Si es administrador de sistemas, ha oído hablar de los riesgos asociados con muchas cuentas con acceso privilegiado a activos de TI críticos. Lea acerca de las mejores soluciones para mantenerlos bajo control.
La situación con el acceso privilegiado puede salirse rápidamente de control cuando crece la cantidad de usuarios, junto con la cantidad de aplicaciones, dispositivos e incluso tipos de infraestructura.
Debe aplicar una solución de administración de acceso privilegiado para evitar una situación tan problemática. Comencemos respondiendo la pregunta más obvia:
Tabla de contenido
¿Qué es la gestión de acceso privilegiado?
La gestión de acceso privilegiado (PAM) es un conjunto de estrategias y tecnologías de seguridad cibernética para ejercer control sobre permisos y accesos elevados («privilegiados») para usuarios, cuentas, procesos y sistemas en un entorno de TI.
Al definir el nivel apropiado de controles de acceso privilegiado, PAM ayuda a las organizaciones a reducir sus superficies de ataque y prevenir (o al menos mitigar) el daño de ataques externos, así como intentos internos de sabotaje o actos de negligencia.
Aunque la gestión de privilegios abarca muchas estrategias, un objetivo central es la aplicación de privilegios mínimos, definidos como la restricción de los derechos y permisos de acceso al mínimo absoluto necesario para que los usuarios, las cuentas, las aplicaciones y los dispositivos realicen sus actividades autorizadas de rutina.
Muchos analistas y tecnólogos consideran que PAM es una de las iniciativas de seguridad más críticas para reducir el riesgo cibernético y lograr un alto retorno de la inversión en seguridad.
¿Cómo funciona la gestión de acceso privilegiado (PAM)?
La administración de acceso privilegiado funciona según el principio de privilegio mínimo, de modo que incluso los usuarios con más privilegios pueden acceder solo a lo que necesitan. Las herramientas de administración de acceso privilegiado suelen ser parte de soluciones PAM más amplias diseñadas para abordar varios desafíos relacionados con el monitoreo, la protección y la administración de cuentas privilegiadas.
Una solución diseñada para la administración de acceso privilegiado debe brindar la capacidad de monitorear y registrar toda la actividad de acceso privilegiado y luego informarla a un administrador. El administrador puede realizar un seguimiento del acceso privilegiado y detectar en qué situaciones puede estar siendo mal utilizado.
La solución debe facilitar a los administradores de sistemas la identificación de anomalías y amenazas potenciales para tomar medidas inmediatas y limitar el daño. Las características esenciales de una solución de administración de acceso privilegiado deben incluir:
- Identifique, administre y monitoree cuentas privilegiadas en todos los sistemas y aplicaciones dentro de una red.
- Controle el acceso a cuentas privilegiadas, incluido el acceso que puede compartirse o estar disponible durante emergencias.
- Cree credenciales aleatorias y seguras para cuentas privilegiadas, incluidas contraseñas, nombres de usuario y claves.
- Proporcione autenticación multifactor.
- Restrinja y controle comandos, tareas y actividades privilegiados.
- Administre el uso compartido de credenciales entre servicios para limitar la exposición.
PAM frente a IAM
La gestión de acceso privilegiado (PAM) y la gestión de acceso a la identidad (IAM) son formas comunes de mantener altos niveles de seguridad y permitir que los usuarios accedan a los activos de TI independientemente de la ubicación y el dispositivo.
Es esencial que el personal empresarial y de TI comprenda la diferencia entre los dos enfoques y su función al usarlos para asegurar el acceso a información privada y confidencial.
IAM es un término más general. Se utiliza principalmente para identificar y autorizar usuarios en toda la organización. Por otro lado, PAM es un subconjunto de IAM que se enfoca en usuarios privilegiados, es decir, aquellos que necesitan permiso para acceder a los datos más sensibles.
IAM se refiere a identificar, autenticar y autorizar perfiles de usuario que emplean identidades digitales únicas. Las soluciones de IAM brindan a las empresas una combinación de funciones compatibles con un enfoque de confianza cero para la ciberseguridad, que requiere que los usuarios verifiquen su identidad cada vez que soliciten acceso a un servidor, aplicación, servicio u otro activo de TI.
La siguiente descripción general de las principales soluciones PAM disponibles, tanto como sistemas locales instalados localmente como basados en la nube.
fuerteDM
fuerteDM proporciona una plataforma de acceso a la infraestructura que elimina las soluciones de punto final y cubre todos los protocolos. Es un proxy que combina métodos de autenticación, autorización, redes y observabilidad en una sola plataforma.
En lugar de complicar el acceso, los mecanismos de asignación de permisos de StrongDM aceleran el acceso al otorgar y revocar instantáneamente el acceso granular y de privilegios mínimos mediante el control de acceso basado en roles (RBAC), el control de acceso basado en atributos (ABAC) o las aprobaciones de puntos finales para todos los recursos.
La incorporación y baja de empleados se logra con un solo clic, lo que permite la aprobación temporal de privilegios elevados para operaciones confidenciales con Slack, Microsoft Teams y PagerDuty.
StrongDM le permite conectar a cada usuario final o servicio con los recursos exactos que necesita, independientemente de su ubicación. Además, reemplaza el acceso VPN y los hosts bastión con redes de confianza cero.
StrongDM tiene numerosas opciones de automatización, incluida la integración de flujos de trabajo de acceso en su canal de implementación existente, la transmisión de registros a su SIEM y la recopilación de evidencia para varias auditorías de certificación, incluidas SOC 2, SOX, ISO 27001 e HIPAA.
ManageEngine PAM360
PAM360 es una solución integral para empresas que quieren incorporar PAM en sus operaciones de seguridad. Con las capacidades de integración contextual de PAM360, puede crear una consola central donde las diferentes partes de su sistema de administración de TI estén interconectadas para una correlación más profunda de los datos de acceso privilegiado y los datos generales de la red, lo que facilita inferencias significativas y una reparación más rápida.
PAM360 garantiza que ninguna ruta de acceso privilegiado a sus activos de misión crítica quede sin administrar, sin conocer o sin monitorear. Para que esto sea posible, proporciona una bóveda de credenciales donde puede almacenar cuentas privilegiadas. Esta bóveda ofrece administración centralizada, permisos de acceso basados en roles y encriptación AES-256.
Con controles justo a tiempo para cuentas de dominio, PAM360 otorga privilegios elevados solo cuando los usuarios los necesitan. Después de un período determinado, los permisos se revocan automáticamente y las contraseñas se restablecen.
Además de administrar el acceso privilegiado, PAM360 facilita que los usuarios privilegiados se conecten a hosts remotos con un solo clic, sin complementos de navegador ni agentes de punto final. Esta funcionalidad proporciona un túnel de conexiones a través de puertas de enlace encriptadas y sin contraseña que brindan la máxima protección.
teletransportarse
Teletransporte La estrategia es consolidar todos los aspectos del acceso a la infraestructura en una única plataforma para los ingenieros de software y las aplicaciones que desarrollan. Esta plataforma unificada tiene como objetivo reducir la superficie de ataque y los costos operativos generales al mismo tiempo que mejora la productividad y garantiza el cumplimiento de los estándares.
Access Plane de Teleport es una solución de código abierto que reemplaza las credenciales compartidas, las VPN y las tecnologías de administración de acceso privilegiado heredadas. Fue diseñado específicamente para proporcionar el acceso necesario a la infraestructura sin entorpecer el trabajo ni reducir la productividad del personal de TI.
Los profesionales e ingenieros de seguridad pueden acceder a servidores Linux y Windows, clústeres de Kubernetes, bases de datos y aplicaciones DevOps, como CI/CD, control de versiones y paneles de control a través de una sola herramienta.
Teleport Server Access utiliza estándares abiertos como certificados X.509, SAML, HTTPS y OpenID Connect, entre otros. Sus creadores se enfocaron en la simplicidad de instalación y uso, ya que estos son los pilares de una buena experiencia de usuario y una sólida estrategia de seguridad. Por lo tanto, consta de solo dos binarios: un cliente que permite iniciar sesión para obtener certificados de corta duración y el agente Teleport, que se instala en cualquier servidor o clúster de Kubernetes con un solo comando.
Okta
Okta es una empresa dedicada a soluciones de autenticación, directorio e inicio de sesión único. También proporciona soluciones PAM a través de socios, que se integran con sus productos para proporcionar identidad centralizada, políticas de acceso adaptables y personalizables, informes de eventos en tiempo real y superficies de ataque reducidas.
A través de las soluciones integradas de Okta, las empresas pueden aprovisionar/desaprovisionar automáticamente usuarios privilegiados y cuentas administrativas al mismo tiempo que brindan acceso directo a activos críticos. Los administradores de TI pueden detectar actividades anómalas a través de la integración con soluciones de análisis de seguridad, alertar y tomar medidas para prevenir riesgos.
Perímetro
HashiCorp ofrece su Perímetro solución para proporcionar gestión de acceso basada en identidad para infraestructuras dinámicas. También proporciona administración de sesiones simple y segura y acceso remoto a cualquier sistema confiable basado en identidad.
Al integrar la solución Vault de HashiCorp, es posible asegurar, almacenar y controlar estructuralmente el acceso a tokens, contraseñas, certificados y claves de cifrado para proteger secretos y otros datos confidenciales a través de una interfaz de usuario, una sesión CLI o una API HTTP.
Con Boundary, es posible acceder a hosts y sistemas críticos a través de múltiples proveedores por separado, sin necesidad de administrar credenciales individuales para cada sistema. Se puede integrar con proveedores de identidad, eliminando la necesidad de exponer la infraestructura al público.
Boundary es una solución de código abierto independiente de la plataforma. Al ser parte de la cartera de HashiCorp, naturalmente brinda la capacidad de integrarse fácilmente en los flujos de trabajo de seguridad, lo que lo hace fácilmente implementable en la mayoría de las plataformas de nube pública. El código necesario ya está en GitHub y listo para usarse.
delinea
Delinea Las soluciones de gestión de acceso privilegiado tienen como objetivo simplificar la instalación y el uso de la herramienta tanto como sea posible. La empresa hace que sus soluciones sean intuitivas, facilitando la definición de límites de acceso. Ya sea en la nube o en entornos locales, las soluciones PAM de Delinea son fáciles de implementar, configurar y administrar sin sacrificar la funcionalidad.
Delinea ofrece una solución basada en la nube que permite la implementación en cientos de miles de máquinas. Esta solución consta de Privilege Manager para estaciones de trabajo y Cloud Suite para servidores.
Privilege Manager le permite descubrir máquinas, cuentas y aplicaciones con derechos de administrador, ya sea en estaciones de trabajo o servidores alojados en la nube. Incluso opera en máquinas pertenecientes a diferentes dominios. Al definir reglas, puede aplicar automáticamente políticas para administrar privilegios, definir de forma permanente la pertenencia a grupos locales y rotar automáticamente las credenciales con privilegios no humanos.
Un asistente de políticas le permite elevar, denegar y restringir aplicaciones con solo unos pocos clics. Finalmente, la herramienta de generación de informes de Delinea brinda información valiosa sobre las aplicaciones bloqueadas por malware y el cumplimiento con privilegios mínimos. También ofrece la integración de Privileged Behavior Analytics con Privilege Manager Cloud.
Más allá de la confianza
Más allá de la confianza Privilege Management facilita la elevación de privilegios a aplicaciones conocidas y confiables que los requieren controlando el uso de aplicaciones y registrando y reportando actividades privilegiadas. Lo hace mediante el uso de herramientas de seguridad ya existentes dentro de su infraestructura.
Con Privilege Manager, puede otorgar a los usuarios los privilegios exactos que necesitan para completar sus tareas sin el riesgo de tener privilegios excesivos. También puede definir políticas y distribuciones de privilegios, ajustando y determinando el nivel de acceso disponible en toda la organización. De esta forma evitarás ataques de malware por exceso de privilegios.
Puede usar políticas detalladas para elevar los privilegios de las aplicaciones para usuarios estándar de Windows o Mac, brindando suficiente acceso para completar cada tarea. BeyondTrust Privilege Manager se integra con aplicaciones de mesa de ayuda confiables, escáneres de administración de vulnerabilidades y herramientas SIEM a través de conectores integrados en la herramienta.
Los análisis de seguridad de punto final de BeyondTrust le permiten correlacionar el comportamiento del usuario con la inteligencia de seguridad. También le brinda acceso a un seguimiento de auditoría completo de toda la actividad de los usuarios, para que pueda acelerar el análisis forense y simplificar el cumplimiento empresarial.
Una identidad
Una identidadLas soluciones de gestión de acceso privilegiado (PAM) de mitigan los riesgos de seguridad y permiten el cumplimiento empresarial. El producto se ofrece en modo SaaS o local. Cualquiera de las variantes le permite asegurar, controlar, monitorear, analizar y gobernar el acceso privilegiado en múltiples entornos y plataformas.
Además, brinda la flexibilidad de otorgar privilegios completos a usuarios y aplicaciones solo cuando sea necesario, aplicando un modelo operativo de confianza cero y privilegios mínimos en todas las demás situaciones.
CyberArk
Con CyberArk Administrador de acceso privilegiado, puede descubrir e incorporar automáticamente credenciales y secretos privilegiados utilizados por entidades humanas o no humanas. A través de la gestión centralizada de políticas, la solución de CyberArk permite a los administradores de sistemas definir políticas para la rotación de contraseñas, la complejidad de las contraseñas, la asignación de bóvedas por usuario y más.
La solución se puede implementar como un servicio (modo SaaS) o puede instalarla en sus servidores (autoalojado).
Centrificar
los Centrificar El servicio Privilege Threat Analytics detecta el abuso de acceso privilegiado al agregar una capa de seguridad a su nube e infraestructuras locales. Lo hace mediante el empleo de análisis de comportamiento avanzado y autenticación adaptativa de múltiples factores. Con las herramientas de Centrify, es posible obtener alertas casi en tiempo real sobre el comportamiento anormal de todos los usuarios dentro de una red.
Centrify Vault Suite le permite asignar acceso privilegiado a cuentas y credenciales compartidas, mantener bajo control las contraseñas y los secretos de las aplicaciones y proteger las sesiones remotas. A su vez, con Centrify Cloud Suite, su organización puede, independientemente de su tamaño, gobernar globalmente el acceso privilegiado a través de políticas administradas centralmente y aplicadas dinámicamente en el servidor.
Conclusión
El uso indebido de privilegios es una de las principales amenazas de ciberseguridad en la actualidad, lo que a menudo genera pérdidas costosas e incluso empresas paralizadas. También es uno de los vectores de ataque más populares entre los ciberdelincuentes porque, cuando se lleva a cabo con éxito, proporciona acceso gratuito a las entrañas de una empresa, a menudo sin dar la alarma hasta que el daño está hecho. El uso de una solución de administración de acceso de privilegios adecuada es imprescindible cuando los riesgos de abuso de privilegios de cuenta se vuelven difíciles de controlar.