La gestión de cuentas privilegiadas se encarga exclusivamente de proteger las cuentas con privilegios en una empresa, incluidos los sistemas operativos, bases de datos, servidores, aplicaciones, equipos virtuales y dispositivos de red.
Una cuenta privilegiada es cualquier cuenta que tenga asociados mayores privilegios que otras cuentas. Estas cuentas pueden pertenecer a seres humanos como los empleados de una organización, a terceros colaboradores como proveedores y auditores, o pueden ser identidades de equipos como una cuenta de servicio, una carga de trabajo o una aplicación.
Las cuentas de administrador local/incorporado son cuentas en servidores miembros y clientes que otorgan un control absoluto sobre sus hosts. Esto también incluye las cuentas de inicio de sesión predeterminadas que vienen incorporadas con los sistemas operativos, el software de aplicaciones y los servicios. Si las contraseñas de administrador local son débiles, no se modifican o se utilizan repetidamente en varias cuentas de distintos hosts, los usuarios maliciosos podrían obtener fácilmente acceso no autorizado a las estaciones de trabajo. En el peor de los casos, un atacante con acceso a una cuenta de administrador local o a una cuenta de sistema incorporada olvidada podría navegar por la red e incluso elevar sus privilegios a los de un administrador de dominio.
Las cuentas de administrador de dominio son cuentas potentes con el mayor rango de control sobre todos los objetos de un dominio. Estas cuentas proporcionan privilegios administrativos en todas las estaciones de trabajo, servidores y controladores de dominio. Sólo unos pocos administradores de confianza deberían utilizar cuentas de administrador de dominio. Además, sólo deben utilizar la cuenta para iniciar sesión en los sistemas de los controladores de dominio que sean tan seguros como los propios controladores de dominio, especialmente en un entorno Windows.
Las cuentas de servicio administrativas son cuentas privilegiadas utilizadas por los programas del sistema para ejecutar servicios o procesos de software de aplicación. En ocasiones, estas cuentas pueden poseer privilegios elevados o incluso excesivos cuando un determinado servicio dependiente lo requiere. Esto también es válido para las cuentas de Windows locales o de dominio utilizadas para ejecutar las tareas programadas. Normalmente, las contraseñas de estas cuentas de servicio están configuradas para "no cambiar nunca", debido a la dificultad para descubrir todos los servicios dependientes y propagar el cambio de contraseña, lo que a su vez podría retrasar la continuidad del servicio empresarial. Sin embargo, las cuentas de servicio estáticas pueden convertir a su empresa en un blanco fácil para los hackers.
Las cuentas raíz son cuentas de superusuario que conllevan privilegios administrativos para gestionar recursos de Unix/Linux, que los administradores de sistemas suelen utilizar para realizar operaciones de TI básicas. Las cuentas raíz tienen acceso sin restricciones a todos los archivos, programas y otros datos de un sistema, por lo que suponen un enorme riesgo si se gestionan mal.
Las cuentas de aplicación son cuentas utilizadas por las organizaciones para automatizar la comunicación entre diversas aplicaciones, servicios web y herramientas nativas para cumplir los requisitos empresariales y otras transacciones. Las credenciales de las aplicaciones suelen estar incrustadas en texto plano dentro de archivos de configuración de la aplicación y scripts sin cifrar para lograr esta intercomunicación empresarial.
Las cuentas de aplicaciones integradas se utilizan en muchos entornos DevOps en los que se suele recurrir a la codificación de credenciales para agilizar las fases de desarrollo de software y automatizar los ciclos de entrega de servicios. Los administradores suelen tener dificultades para identificar, cambiar y gestionar estas contraseñas. Como resultado, las credenciales no se modifican, lo que las convierte en un punto de entrada fácil para los hackers.
Porque una cuenta de usuario privilegiada en las manos equivocadas es un arma mortal que puede derribar fácilmente una empresa. Una gestión laxa de las cuentas de usuarios privilegiados puede exponer a las empresas a los siguientes riesgos de seguridad:
Las cuentas privilegiadas de los usuarios son uno de los objetivos favoritos de los atacantes que buscan obtener acceso total a los servidores de datos sensibles sin levantar sospechas. Una vez dentro, los hackers buscan inmediatamente credenciales privilegiadas no gestionadas y se convierten en administradores de dominio, lo que les permite acceder sin restricciones a los sistemas de información muy sensibles.
A veces, las mayores amenazas son las que están más cerca de casa. Del mismo modo, el abuso de privilegios internos es una preocupación cada vez mayor en las organizaciones de todos los tamaños. Los usuarios privilegiados internos con intenciones maliciosas que buscan beneficios personales pueden causar más daño que las partes externas. La confianza inherente depositada en los usuarios internos les permite aprovechar sus privilegios existentes, desviar datos confidenciales y venderlos a una parte externa sin ser detectados hasta que sea demasiado tarde.
Los empleados descuidados son una amenaza difícil de gestionar sin una adecuada gestión de acceso privilegiado. Son usuarios que no comprenden la importancia de la ciberseguridad. Dejan imprudentemente las credenciales de usuario críticas a la deriva para que los hackers las encuentren o a veces comparten sus privilegios de acceso con empleados no autorizados. Un ejemplo típico es el de los ingenieros de DevOps que vuelcan sus códigos (que contienen tokens de autenticación para servidores internos) en plataformas abiertas como GitHub y se olvidan de ellos.
Los proveedores remotos constituyen la red empresarial ampliada de una organización. Suelen incluir contratistas, consultores, socios, equipos de mantenimiento de terceros y proveedores de servicios que requieren acceso privilegiado a su infraestructura interna para diversas necesidades empresariales. Casi todas las organizaciones dependen de múltiples contratistas para realizar su trabajo. En el mundo digital actual, esto significa que los terceros tienen acceso a su red interna por necesidades empresariales y, por tanto, suponen la misma amenaza que los usuarios internos.
La mayoría de las veces, los usuarios tienen privilegios excesivos, es decir, tienen derechos de acceso muy superiores a los que necesitan para realizar sus tareas. Como resultado, existe una brecha entre los permisos concedidos y los utilizados. En tales casos, es importante aplicar el principio del mínimo privilegio, proporcionando sólo el mínimo permiso necesario para completar una tarea de trabajo. Sin un sistema adecuado de gestión de acceso privilegiado para implementar una seguridad basada en mínimos privilegios y monitorear las acciones de los usuarios, las cuentas de usuarios con privilegios excesivos pueden ser aprovechadas para acceder de forma ilegal.
Los privilegios olvidados son peligrosos. Los administradores de TI a menudo proporcionan a los usuarios acceso privilegiado a los servidores de datos y luego no lo revocan. Sin una herramienta que supervise a quién se ha concedido qué privilegios, revocar los permisos puede ser tedioso. Esto significa que los usuarios siguen teniendo privilegios incluso después de haber terminado su trabajo, y tienen la oportunidad de realizar operaciones no autorizadas.
A continuación se enumeran las ventajas de ciberseguridad que ofrece una robusta solución de gestión de cuentas privilegiadas:
Tome el control total de las cuentas privilegiadas almacenándolas en un repositorio seguro con un único punto de acceso reforzado con autenticación multifactor.
Reduzca la superficie de ataque y combata eficazmente los crecientes riesgos de ataques externos, robo de identidad y amenazas internas.
Establezca controles de seguridad preventivos y de detección mediante flujos de trabajo de aprobación y alertas en tiempo real sobre el uso de cuentas privilegiadas.
Demuestre eficazmente el cumplimiento de diversas normativas industriales y gubernamentales, como HIPAA, PCI DSS, GDPR, NERC-CIP, SOX, etc.
Obtenga una visión completa de la actividad de las cuentas privilegiadas en toda la red con un exhaustivo registro de auditoría e informes detallados.
Aumente la productividad de TI liberando a los equipos de TI de las tareas manuales que consumen mucho tiempo, como las actualizaciones masivas de contraseñas, programando la automatización.
Debido a su valor, las cuentas privilegiadas seguirán siendo un objetivo prioritario para los ciberdelincuentes. Por lo tanto, mientras buscan posibles soluciones de gestión de cuentas privilegiadas, las organizaciones deben considerar el proceso como una inversión en ciberseguridad a largo plazo en lugar de una solución provisional. Al evaluar y valorar las soluciones para encontrar la solución de gestión de cuentas privilegiadas perfecta para su empresa, existe un conjunto predeterminado de funciones clave que determinarán la eficacia y el éxito final del programa de protección de cuentas privilegiadas de su organización.
A continuación se indican las funciones que debe buscar durante el proceso de selección.
Áreas clave que debe buscar en una solución sólida de gestión de cuentas privilegiadas
La gestión de cuentas privilegiadas es un subconjunto de IAM. La gestión de cuentas privilegiadas protege las cuentas con acceso elevado mediante una combinación de gestión centralizada, aplicación de privilegios mínimos, implementación de autenticación multifactor y controles de acceso, monitoreo de sesiones, uso del aprovisionamiento justo a tiempo y automatización de tareas, lo que en última instancia minimiza el riesgo asociado a estas cuentas privilegiadas.
Más allá de los controles técnicos, la gestión de cuentas privilegiadas hace hincapié en una gobernanza sólida con una propiedad y responsabilidad claras para las cuentas privilegiadas. La capacitación periódica para los usuarios autorizados respecto a las prácticas de acceso seguro refuerza aún más la defensa. Al monitorear y auditar continuamente la actividad privilegiada, las organizaciones pueden identificar y abordar con prontitud los posibles usos indebidos o anomalías. No sólo refuerza la seguridad, sino que también agiliza las operaciones de TI, permitiendo a los usuarios autorizados realizar tareas críticas de forma eficaz y minimizando las interrupciones.
ManageEngine Password Manager Pro es una solución de gestión de cuentas privilegiadas basada en web y adaptada a las empresas. La solución le permite almacenar, compartir, gestionar, monitorear y auditar el ciclo de vida de cualquier cuenta privilegiada de su organización. Con una serie de funciones, como la detección de cuentas, sólidos mecanismos de bóveda, controles de acceso granulares, restablecimiento automático de contraseñas, gestión del ciclo de vida de los certificados SSL, auditoría de la actividad de los usuarios y acceso remoto seguro, todo ello integrado en una única plataforma, Password Manager Pro es la única solución que necesita para garantizar la seguridad de las cuentas privilegiadas en su entorno de TI.
La gestión de cuentas privilegiadas se centra en la gestión de cuentas privilegiadas y sus contraseñas, mientras que la gestión de accesos privilegiados abarca los controles más amplios en torno a cómo se accede y se utilizan esas cuentas.
La gestión de las cuentas privilegiadas es crucial para evitar accesos no autorizados, violaciones de datos e interrupciones del sistema. Las cuentas privilegiadas no gestionadas se convierten en objetivos fáciles para los atacantes, comprometiendo potencialmente los datos críticos y paralizando las operaciones.
La gestión de accesos e identidades (IAM) es un marco de seguridad para identificar, autenticar y proporcionar acceso a los usuarios. La IAM consiste en políticas, controles y soluciones especiales para gestionar las identidades en una empresa. Los responsables de TI utilizan una solución IAM para controlar el acceso a bases de datos, activos, redes, aplicaciones y recursos dentro de su organización. Normalmente, la IAM se aplica a todos los usuarios de una organización.
Mientras que la gestión de accesos privilegiados (PAM) es un subconjunto de IAM que se ocupa únicamente de gestionar los accesos privilegiados. La PAM se refiere principalmente a los usuarios privilegiados que tienen acceso elevado a recursos, aplicaciones y cuentas sensibles. La PAM se centra en usuarios y cuentas que suponen una mayor amenaza para la seguridad y un mayor riesgo de violación de datos al tener acceso privilegiado. Los administradores de TI utilizan una solución PAM para supervisar, auditar y gestionar usuarios, identidades, cuentas y sesiones privilegiadas.
La gestión de identidades privilegiadas (PIM), un subconjunto de PAM que se encarga de controles y políticas de seguridad esenciales limitados a gestionar y proteger identidades privilegiadas, como cuentas de servicio, nombres de usuario, contraseñas, claves SSH y certificados digitales, que proporcionan acceso a información sensible.
La PAM tiene un alcance más amplio que va más allá de la mera gestión de identidades privilegiadas. La PAM se centra en controlar los niveles de acceso de los usuarios con credenciales privilegiadas, y determina qué usuarios pueden acceder a qué recursos y durante cuánto tiempo.
