En su reciente Cumbre de Seguridad y Gestión de Riesgos, Gartner presentó los 10 mejores proyectos de seguridad en los que los principales oficiales de seguridad de la información (CISOs) deberían concentrarse en 2018, entre los que se destaca la gestión de cuentas privilegiadas (PAM). De hecho, Gartner no es el único que afirma la importancia de administrar cuentas privilegiadas; la web está repleta de otras firmas y expertos en seguridad que presionan por PAM.
Las cuentas privilegiadas, a pesar de ser una parte vital de la red de una organización, siguen estando poco protegidas y, en su mayoría, ignoradas por los equipos de TI, lo que las convierte en objetivos fáciles para los ciberdelincuentes. Con esto en mente, aquí hay un conjunto de tareas obligatorias que el CISO de cada organización debe implementar para impulsar un programa de protección de cuentas privilegiadas.
El primer paso para proteger y administrar las cuentas privilegiadas de su organización es descubrir todos los activos críticos en su red corporativa, así como las cuentas y credenciales asociadas. A medida que su organización crece y expande su infraestructura, debe asegurarse de que su equipo de TI esté equipado con un sólido mecanismo de descubrimiento para hacer frente a la proliferación de cuentas privilegiadas y hacer un seguimiento de ellas. Ejecutar un programa totalmente automatizado que escanee regularmente su red, detecte nuevas cuentas y las agregue a una base de datos central es la mejor manera de construir una base sólida para su estrategia PAM.
Elimine las bases de datos localizadas y aisladas que a menudo son mantenidas por varios equipos. Más importante aún, asegúrese de que los empleados dejen de escribir contraseñas en notas adhesivas o almacenen contraseñas en archivos de texto sin formato. Estas prácticas son peligrosas y conducen a una mayor cantidad de contraseñas obsoletas y problemas de coordinación, lo que resulta en ineficiencia operativa. En cambio, las cuentas y credenciales con privilegios que pertenecen a todos los departamentos deben catalogarse en un repositorio centralizado. Además, proteja sus cuentas privilegiadas almacenadas con algoritmos de cifrado conocidos como AES-256 para proteger contra el acceso no deseado.
Una vez que las cuentas privilegiadas de su organización están bloqueadas de forma segura en una bóveda, es hora de decidir quién debe tener las claves. Puede hacer esto trazando roles claros para los miembros de su equipo de TI y asegurándose de que la función de cada miembro les otorgue únicamente los privilegios mínimos de acceso requeridos. Un concepto de aprovisionamiento de acceso basado en roles bien definido puede ser de gran ayuda para garantizar que todas las actividades alrededor de la bóveda puedan rastrearse a los empleados autorizados.
De acuerdo con el Informe de Amenazas de Seguridad en Internet de 2016 de Symantec, el 80 por ciento de las infracciones se pueden prevenir mediante el uso de autenticación de múltiples factores. La implementación de la autenticación de dos factores o de factores múltiples tanto para los administradores de PAM como para los usuarios finales garantizará que solo las personas adecuadas tengan acceso a recursos confidenciales.
Más allá de eliminar las vulnerabilidades de seguridad relacionadas con la división de roles, también es importante implementar prácticas seguras de intercambio. Para una protección máxima, el administrador de PAM de su organización debe poder proporcionar a los empleados o contratistas el acceso a los activos de TI sin revelar las credenciales en texto sin formato. En cambio, los usuarios deberían poder iniciar conexiones con un solo clic a los dispositivos de destino desde la interfaz de la herramienta PAM, sin ver ni ingresar manualmente las credenciales.
Si bien es conveniente para los equipos de TI utilizar la misma contraseña para cada cuenta privilegiada en la red, esta es una práctica insalubre que en última instancia fomenta un entorno fundamentalmente inseguro. La administración segura de cuentas privilegiadas requiere el uso de contraseñas sólidas y únicas que se restablecen periódicamente. Debe hacer que el restablecimiento automático de contraseñas forme parte integral de su estrategia PAM para deshacerse de las contraseñas que no se modifican y proteger los recursos confidenciales del acceso no autorizado.
Establezca una política que obligue a los usuarios a enviar una solicitud al administrador de PAM de su organización cada vez que necesiten credenciales de cuenta específicas para acceder a un activo remoto. Para reforzar aún más el control, proporcione a los usuarios acceso temporal y basado en el tiempo a estas credenciales, con opciones incorporadas para revocar el acceso e ingresar las contraseñas a la fuerza cuando expire el tiempo estipulado. Para mayor seguridad, también puede restablecer automáticamente las contraseñas una vez que los usuarios las ingresan.
Muchas aplicaciones requieren acceso frecuente a bases de datos y otras aplicaciones para consultar información relacionada con la empresa. Las organizaciones a menudo automatizan este proceso de comunicación incorporando las credenciales de la aplicación en texto claro dentro de los archivos de configuración y scripts, pero es difícil para los administradores identificar, cambiar y administrar estas contraseñas insertadas. Como resultado, las credenciales simplemente no se modifican para no obstaculizar la productividad empresarial. Las credenciales de codificación difícil pueden facilitar los trabajos de los técnicos, pero también son un punto de lanzamiento fácil para los piratas informáticos que buscan ingresar a la red de una organización. Alternativamente, su equipo de TI puede usar API seguras para permitir que las aplicaciones consulten su herramienta PAM directamente cuando necesiten recuperar cuentas privilegiadas para otra aplicación o un recurso remoto.
Cuando se trata de eso, los registros de auditoría completos, las alertas en tiempo real y las notificaciones son en realidad lo que hacen la vida más fácil. Capture las operaciones de cada usuario y establezca la responsabilidad y transparencia para todas las acciones relacionadas con PAM. Una integración con una herramienta interna de logs de eventos también puede ayudar al consolidar las actividades de PAM con otros eventos del resto de su organización y proporcionar consejos inteligentes sobre actividades inusuales. Esto resulta extremadamente útil para adquirir una visión general completa de los eventos de seguridad y detectar infracciones o exploits internos.
Ejecutar estas acciones no va a ser una solución final para la seguridad, siempre hay más por hacer. Según el Informe de Investigación de Incumplimiento de Datos de 2018 de Verizon, 201 de las 2.216 infracciones de datos confirmadas en 2017 se debieron al abuso de privilegios. Una estadística como esa requiere que las organizaciones graben y monitoreen las sesiones privilegiadas como una forma de mantenerse alerta y detectar un acceso inusual. Su organización debe aprovechar un fuerte plan de gestión de cuentas privilegiadas para construir una estrategia de gestión de acceso e identidad privilegiada aún más avanzada que establezca límites más amplios y cree una defensa impenetrable.