Derribar los mitos acerca de la administración de accesos con privilegios (PAM)

Cada sistema tecnológico gestiona su seguridad proporcionando a los usuarios diferentes niveles de acceso. Este modelo de seguridad basado en roles ofrece a los administradores del sistema un mayor control y determina las acciones que cada usuario puede realizar en el sistema. El principio de privilegio mínimo establece que cada usuario solo debe tener el acceso que necesita para realizar sus funciones y nada más. Por lo tanto, aumentar la seguridad de la plataforma requiere que una organización limite la cantidad de usuarios que tienen privilegios para acceder a las funciones administrativas. Dado que acciones como el acceso a información restringida, la adición o eliminación de usuarios y la reconfiguración de aplicaciones tienen ramificaciones operativas y de seguridad, solo los usuarios de confianza deben tener el acceso pertinente para realizar estas tareas.

A menudo nos referimos a estas cuentas con privilegios como superusuarios o administradores. Sin embargo, las cuentas con privilegios también pueden referirse a usuarios de cuentas no humanos. Por ejemplo, algunos servicios empresariales requieren una cuenta de sistema para acceder a datos confidenciales o redes restringidas. También puede tener servicios que se basan en secretos compartidos, como claves de cifrado que otorgan acceso a los usuarios habituales. Como todas estas cuentas privilegiadas tienen acceso a datos confidenciales y entornos seguros, debemos implementar medidas de seguridad de TI adicionales para protegerlas.

La administración de accesos con privilegios (PAM) es un mecanismo de seguridad de la información que protege las identidades con acceso especial o capacidades más allá de los usuarios habituales. Como todas las demás soluciones de seguridad de la información, la seguridad de PAM funciona mediante una combinación de personas, procesos y tecnología.

Tratamos las cuentas con privilegios con especial cuidado debido al riesgo que representan para el entorno tecnológico. Por ejemplo, si las credenciales de un administrador o una cuenta de servicio caen en las manos equivocadas, podría comprometer los sistemas y los datos confidenciales de la organización.

Las violaciones de datos ocurren cuando los actores amenazantes comprometen las cuentas de acceso con privilegios. Como estas cuentas tienen las llaves que abren todas las puertas en un entorno tecnológico, necesitamos agregar capas adicionales de protección. Esa seguridad adicional es una solución de administración de accesos con privilegios.

En un entorno tecnológico, el acceso con privilegios se refiere a cuentas con capacidades elevadas más allá de los usuarios regulares. Por ejemplo, en un entorno Linux, el usuario raíz puede agregar, modificar o eliminar usuarios, instalar y desinstalar software y acceder a partes restringidas de sistemas operativos que están fuera del alcance de un usuario estándar. Los entornos de Windows siguen una construcción de seguridad similar, pero el usuario raíz en esa instancia se llama administrador.

Ilustremos el concepto de acceso con privilegios con un ejemplo bancario del mundo real. Un banco típico tiene clientes, cajeros y gerentes. Cada "usuario" tiene diferentes niveles de autoridad cuando se trata de acceder al efectivo del banco. Los clientes solo pueden acceder al dinero en sus cuentas bancarias. Los cajeros tienen más privilegios que los clientes regulares, ya que tienen acceso a todo el efectivo en sus respectivos cajones. Los gerentes tienen un acceso aún mayor que los cajeros, ya que pueden acceder al dinero almacenado en la bóveda del banco. Los sistemas tecnológicos también utilizan este modelo de acceso con privilegios por niveles. Su rol dentro del sistema determina lo que puede o no puede hacer.

En nuestro ejemplo bancario, los cajeros y gerentes serían los usuarios con acceso con privilegios. Como estos roles tienen acceso a más efectivo del banco que a los clientes, el banco necesita implementar medidas de seguridad adicionales antes de otorgar acceso a los cajeros y gerentes. Por ejemplo, durante sus entrevistas laborales, es posible que deban pasar una verificación de antecedentes penales. Cuando comiencen a trabajar en el banco, su función también determinará su acceso físico. Por ejemplo, los cajeros pueden ingresar al área segura del banco, pero solo los gerentes tendrán el acceso con privilegios necesario para ingresar a la bóveda.

La administración de accesos con privilegios es un mecanismo de seguridad que consta de varios componentes. Dependiendo del problema de seguridad que la solución intente resolver, entran en juego diferentes procesos y tecnologías.

Como sugiere el nombre, la administración de cuentas con privilegios se refiere a los mecanismos que administran y auditan las cuentas que tienen acceso al sistema más allá del de un usuario estándar. En algunos sistemas de administración de accesos con privilegios, la administración de cuentas privilegiadas se refiere a la tecnología que almacena las credenciales. Por ejemplo, un administrador puede gestionar un portal que defina y controle los métodos para acceder a la cuenta privilegiada en varias aplicaciones y recursos empresariales. El portal de administración de cuentas con privilegios almacena las credenciales de las cuentas privilegiadas (como sus contraseñas) en una bóveda de contraseñas de propósito especial y altamente segura. Además de almacenar las credenciales, el portal también puede aplicar políticas con respecto a sus condiciones de acceso. Por ejemplo, puede tener las credenciales de una cuenta de servicio privilegiada que ejecuta un sistema crítico. Los usuarios que requieren acceso a esas credenciales pueden necesitar usar un mecanismo de autenticación único. En algunos casos, estos portales cambian automáticamente la contraseña en la bóveda y en el sistema, lo que garantiza que las credenciales permanezcan seguras después de que alguien haya accedido a ellas.

La administración de sesiones con privilegios es un componente de una solución de administración de accesos con privilegios que permite a los administradores monitorear, administrar y auditar las actividades de los usuarios con privilegios. Realiza un seguimiento y registra sesiones iniciadas por usuarios internos y externos y sistemas conectados con capacidades superiores a las de un usuario estándar. Estas soluciones reducen el riesgo al notificar a los administradores de seguridad cualquier actividad de sesión anómala que involucre una cuenta con privilegios.

Como se mencionó, la administración de accesos con privilegios es una combinación de personas, procesos y tecnología. Por lo tanto, el primer paso para implementar una solución PAM es identificar qué cuentas tienen acceso con privilegios. Después de eso, la empresa debe decidir qué políticas aplicará a estas cuentas.

Por ejemplo, pueden indicar que las cuentas de servicio deben renovar su contraseña cada vez que un usuario accede a sus credenciales almacenadas. Otro ejemplo sería imponer la autenticación multifactor (MFA) para todos los administradores del sistema. Mantener un registro detallado de todas las sesiones con privilegios es otra política que la organización puede decidir implementar. Idealmente, cada proceso debería alinearse con un riesgo particular. Por ejemplo, forzar un cambio en las contraseñas de las cuentas de servicio mitiga el riesgo de una amenaza interna. Del mismo modo, mantener un registro de todas las sesiones con privilegios permite a los administradores de seguridad identificar cualquier anomalía, e imponer la MFA es una solución comprobada para mitigar los ataques relacionados con contraseñas.

Una vez que la organización completa su fase de descubrimiento de identificación de cuentas privilegiadas y finaliza sus políticas PAM, puede implementar una plataforma tecnológica para monitorear y hacer cumplir su administración de accesos con privilegios. Esta solución PAM automatiza las políticas de la organización y brinda a los administradores de seguridad una plataforma para administrar y monitorear cuentas privilegiadas.

Una solución de administración de accesos con privilegios debe tener las capacidades para respaldar las políticas PAM de una organización. Por lo general, una PAM empresarial tendrá funciones de administración de contraseñas automatizadas que incluyen una bóveda, rotación automática, generación automática y un flujo de trabajo de aprobación. Además de estas capacidades de gestión de contraseñas, también debería proporcionar a los administradores la capacidad de implementar e imponer la autenticación de múltiples factores.

Una solución de administración de accesos con privilegio de nivel empresarial también debería ofrecer a las organizaciones la capacidad de administrar los ciclos de vida de las cuentas privilegiadas. En otras palabras, debe dar a los administradores la capacidad de automatizar la creación, modificación y eliminación de cuentas. Finalmente, una solución PAM debe proporcionar monitoreo e informes sólidos. Como los administradores de seguridad necesitan monitorear sesiones con privilegios e investigar cualquier anomalía, debe proporcionar visibilidad en tiempo real y alertas automatizadas.

La administración de accesos con privilegios (PAM) es un componente de una solución más amplia de gestión de accesos e identidades (IAM). PAM se ocupa del proceso y las tecnologías necesarias para asegurar las cuentas privilegiadas. Por otro lado, una solución IAM ofrece administración de contraseñas, autenticación multifactor, inicio de sesión único (SSO) y administración del ciclo de vida de los usuarios para todas las cuentas, no solo para aquellas con acceso con privilegios.

El principio de privilegio mínimo (POLP) es un modelo de seguridad que establece que los usuarios, las redes, los dispositivos y las cargas de trabajo deben tener el acceso mínimo que necesitan para realizar su función y nada más. Por otro lado, la administración de accesos con privilegios se ocupa de los procesos y tecnologías de seguridad necesarios para proteger las cuentas privilegiadas. Por lo tanto, aunque PAM habilita algunos de los factores necesarios para hacer cumplir el principio de privilegios mínimos, no es la única tecnología que lo hace.

PAM brinda a los administradores la funcionalidad, la automatización y los informes que necesitan para administrar las cuentas privilegiadas. Además, es compatible con el principio de privilegios mínimos, ya que permite la gestión y supervisión necesarias para mitigar el riesgo de cuentas que tienen capacidades más allá del usuario estándar. Sin embargo, las organizaciones tienen acceso a otros mecanismos de seguridad de la información para hacer cumplir el principio de privilegios mínimos. Por ejemplo, podrían implementar el control de acceso basado en roles (RBAC) en todos los sistemas. Otros ejemplos de aplicación del principio de privilegios mínimos incluyen la segmentación y protección de sus redes con VLAN y la garantía de que los usuarios no sean administradores locales en sus estaciones de trabajo corporativas.

La administración de accesos con privilegios es vital en cualquier organización, ya que las cuentas privilegiadas representan un riesgo significativo para la empresa. Por ejemplo, si un actor amenazante compromete una cuenta de usuario estándar, solo tendrá acceso a la información de ese usuario en particular. Sin embargo, si logran comprometer a un usuario privilegiado, tendrán un acceso mucho mayor y, dependiendo de la cuenta, pueden incluso tener la capacidad de sabotear los sistemas.

Debido a su estado y perfil, los ciberdelincuentes apuntan a cuentas privilegiadas para poder comprometer organizaciones enteras en lugar de un solo usuario. Con las estimación de Forrester de que el 80 % de las infracciones de seguridad involucran cuentas privilegiadas, es vital proteger y monitorear estas identidades empresariales centrales. Por ejemplo, una solución PAM puede resolver las debilidades de seguridad, como que varios usuarios accedan y conozcan la misma contraseña administrativa para un servicio en particular. También mitiga el riesgo de que los administradores de contraseñas estáticas de larga data no quieran cambiar porque temen que pueda causar una interrupción no planificada.

PAM controla aspectos clave del acceso seguro y simplifica el aprovisionamiento de cuentas de usuarios administradores, derechos de acceso elevados y configuración para aplicaciones en la nube. En términos de seguridad de TI, PAM reduce la superficie de ataque de una organización a través de redes, servidores e identidades. También disminuye la probabilidad de filtraciones de datos por parte de amenazas de ciberseguridad internas y externas.

Una solución de administración de accesos con privilegios es tan efectiva como su implementación. Por lo tanto, las organizaciones deben considerar las siguientes mejores prácticas:

• Implementar el principio de privilegios mínimos: no puede administrar cuentas privilegiadas sin implementar primero el principio de privilegios mínimos. Bloquear un entorno para que solo las cuentas privilegiadas puedan acceder a recursos particulares es un requisito previo para una solución PAM exitosa.

• Realizar un seguimiento de todas las cuentas privilegiadas: no puede administrar una cuenta privilegiada si no es parte de su solución PAM.

• Considerar la escalada temporal de privilegios: en lugar de otorgar a un usuario acceso con privilegios perpetuo, considere proporcionar acceso solo cuando sea necesario y luego eliminarlo.

• Utilizar el control de acceso basado en roles: la administración de accesos con privilegios solo funciona en un sistema si tiene diferentes niveles de acceso basados en roles. Por ejemplo, si todos son administradores, es mucho más difícil protegerlo y administrarlo.

• Automatizar: la automatización reduce el riesgo de error humano y aumenta la eficiencia de su entorno de seguridad de la información.

• Monitorear, registrar y auditar: el monitoreo continuo y el registro activo de toda la actividad de las cuentas privilegiadas es vital para garantizar que una organización tenga los conocimientos que necesita para proteger su entorno. Sin embargo, también es crucial que se realice una auditoría de los registros con regularidad. Sin ella, la organización no tendría la información que necesita para identificar los riesgos potenciales e implementar medidas para mitigarlos.