La guía para principiantes sobre la gestión de acceso privilegiado

Cyber ​​Security Ventures estima que el daño de los delitos cibernéticos alcanzará los $ 6 billones anuales para 2021. Lo llaman el "hackerpocalypse". Esta cantidad es el doble de los daños sufridos en 2015 de 3 billones de dólares. Esta es la mayor amenaza global para las empresas y uno de los mayores problemas de la humanidad.

Los incentivos para los ataques cibernéticos criminales ahora son tan grandes que superarán la cantidad de dinero que se gana con el tráfico ilegal de drogas a nivel mundial.

Cuentas de usuarios privilegiados

Las cuentas de los usuarios privilegiados suelen ser objeto de ataques porque tienen permisos autorizados más sólidos, pueden acceder a información confidencial y crear nuevas cuentas de usuario o cambiar la configuración de los usuarios.

Los tipos de cuentas que tienen acceso privilegiado pueden incluir cuentas administrativas, cuentas de administrador de dominio, cuentas de servicios de autenticación, cuentas de seguridad de TI de emergencia, cuentas de administrador de Microsoft Active Directory, cuentas de servicios en la nube y cuentas de interfaz de programación de aplicaciones (API) de ruta crítica.

Si una cuenta de usuario privilegiada se ve comprometida, el posible daño puede ser extremo. Por ejemplo. Los daños por la violación de Equifax de las cuentas del historial crediticio de prácticamente todos los estadounidenses adultos se estimaron en $ 4 mil millones. La gestión de acceso privilegiado se utiliza para reducir este riesgo.

¿Qué es la gestión de acceso privilegiado?

La gestión de acceso se utiliza con la identificación del cliente para controlar el acceso de los usuarios a los servicios de red. La administración de acceso privilegiado se utiliza para controlar los niveles de permisos que se establecen como política de seguridad para grupos, tipos de cuentas, aplicaciones e individuos. Esto incluye la gestión de contraseñas, supervisión de sesiones, acceso privilegiado de proveedores y acceso a datos de aplicaciones.

¿Cómo funciona la gestión de acceso privilegiado?

El software de administración de acceso privilegiado (PAM) almacena las credenciales de las cuentas privilegiadas en un repositorio separado y altamente seguro donde los archivos están encriptados. El almacenamiento cifrado separado ayuda a garantizar que las credenciales no sean robadas o utilizadas por una persona no autorizada para obtener acceso a la red a nivel de administrador del sistema.

Los sistemas PAM más sofisticados no permiten que los usuarios elijan contraseñas. En su lugar, un administrador de contraseñas seguras utiliza la autenticación multifactor para verificar la solicitud de un usuario autorizado legítimo y luego emite una contraseña de un solo uso cada vez que un usuario administrador inicia sesión. Estas contraseñas caducan automáticamente si un usuario expira, la sesión es interrumpido, o después de un cierto período.

Gestión de acceso privilegiado y Active Directory

La administración de acceso privilegiado de Microsoft funciona con los Servicios de dominio de Active Directory de Microsoft para proteger las cuentas de los administradores de red y otras cuentas con permisos de acceso especiales. Esto ayuda a reducir los riesgos de perder las credenciales de los usuarios autorizados que pueden administrar los dominios de una empresa.

En el sistema Microsoft Active Directory, PAM es una instancia específica de Privileged Identity Management (PIM) autorizada por Microsoft Identity Manager. El PAM de Microsoft permite que un usuario autorizado restablezca el control sobre un sistema de Active Directory comprometido. Esto se hace manteniendo la información de la cuenta de los administradores en un entorno separado que no se ve afectado por ataques cibernéticos maliciosos.

PAM para Active Directory mejora la seguridad

El PAM de Microsoft para Active Directory hace que sea más difícil para los piratas informáticos obtener acceso no autorizado a una red y hacer un mal uso de las cuentas privilegiadas. Bajo el esquema PAM de Microsoft, los grupos privilegiados tienen acceso y control sobre servidores informáticos y aplicaciones de software que operan en múltiples dominios vinculados.

Supervisión de la actividad de la red

Las actividades del grupo privilegiado se monitorean constantemente con mayor visibilidad y controles de acceso ajustados con precisión. Los administradores de red siempre pueden ver lo que están haciendo los usuarios privilegiados. La detección de penetración de la red ocurre en tiempo real. Esto brinda a los administradores de red más información sobre cómo se utiliza el acceso a cuentas privilegiadas en el entorno operativo de la red.

Otras plataformas de gestión de acceso privilegiado

Hay muchas plataformas de administración de acceso privilegiado a considerar. Saviynt anunció recientemente una nueva plataforma de gestión de acceso privilegiado para servicios en la nube y aplicaciones híbridas.

El software de administración de acceso de usuarios en la nube proporciona características de seguridad críticas necesarias para administrar los servicios en la nube. Las plataformas PAM más innovadoras funcionan con servicios basados ​​en la nube, redes locales y combinaciones híbridas de ambos.

Principales plataformas PAM

Las principales plataformas de administración de acceso privilegiado elegidas por Solution Review son:

• BeyondTrust: esta plataforma funciona bien para redes que tienen servidores con diferentes sistemas operativos. Admite la autenticación mediante la verificación de identidad personal (PIV) y tiene funciones automatizadas que le permiten compartir archivos en la red utilizando el protocolo de red del bloque de mensajes del servidor (SMB).

• CA Technologies: esta plataforma PAM funciona con sistemas híbridos que utilizan servicios en la nube y redes locales. La compañía proporciona soporte de infraestructura global. El sistema se integra bien con Security Analytics, IGA y otras soluciones de gestión de eventos e información de seguridad (SIEM).

• Centrify: la fortaleza de esta plataforma PAM es su solución innovadora para el almacenamiento seguro de contraseñas en bóveda y sus capacidades de reenvío.

• CyberArk: esta plataforma es reconocida como líder en la mitigación de riesgos de cuentas privilegiadas con excelentes capacidades de almacenamiento de contraseñas.

• Ekran: esta plataforma utiliza una consola de control basada en web para implementaciones que necesitan mantener una alta disponibilidad. Tiene monitoreo de actividad de red en tiempo real y puede registrar las sesiones de inicio de sesión de los usuarios. Para mayor seguridad, los supervisores pueden controlar el acceso incluso después de que se haya concedido. Cuenta con integración total con sistemas de ticketing y soluciones SIEM.

• ManageEngine: esta plataforma funciona bien con redes híbridas en la nube/locales. Es fácil de instalar y configurar. Muchas empresas lo utilizan cuando migran de redes locales a servicios basados ​​en la nube.

• One Identity: esta empresa ofrece soluciones PAM que los administradores de red pueden usar internamente y una solución de acceso privilegiado basada en la nube que se ofrece a través de un proveedor llamado Balabit. One Identity compró Balabit en enero de 2018 para expandir sus soluciones PAM. One Identity es popular en muchos países porque se ofrece en 13 idiomas. Sus soluciones se centran en la gestión de contraseñas para controlar el acceso privilegiado.

• SecureAuth: esta plataforma tiene una amplia gama de capacidades de administración de acceso que incluyen software de autenticación de múltiples factores combinado con PAM. El software de autenticación multifactor elimina la necesidad de autenticación de contraseña que se utiliza para determinar la identidad privilegiada.

• Soluciones de Simeio: este sistema ofrece administración de identidad privilegiada (PIM) que se puede usar para automatizar la creación de informes para problemas de cumplimiento. Se integra con la autenticación multifactor y otra infraestructura de control de acceso. PIM se ofrece como un servicio que incluye monitoreo 24/7 sin inversión de capital en equipos de TI.

• Thycotic: este sistema ofrece una herramienta de administración de contraseñas que tiene características sólidas de administración de identidad y tiempos de implementación rápidos para la administración de acceso privilegiado.

• Tecnologías Xton: este es un sistema PAM asequible de nivel empresarial con fácil implementación y configuración. El sistema requiere poco mantenimiento y funciona bien para empresas de todos los tamaños.

Gestión de riesgos de seguridad de acceso privilegiado

Gran parte del enfoque en la seguridad cibernética es prevenir ataques cibernéticos hostiles que provienen de la penetración de la red desde el exterior. Sin embargo, administrar el acceso privilegiado también incluye administrar los riesgos de seguridad desde adentro.

La acción o inacción de un empleado descontento o descuidado suele ser el origen de una importante brecha de ciberseguridad. La "ingeniería" humana puede usarse como una herramienta para engañar a una persona para que revele información de inicio de sesión segura. Esto también puede ser un trabajo interno.

Cualquiera que tenga acceso autorizado a cuentas de acceso privilegiado puede causar mucho daño a los sistemas en red. Pueden cambiar los controles de seguridad, ajustar los permisos de los usuarios, hacer un mal uso de los recursos de la organización y hacer copias de grandes cantidades de datos confidenciales.

Un actor deshonesto que accede a una red con una cuenta de usuario privilegiada que tiene un alto nivel de autorización puede hacer casi cualquier cosa y luego borrar cualquier evidencia de lo que ha hecho.

Para gestionar estos riesgos, cada organización debe seguir estas mejores prácticas:

• Comprender el alcance detallado del acceso privilegiado.
• Solo otorgue el acceso específicamente necesario para cada usuario.
• Supervise la actividad de acceso privilegiado de la red en tiempo real.
• Utilice la automatización para administrar los controles de acceso de privilegios.
• Controle de manera fuerte y proactiva todos los accesos a los activos críticos.
• Aísle las contraseñas y otros datos confidenciales importantes en bóvedas seguras que no puedan verse afectadas por malware.
• Utilice un sistema que envíe automáticamente alertas del sistema a los supervisores de la red cuando ocurra cualquier actividad de acceso sospechosa.
• Otorgue a los supervisores la capacidad de anular inmediatamente cualquier acceso a la cuenta.
• Registro de sesiones de inicio de sesión para auditorías de seguridad de TI.

La gestión de acceso privilegiado es una parte vital de los sistemas defensivos para evitar el acceso no autorizado y las filtraciones de datos. Los ciberdelincuentes continúan encontrando nuevas formas de explotar los sistemas vulnerables. Los administradores de red deben enfocar su estrategia de seguridad de TI para incluir las mejores soluciones para PAM que puedan implementar y ser proactivos en la defensa de los activos críticos.