario estándar tienen un conjunto limitado de privilegios, como por ejemplo para navegar por Internet, acceder a ciertos tipos de aplicaciones (por ejemplo, MS Office, etc.) y para acceder a una serie limitada de recursos, que suele estar definida por políticas de acceso basadas en roles.

Las cuentas de usuario invitado poseen menos privilegios que las cuentas de usuario estándar, ya que suelen estar restringidas a un acceso básico a las aplicaciones y a la navegación por Internet.

Se considera que una cuenta privilegiada es cualquier cuenta que proporciona acceso y privilegios más allá de los de las cuentas no privilegiadas.

A continuación, se muestran ejemplos de cuentas privilegiadas que se utilizan comúnmente en una organización:

Cuentas administrativas locales: Cuentas no personales que brindan acceso administrativo al host local o solo a la instancia.

Cuentas administrativas de dominio: Acceso administrativo privilegiado en todas las estaciones de trabajo y servidores dentro del dominio.

Cuentas de rotura de vidrio (también llamadas de emergencia o llamada de emergencia): Usuarios sin privilegios con acceso administrativo a sistemas seguros en caso de emergencia.

Cuentas de servicio: Cuentas locales o de dominio privilegiadas que utiliza una aplicación o servicio para interactuar con el sistema operativo.

Cuentas de servicio de dominio o Active Directory: Habilite los cambios de contraseña en las cuentas, etc.

Cuentas de aplicación: Utilizado por aplicaciones para acceder a bases de datos, ejecutar trabajos por lotes o scripts, o proporcionar acceso a otras aplicaciones.

Si bien la mayoría de los usuarios que no son de TI deberían solo tener acceso a la cuenta de usuario estándar, algunos empleados de TI pueden poseer varias cuentas, iniciando sesión como un usuario estándar para realizar tareas de rutina, mientras inician sesión en una cuenta de superusuario para realizar actividades administrativas.

Debido a que las cuentas administrativas poseen más privilegios y, por lo tanto, representan un mayor riesgo si se usan incorrectamente o abusan en comparación con las cuentas de usuario estándar, una mejor práctica de PAM es usar estas cuentas de administrador solo cuando sea absolutamente necesario y durante el menor tiempo necesario.

¿Qué son las credenciales privilegiadas?

Las credenciales privilegiadas son un subconjunto de credenciales que brindan acceso y permisos elevados en cuentas, aplicaciones y sistemas. Las contraseñas privilegiadas se pueden asociar con cuentas humanas, de aplicaciones, de servicio y más. 

¿Por qué las empresas necesitan el acceso y gestión de la información y de la identidad?

Algunos de los principales riesgos y desafíos relacionados con los privilegios incluyen:

Todo este exceso de privilegios se suma a una mayor posibilidad de ataque. La rutina para los empleados en usuarios de PC personales puede implicar la navegación por Internet, ver videos en tiempo real, el uso de MS Office y otras aplicaciones básicas, incluido SaaS (por ejemplo, Salesforce.com, GoogleDocs, etc.). En el caso de las PC con Windows, los usuarios a menudo inician sesión con privilegios de cuenta administrativa, mucho más amplios de lo necesario. Estos privilegios excesivos aumentan enormemente el riesgo de que el malware o los piratas informáticos roben contraseñas o instalen código malicioso que podría enviarse a través de la navegación web o archivos adjuntos de correo electrónico. El malware o pirata informático podría aprovechar todo el conjunto de privilegios de la cuenta, acceder a los datos de la computadora infectada e incluso lanzar un ataque contra otras computadoras o servidores en red.

Beneficios de la gestión de acceso privilegiado

Cuantos más privilegios y acceso acumule un usuario, cuenta o proceso, mayor será el potencial de abuso, explotación o error. La implementación de la gestión de privilegios no solo minimiza la posibilidad de que se produzca una infracción de seguridad, sino que también ayuda a limitar el alcance de una infracción en caso de que se produzca.

Un diferenciador entre PAM y otros tipos de tecnologías de seguridad es que PAM puede desmantelar múltiples puntos de la cadena de ciberataques, brindando protección tanto contra ataques externos como contra ataques que ocurren dentro de redes y sistemas.

PAM confiere varios beneficios principales, que incluyen:

Muchas organizaciones trazan un camino similar hacia la madurez de los privilegios, priorizando las ganancias fáciles y los mayores riesgos primero, y luego mejorando gradualmente los controles de seguridad privilegiados en toda la empresa. Sin embargo, el mejor enfoque para cualquier organización se determinará mejor después de realizar una auditoría integral de los riesgos y luego trazar los pasos necesarios para llegar a un estado ideal de política de seguridad de acceso privilegiado.

Si busca más información en servicios PAM, no dude en contactarnos, como consultora de ciberseguridad ofrecemos una hora de asesoramiento totalmente gratuito. Además, también le invitamos a ver nuestros diversos servicios de IT.

Si le ha interesado este artículo, creemos que puede ser de su interés: