El acceso privilegiado es un tipo de acceso al sistema informático que otorga derechos especiales al titular del acceso. Los usuarios con acceso privilegiado pueden realizar acciones que un usuario estándar no puede. Entre las acciones que suelen calificarse como operaciones privilegiadas se incluyen la modificación de la configuración del servidor, el cambio de contraseñas, el acceso a sistemas de datos empresariales, la instalación de un nuevo programa, la ejecución de servicios críticos, la adición de perfiles de usuario, la realización de actividades de mantenimiento y la alteración de configuraciones de red.
Los equipos informáticos de las empresas actuales confían en gran medida en las cuentas de usuario críticas denominadas cuentas privilegiadas para proporcionar a los usuarios acceso privilegiado a diversos sistemas de información de la red. Aunque las cuentas privilegiadas siguen siendo la principal opción para el aprovisionamiento de acceso privilegiado en el panorama actual de TI, otras opciones poco utilizadas son la autenticación biométrica y las tarjetas inteligentes.
En algunos casos, las organizaciones protegen completamente un servidor físico, una estación de trabajo, un dispositivo del centro de datos o cualquier sistema que contenga información confidencial, y luego prohíben el acceso directo a ese equipo. En tales circunstancias, el acceso físico directo al equipo significa que el usuario tiene acceso privilegiado. A estos usuarios se les suele denominar usuarios privilegiados.
Los usuarios privilegiados son usuarios que están autorizados a tener acceso elevado a una parte o a toda la red de infraestructura de TI mediante la posesión de una o más cuentas privilegiadas o cualquier otro modo de acceso.
Entre los usuarios privilegiados comúnmente conocidos se incluyen trabajadores de TI como administradores de sistemas, arquitectos y administradores de redes, administradores de bases de datos, administradores de aplicaciones empresariales, ingenieros de DevOps y otros responsables de TI. A veces, un contratista externo que ayude con las operaciones de TI de una empresa o con los requisitos y el mantenimiento del negocio también puede tener acceso interno a la red de la empresa.
Normalmente, un usuario privilegiado es un tipo específico de usuario de TI empresarial. Otros usuarios de TI son los usuarios estándar y los usuarios avanzados.
Se trata de usuarios normales que disponen de cuentas poco privilegiadas para acceder diariamente a las aplicaciones empresariales y realizar operaciones rutinarias. Los usuarios estándar normalmente no tienen acceso a ningún sistema de información sensible.
Los usuarios avanzados tienen algunos permisos adicionales en comparación con los usuarios estándar. Un ejemplo común son los miembros del personal de TI interno que ayudan a gestionar las estaciones de trabajo de los usuarios finales. Estos usuarios reciben una significativa elevación de acceso a la cuenta que les proporciona permisos específicos, como el acceso remoto a estaciones de trabajo y bases de datos locales.
Son los usuarios más importantes. El número de usuarios con privilegiados suele ser limitado. Conllevan el mayor riesgo para un entorno informático y requieren una vigilancia 24/7.
Las cuentas privilegiadas son cuentas empresariales con privilegios de usuario elevados en comparación con las cuentas no privilegiadas. Las cuentas privilegiadas pueden ser cuentas humanas, cuentas basadas en aplicaciones (como las cuentas de equipo a equipo o de aplicación a aplicación para acciones automatizadas) o cuentas de servicio.
Un usuario puede utilizar una cuenta privilegiada para realizar funciones y acceder a recursos a los que no podría acceder de otro modo. Esto incluye acceder y modificar servidores sensibles, aplicaciones, bases de datos y otros endpoints críticos para el negocio.
Las credenciales privilegiadas son las credenciales que utilizan los usuarios con privilegios para acceder a cuentas, servidores, bases de datos, aplicaciones y otros endpoints sensibles. Además de contraseñas, las credenciales privilegiadas también incluyen secretos como claves SSH, claves API, tokens y certificados.
Ahora que entendemos los fundamentos básicos de PAM, examinemos cómo funciona la gestión de acceso privilegiado.
La gestión de acceso privilegiado es el proceso de confiar a determinados usuarios un acceso elevado (también conocido como acceso privilegiado) a recursos, cuentas y credenciales críticos para la empresa que son esenciales para sus funciones laborales. En el caso del acceso a tareas específicas, una vez realizada la tarea, se revoca el acceso concedido al usuario.
En otras palabras, con el acceso privilegiado, los usuarios con privilegios obtienen acceso a cuentas, credenciales, sistemas, servidores, bases de datos y más privilegiados para llevar a cabo tareas vitales, incluyendo la gestión y modificación de estas cuentas y recursos. La gestión de acceso privilegiado es el proceso de controlar y gestionar este acceso.
Aunque proporcionar acceso privilegiado es importante para permitir a los empleados llevar a cabo funciones críticas para el trabajo, también implica un alto riesgo de exposición. Dado que los usuarios privilegiados tienen acceso a múltiples credenciales y recursos clave, un usuario o cuenta privilegiada comprometida puede resultar costosa.
Por lo tanto, la gestión de acceso privilegiado también implica monitorear continuamente a los usuarios privilegiados para asegurarse de que no abusen de sus derechos de acceso. Para ello es necesario revisar periódicamente los privilegios asignados y revocar el exceso de derechos siempre que cambie la función de un usuario en la organización.
Aunque la gestión de accesos privilegiados se utiliza indistintamente con la gestión de identidades y accesos (IAM) y la gestión de identidades privilegiadas (PIM), veamos en qué se diferencian.
La IAM es un marco de seguridad para identificar, autenticar y proporcionar acceso a los usuarios. La IAM consiste en políticas, controles y soluciones especiales para gestionar las identidades en una empresa. Los responsables de TI utilizan una solución IAM para controlar el acceso a bases de datos, activos, redes, aplicaciones y recursos dentro de su organización. Normalmente, la IAM se aplica a todos los usuarios de una organización.
La gestión de accesos privilegiados es un subconjunto de IAM que se ocupa únicamente de la gestión de accesos privilegiados. La PAM se refiere principalmente a los usuarios privilegiados que tienen acceso elevado a recursos, aplicaciones y cuentas sensibles. La PAM se centra en usuarios y cuentas que suponen una mayor amenaza para la seguridad y un mayor riesgo de violación de datos al tener acceso privilegiado. Los administradores de TI utilizan una solución PAM para supervisar, auditar y gestionar usuarios, identidades, cuentas y sesiones privilegiadas.
PIM, una subclase de PAM, incluye controles y políticas de seguridad esenciales limitados a la gestión y protección de identidades privilegiadas, como cuentas de servicio, nombres de usuario, contraseñas, claves SSH y certificados digitales, que proporcionan acceso a información sensible.
En resumen, la IAM cubre los patrones de acceso más amplios en todos los verticales de la empresa, abarcando a todos los usuarios, sistemas, recursos y activos. Por otro lado, la PIM y PAM cubren los patrones de acceso que rodean a los recursos y sistemas privilegiados.
Los privilegios no controlados son una amenaza silenciosa para las empresas actuales. Dado que el acceso privilegiado a un sistema de información crítico es la joya de la corona para un ciberatacante, una cuenta de usuario privilegiada en las manos equivocadas es un arma peligrosa que puede destruir fácilmente a una empresa.
De hecho, el Informe sobre amenazas a los datos 2019 de Thales clasificó el acceso privilegiado como uno de los cinco factores principales en su lista de mayores amenazas a la seguridad de los datos. Además, el acceso privilegiado es uno de los vectores de ciberataque más difíciles de descubrir; algunas brechas de seguridad resultantes del abuso y uso indebido de privilegios en realidad pueden pasar meses o más sin ser descubiertas.
Una mala gestión del acceso privilegiado y de las cuentas privilegiadas puede exponer a las empresas a diferentes amenazas y riesgos de privilegios, como los siguientes:
"El 80% de las infracciones de seguridad son causadas por personas externas a la organización" - Informe de Verizon sobre investigaciones de violación de datos del 2022
Las cuentas privilegiadas son uno de los objetivos favoritos de los atacantes que buscan obtener acceso total a los servidores de datos sensibles sin levantar sospechas. Los hackers suelen manipular a los usuarios privilegiados crédulos (mediante phishing, sitios web falsos y otras tácticas) para que proporcionen información que les permita burlar la seguridad de la empresa y obtener acceso a la red.
Una vez dentro, los hackers buscan inmediatamente credenciales privilegiadas no gestionadas y se convierten en administradores de dominio, lo que les permite acceder sin restricciones a los sistemas de información muy sensibles. La mejor manera de hacer frente a esta amenaza es bloquear por completo todas las credenciales privilegiadas en una bóveda central cifrada, aplicar controles basados en funciones, imponer la autenticación multifactor para el acceso a la bóveda y registrar todas las solicitudes entrantes.
A veces, las mayores amenazas son las que están más cerca de casa. Del mismo modo, el uso indebido de privilegios internos es una preocupación cada vez mayor en las organizaciones de todos los tamaños. El Informe sobre el pulso imperativo de la ciberseguridad publicado en 2019 por ESI ThoughtLab afirma que "el impacto de las amenazas internas maliciosas se ha duplicado, con un 57% que ahora cita un impacto grande o muy grande (frente al 29% en nuestra encuesta de 2018)."
Los usuarios privilegiados internos con intenciones maliciosas, como aquellos que buscan beneficios personales, pueden causar más daño que las partes externas. La confianza inherente depositada en los usuarios internos les permite aprovechar sus privilegios existentes, desviar datos confidenciales y venderlos a una parte externa sin que la organización se dé cuenta hasta que sea demasiado tarde.
VEl IInforme de Verizon sobre amenazas internas del 2019 señala que en los cinco informes anteriores de la firma sobre investigaciones de violación de datos (2014-2018), solo el 4% de las violaciones por el abuso de privilegios internos fueron descubiertas por detección de fraude. Para proteger los activos de información críticos de tales actores internos maliciosos, es vital monitorear constantemente las actividades de cada usuario privilegiado en tiempo real y aprovechar la detección de anomalías de comportamiento y el análisis de amenazas.
En el 82% de las violaciones a la seguridad interviene el elemento humano, incluidos los ataques sociales, los errores y el uso indebido - Informe de Verizon sobre investigaciones de violación de datos 2022
Los empleados descuidados son una amenaza difícil de gestionar sin una adecuada gestión de acceso privilegiado. Son usuarios que no comprenden la importancia de la ciberseguridad. Dejan imprudentemente las credenciales de usuario críticas a la deriva para que los hackers las encuentren o a veces comparten sus privilegios de acceso con empleados no autorizados.
Un ejemplo típico es el de los ingenieros de DevOps que vuelcan sus códigos, que contienen tokens de autenticación para servidores internos, en plataformas abiertas como GitHub y se olvidan de ellos. Estas prácticas peligrosas solo pueden controlarse mediante un control de acceso privilegiado robusto que garantice, junto con una auditoría exhaustiva, que cada actividad privilegiada pueda vincularse a un usuario específico.
Los proveedores remotos constituyen la red empresarial ampliada de una organización. Suelen incluir contratistas, consultores, socios, equipos de mantenimiento de terceros y proveedores de servicios que requieren acceso privilegiado a su infraestructura interna para diversas necesidades empresariales. Muchas organizaciones dependen de múltiples contratistas para realizar su trabajo. En el mundo digital actual, esto significa que los terceros tienen acceso a su red interna por necesidades empresariales y, por tanto, suponen la misma amenaza que los usuarios internos.
Otro tipo de usuario que presenta el mismo riesgo es un ex empleado descontento o con motivaciones económicas. Los empleados descontentos que han dejado la empresa pero aún poseen derechos de acceso pueden aprovecharlos para obtener acceso ilegítimo, robar datos y venderlos a hackers. Para hacer frente a este tipo de amenazas es necesario revisar periódicamente los privilegios de los empleados y contratistas y eliminar los que no sean necesarios.
A menudo, los usuarios tienen privilegios excesivos, con derechos de acceso muy superiores a los que necesitan para realizar sus tareas. Como resultado, existe una brecha entre los permisos concedidos y los utilizados. En tales casos, es importante aplicar el principio del mínimo privilegio (PoLP) proporcionando sólo la cantidad mínima de permisos necesarios para completar una tarea de trabajo. Sin un sistema adecuado de gestión de acceso privilegiado para implementar una seguridad basada en mínimos privilegios y monitorear las acciones de los usuarios, las cuentas de usuarios con privilegios excesivos pueden ser aprovechadas para acceder de forma ilegal.
Los privilegios olvidados son peligrosos. Los administradores de TI a menudo proporcionan a los usuarios acceso privilegiado a los servidores de datos y luego no revocan el acceso. Sin una herramienta que supervise a quién se ha concedido qué privilegios, revocar los permisos se vuelve tedioso. Esto significa que los usuarios siguen teniendo privilegios incluso después de haber terminado su trabajo, y tienen la oportunidad de realizar operaciones no autorizadas. En este caso, una herramienta de gestión de acceso privilegiado puede ayudar a los responsables de TI a conceder a los usuarios el menor nivel de acceso privilegiado necesario con tiempos preestablecidos. Una vez transcurrido el tiempo estipulado, la herramienta revoca los privilegios automáticamente.
Se trata de una amenaza sutil que puede surgir como una gran desventaja si su organización sufre una violación a la seguridad de los datos. Sin unos logs de actividad privilegiada exhaustivos y unas pruebas claras que puedan proporcionar contexto sobre el incidente en cuestión, las investigaciones forenses pueden fracasar, destruyendo la reputación de su marca y la confianza que ha generado entre sus clientes.
El acceso privilegiado, a menos que se gestione completamente con potentes controles y se monitoree constantemente, puede someter a su organización al riesgo de sobreexposición de datos y, en consecuencia, provocar interrupciones en el negocio, demandas judiciales, costos de investigación y daños a la reputación.
Como dice Gartner, la gestión de acceso privilegiado debe ser uno de sus principales proyectos de seguridad a largo plazo para eliminar las debilidades en su postura de ciberseguridad y neutralizar con éxito los riesgos emergentes relacionados con el acceso privilegiado.
Forrester estima que el 80% de las filtraciones de datos se deben a credenciales privilegiadas comprometidas, como contraseñas, tokens, claves y certificados. Las cibertendencias emergentes sugieren que los atacantes no siempre se basan en herramientas o métodos de ataque sofisticados para violar los perímetros de seguridad de una organización. Todo lo que necesitan es una cuenta privilegiada comprometida o una credencial débil para obtener acceso ilimitado y sin restricciones a información sensible para la empresa. Por lo tanto, el monitoreo en tiempo real, la auditoría periódica y la gestión segura de las cuentas privilegiadas son partes integrales de la gestión de acceso privilegiado.
Profundicemos en algunas de las mejores prácticas de PAM y en las funciones clave que debería buscar en una solución PAM.
Las mejores prácticas de gestión de acceso privilegiado pueden clasificarse en tres fases: antes, durante y después de la delegación de acceso privilegiado a un determinado sistema.
Antes de facilitar el acceso, el proceso de gestión de acceso privilegiado suele comenzar con un inventario de los endpoints críticos activos on-premises, en la nube y en las plataformas virtuales de la red.
Una vez descubiertos los activos, el siguiente paso es consolidar las cuentas privilegiadas asociadas y las claves SSH (o cualquier entidad de autenticación de usuario que proporcione permisos elevados, como las tarjetas inteligentes) en una bóveda central segura. Esta bóveda debe estar protegida por múltiples capas de cifrado con algoritmos de grado militar como AES-256 o RSA-4096.
Estas son otras medidas de seguridad:
A continuación, al asignar a una parte acceso privilegiado, el principio fundamental es aplicar el modelo de mínimo privilegio implementando controles basados en roles. Esto garantiza que el usuario, que ya ha demostrado su identidad a través de múltiples niveles de autenticación, sólo disponga de la cantidad mínima de derechos necesarios. Esto suele conllevar la aplicación de las siguientes medidas:
Lo más importante que hay que recordar en esta fase es que, una vez finalizado el trabajo, se debe revocar el acceso privilegiado. Una vez revocados los permisos, la credencial privilegiada (contraseña o clave SSH) también debe comprobarse automáticamente en la bóveda y restablecerse de inmediato utilizando políticas estrictas para evitar cualquier acceso no autorizado en el futuro.
Estas son otras iniciativas para garantizar una seguridad sólida:
La solución PAM ideal para su empresa debe ir más allá de la gestión de contraseñas y proporcionar una ventanilla única para todas sus necesidades de PAM.
Exploremos las funciones clave que debería tener el software de PAM:
Poder controlar las cuentas privilegiadas es clave para cualquier herramienta PAM. Una cuenta privilegiada no gestionada puede destruir una empresa por sí sola. A través de la gestión de cuentas privilegiadas, puede implementar controles de acceso basados en roles (RBAC) para los usuarios. Los RBAC garantizan que sus cuentas privilegiadas no sean explotadas por intrusos, atacantes externos que se aprovechan de empleados desprevenidos, empleados negligentes, exempleados malintencionados, proveedores remotos y otros.
Utilizando el control de cuentas privilegiadas y el PoLP, se reduce el área de exposición al proporcionar a los usuarios sólo los niveles de acceso necesarios y específicos para cada tarea. El control de cuentas privilegiadas también permite compartir de forma segura credenciales y cuentas privilegiadas con usuarios específicos fácilmente, de forma temporal y sólo cuando sea necesario. Una solución PAM que incluya estas funciones puede prevenir el abuso de privilegios y el acceso no autorizado y le alerta de anormalidades.
La gestión de credenciales privilegiadas hace referencia a la custodia, rotación periódica y almacenamiento seguro de credenciales y secretos privilegiados. Utilizando una solución PAM, puede guardar contraseñas en una bóveda, tokens y claves SSH; recuperar credenciales perdidas; y rotar credenciales regularmente.
La solución PAM ideal facilita el almacenamiento y el uso compartido seguro de credenciales con usuarios humanos, genera credenciales, gestiona privilegios, rota secretos, restablece credenciales periódicamente y gestiona la autorización de entidades no humanas (como equipos, aplicaciones, servicios y canalización DevOps).
La mayoría de las empresas tienen miles de cuentas privilegiadas, endpoints y credenciales, y es imposible descubrirlos e incorporarlos a todos manualmente. Una herramienta PAM debe permitirle descubrir cuentas y recursos privilegiados de forma masiva y gestionarlos desde un único dashboard centralizado. Con una solución PAM, también puede descubrir automáticamente los servicios, endpoints y credenciales asociados a las cuentas y recursos descubiertos.
LA PEDM forma parte de la gestión de acceso privilegiado y está diseñada para proporcionar a los usuarios privilegios temporales y granulares basados en requisitos específicos. Conceder a los usuarios privilegios superiores y acceso permanente a cuentas privilegiadas conlleva riesgos de seguridad significativos. Incluso a través de una exposición accidental, tales privilegios permanentes dan a los atacantes acceso a los recursos más valiosos de una organización.
La PEDM en las soluciones PAM pretende resolver este problema permitiendo a los usuarios y aplicaciones acceder a información privilegiada utilizando un enfoque basado en tiempo y solicitudes. En otras palabras, el acceso a la información sensible se concede durante un tiempo estipulado en función de la validación de los requisitos del usuario, y estos privilegios se revocan una vez transcurrido ese tiempo.
La gestión de sesiones privilegiadas se refiere al establecimiento, monitoreo en tiempo real, gestión y grabación de sesiones que implican acceso privilegiado. Las sesiones privilegiadas suponen una importante amenaza para la ciberseguridad si no se controlan. Por lo tanto, es importante autorizar el inicio de sesiones a través de una herramienta PAM y monitorear las sesiones en tiempo real para que puedan ser terminadas si hay alguna actividad sospechosa. Mediante el uso de una solución PAM que admita la gestión de sesiones privilegiadas, también puede grabar las sesiones privilegiadas para su análisis futuro y obtener alertas instantáneas cuando sea necesario.
El registro de auditoría de una sesión privilegiada incluye en qué consistió el evento, qué usuario o aplicación lo inició (incluida la dirección IP y el tipo de dispositivo), qué operaciones se realizaron durante toda la sesión, y la fecha y hora del evento. Los registros de auditoría crean una mayor transparencia para cada acción, garantizando que se pueda rastrear las actividades sospechosas y los fallos del sistema para determinar su origen.
Además, mantener registros de auditoría para el acceso privilegiado hace parte de las normas de cumplimiento, como HIPAA, SOX y PCI DSS, que esperan que las organizaciones monitoreen y capturen todas las acciones realizadas por las cuentas privilegiadas.
Las necesidades generales de gestión de TI de su empresa van más allá de una solución PAM, por lo que es importante que su software PAM se integre a la perfección con las demás soluciones de gestión de TI y aplicaciones empresariales utilizadas en su entorno. Las integraciones contextuales proporcionan una visión holística de las actividades privilegiadas en toda su organización. Aunque no es esencial integrar todas las funciones de TI entre sí, hacerlo contextualmente elimina las acciones duplicadas y las redundancias, mejorando así la seguridad general y la productividad de su equipo de TI.
Integrar su solución PAM con otras herramientas de gestión de TI le ayudará a automatizar el aprovisionamiento de acceso y las operaciones privilegiadas, controlar las cuentas de usuarios humanos y no humanos, lograr el cumplimiento y hacer aún más en diferentes verticales de la empresa. Además, una visión holística de las actividades privilegiadas, el comportamiento de los usuarios y los análisis en todo su entorno digital le permiten correlacionar el comportamiento de los usuarios y los patrones de abuso de privilegios, así como identificar y comprender los vectores de amenazas para prevenir futuros incidentes de seguridad.