Si es un administrador del sistema, ha escuchado sobre los riesgos asociados con muchas cuentas con acceso privilegiado a recursos de TI críticos. Lea sobre las mejores soluciones para mantenerlas bajo control.
La situación de acceso privilegiada puede descontrolarse rápidamente cuando el número de usuarios crece junto con la cantidad de aplicaciones, dispositivos e incluso tipos de infraestructura.
Debe implementar una solución de gestión de acceso privilegiada para evitar esta situación problemática. Comencemos respondiendo la pregunta más obvia:
¿Qué es la gestión de acceso privilegiado?
Privileged Access Management (PAM) es un conjunto de estrategias y tecnologías de ciberseguridad para controlar el acceso y permisos elevados («privilegiados») para usuarios, cuentas, procesos y sistemas en un entorno de TI.
Al definir el nivel apropiado de control de acceso privilegiado, PAM ayuda a las organizaciones a reducir las superficies de ataque y prevenir (o al menos mitigar) el daño de los ataques externos, así como los intentos internos de sabotaje o actos de negligencia.
Si bien la gestión de privilegios abarca muchas estrategias, el objetivo general es aplicar el menor privilegio, definido como limitando los derechos de acceso y las permeaciones al mínimo absoluto necesario para que los usuarios, cuentas, aplicaciones y dispositivos realicen sus acciones autorizadas rutinarias.
Muchos analistas y tecnólogos consideran que PAM es una de las iniciativas de seguridad más importantes para reducir el riesgo cibernético y lograr un alto rendimiento de las inversiones de seguridad.
¿Cómo funciona la gestión de acceso privilegiado (PAM)?
La gestión de acceso privilegiado funciona en el principio del menor privilegio, por lo que incluso los usuarios más privilegiados solo pueden acceder a lo que necesitan. Las herramientas de gestión de acceso privilegiadas generalmente forman parte de soluciones PAM más amplias diseñadas para abordar una variedad de tareas relacionadas con el monitoreo, la protección y la gestión de cuentas privilegiadas.
Una solución diseñada para administrar el acceso privilegiado debe proporcionar la capacidad de rastrear y registrar toda la actividad de acceso privilegiado y luego informarla al administrador. El administrador puede monitorear el acceso privilegiado y detectar cuándo puede usarse mal.
La solución debería facilitar a los administradores del sistema identificar anomalías y amenazas potenciales para la acción inmediata y la limitación de daños. Las características clave de una solución de gestión de acceso privilegiada deben incluir:
- Identificar, administrar y monitorear cuentas privilegiadas en todos los sistemas y aplicaciones en la red.
- Administre el acceso a cuentas privilegiadas, incluido el acceso que puede compartirse o disponible en situaciones de emergencia.
- Cree credenciales aleatorizadas y seguras para cuentas privilegiadas, incluidas contraseñas, nombres de usuario y claves.
- Proporcionar autenticación multifactor.
- Restringir y controlar comandos, tareas y acciones privilegiados.
- Administre el intercambio de credenciales entre servicios para limitar las vulnerabilidades.
Pam vs. iam
La gestión de acceso privilegiado (PAM) y la gestión de acceso de identidad (IAM) son formas comunes de mantener un alto nivel de seguridad y permitir a los usuarios acceder a los activos de TI, independientemente de la ubicación o el dispositivo.
Es importante que las empresas y el personal de TI comprendan la diferencia entre estos dos enfoques y su papel en la utilización para proteger el acceso a información privada y confidencial.
IAM es un término más general. Se utiliza principalmente para identificar y autorizar a los usuarios en toda la organización. Por otro lado, PAM es un subconjunto de IAM que está destinado a usuarios privilegiados, es decir, aquellos que requieren autorización para acceder a los datos más confidenciales.
IAM se refiere a la identificación, autenticación y autorización de perfiles de usuario utilizando identificadores digitales únicos. Las soluciones IAM proporcionan a las empresas una combinación de características compatibles con un enfoque de ciberseguridad cero de confianza que requiere que los usuarios prueben su identidad cada vez que soliciten acceso a un servidor, aplicación, servicio u otro recurso de TI.
La siguiente descripción general de las principales soluciones de PAM disponibles, tanto como sistemas locales basados en la nube como instalados localmente.
StrongDM
StrongDM proporciona una plataforma de acceso a la infraestructura que elimina las soluciones de punto final y cubre todos los protocolos. Es un proxy que combina métodos de autenticación, autorización, redes y vigilancia en una sola plataforma.
En lugar de complicar el acceso, los mecanismos de asignación de permisos de StrongDM aceleran el acceso instantáneamente otorgando y revocando el acceso granular con privilegios mínimos utilizando el control de acceso basado en roles (RBAC), el control de acceso basado en atributos (ABAC) o las aprobaciones de punto final para todos los recursos.
El check-in y la terminación de los empleados están a un solo clic de distancia, lo que le permite aprobar temporalmente privilegios elevados para operaciones críticas utilizando Slack, Microsoft Equips y PagerDuty.
StrongDM le permite conectar cada usuario o servicio final a los recursos que necesitan, independientemente de su ubicación. También reemplaza los nodos de acceso VPN y bastión en redes de cerofilia.
StrongDM ofrece muchas opciones de automatización, incluida la integración de flujos de trabajo de acceso en su canalización de implementación existente, transmisión de registros a su SIEM y recopilar datos para varias auditorías de certificación, incluidas SOC 2, SOX, ISO 27001 e HIPAA.
Control de motor PAM360
PAM360 es una solución completa para las empresas que buscan incorporar PAM en sus operaciones de seguridad. Con las capacidades de integración contextual de PAM360, puede crear una consola central donde diferentes partes de su sistema de gestión de TI están vinculadas para una correlación más profunda del acceso privilegiado y los datos de la red comunes, lo que facilita sacar conclusiones significativas y una remediación más rápida.
PAM360 asegura que ninguna ruta de acceso privilegiada a sus recursos críticos permanezca sin administrar, desconocido o sin monitorear. Para hacer esto posible, proporciona una bóveda de credencial donde puede almacenar cuentas privilegiadas. Esta bóveda ofrece gestión centralizada, derechos de acceso basados en roles y cifrado AES-256.
Con la administración de cuentas de dominio operativo, PAM360 proporciona privilegios elevados solo cuando los usuarios los necesitan. Después de un cierto período, los permisos se revocan automáticamente y se restablecen las contraseñas.
Además del control de acceso privilegiado, PAM360 permite a los usuarios privilegiados conectarse fácilmente a hosts remotos con un solo clic, sin complementos de navegador o agentes de punto final. Esta característica de los tunnels Conexiones a través de puertas de puertas cifradas y sin contraseña que proporcionan la máxima seguridad.
Teletransporte
La estrategia de TelePort es unificar todos los aspectos del acceso a la infraestructura en una sola plataforma para ingenieros de software y las aplicaciones que desarrollan. Esta plataforma unificada tiene como objetivo reducir la superficie de ataque y la sobrecarga operativa al tiempo que mejora la productividad y el cumplimiento.
TelePort Access Plane es una solución de código abierto que reemplaza las credenciales compartidas, las VPN y las tecnologías de control de acceso privilegiado de Legacy. Ha sido diseñado específicamente para proporcionar el acceso necesario a la infraestructura sin interferir con las operaciones o reducir la productividad del personal de TI.
Los profesionales e ingenieros de seguridad pueden acceder a los servidores de Linux y Windows, clústeres de Kubernetes, bases de datos y aplicaciones DevOps como CI/CD, control de versiones y paneles desde una sola herramienta.
TelePort Server Access utiliza estándares abiertos como certificados X. 509, SAML, HTTPS y OpenID Connect, entre otros. Sus creadores se centraron en la facilidad de instalación y la facilidad de uso, ya que estos son los pilares de una buena experiencia de usuario y una estrategia de seguridad sólida. Por lo tanto, consta de solo dos binarios: un cliente que permite a los usuarios iniciar sesión para obtener certificados a corto plazo y un agente de teletransporte que se puede instalar en cualquier servidor o clúster de Kubernetes con un solo comando.
Octa
Okta es una empresa especializada en soluciones de autenticación, directorio y inicio de sesión único. También proporciona soluciones PAM a través de socios que se integran con sus productos para proporcionar identidad centralizada, políticas de acceso personalizables y adaptativas, informes de eventos en tiempo real y reducción de la dirección de ataque.
Con las soluciones integradas de Okta, las empresas pueden otorgar/denegar automáticamente usuarios privilegiados y cuentas administrativas al mismo tiempo que brindan acceso directo a activos críticos. Los administradores de TI pueden detectar actividades anómalas a través de la integración con soluciones de análisis de seguridad, alertar y tomar medidas para prevenir riesgos.
Borde
HashiCorp ofrece la solución Boundary para proporcionar control de acceso basado en identidad para infraestructuras dinámicas. También proporciona administración de sesiones simple y segura y acceso remoto a cualquier sistema confiable basado en identidad.
Al integrar la solución HashiCorp Vault, puede proteger, almacenar y controlar estructuralmente el acceso a tokens, contraseñas, certificados y claves de cifrado para proteger secretos y otros datos confidenciales a través de una interfaz de usuario, una sesión CLI o una API HTTP.
Con Boundary, puede acceder a hosts y sistemas críticos a través de múltiples proveedores por separado, sin tener que administrar credenciales separadas para cada sistema. Se puede integrar con proveedores de identidad, eliminando la necesidad de abrir la infraestructura al público.
Boundary es una solución de código abierto independiente de la plataforma. Como parte de la cartera de HashiCorp, naturalmente permite una fácil integración en los flujos de trabajo de seguridad, lo que facilita su implementación en la mayoría de las plataformas de nube pública. El código requerido ya está en GitHub y listo para usar.
Delineya
Delineya Privileged Access Management Solutions tiene como objetivo hacer que la herramienta sea lo más fácil de instalar y usar posible. La empresa hace que sus soluciones sean intuitivas, lo que facilita la definición de límites de acceso. Ya sea en la nube o en las instalaciones, las soluciones PAM de Delinea son fáciles de implementar, configurar y administrar sin comprometer la funcionalidad.
Delinea ofrece una solución basada en la nube que permite la implementación en cientos de miles de computadoras. Esta solución consta de Privilege Manager para estaciones de trabajo y Cloud Suite para servidores.
Privilege Manager le permite descubrir computadoras, cuentas y aplicaciones con privilegios de administrador, ya sea en estaciones de trabajo o servidores alojados en la nube. Incluso funciona en máquinas pertenecientes a diferentes dominios. Al definir reglas, puede aplicar automáticamente políticas para administrar privilegios, definir de forma permanente la pertenencia a un grupo local y cambiar automáticamente las credenciales con privilegios no humanos.
El asistente de políticas le permite elevar privilegios, denegar y restringir aplicaciones con solo unos pocos clics. Finalmente, la herramienta de informes de Delinea proporciona información útil sobre aplicaciones bloqueadas por malware y reclamos con privilegios mínimos. También ofrece la integración de Privileged Behavior Analytics con Privilege Manager Cloud.
Más allá de la confianza
Beyond Trust Privilege Management facilita la elevación de los privilegios de las aplicaciones conocidas y confiables que los requieren al monitorear el uso de la aplicación y registrar e informar actividades privilegiadas. Lo hace utilizando las herramientas de seguridad que ya existen en su infraestructura.
Con Privilege Manager, puede otorgar a los usuarios exactamente los privilegios que necesitan para realizar sus tareas sin el riesgo de tener privilegios excesivos. También puede definir políticas y asignación de privilegios configurando y definiendo el nivel de acceso disponible en toda la organización. De esta forma, evitarás ataques de malware por saturación de privilegios.
Puede usar políticas granulares para elevar los privilegios de las aplicaciones para usuarios regulares de Windows o Mac, brindando acceso suficiente para cada tarea. BeyondTrust Privilege Manager se integra con sólidas aplicaciones de mesa de ayuda, escáneres de gestión de vulnerabilidades y herramientas SIEM a través de conectores integrados en la herramienta.
El análisis de seguridad de puntos finales de BeyondTrust le permite correlacionar el comportamiento del usuario con los datos de seguridad. También le brinda acceso a un registro de auditoría completo de toda la actividad de los usuarios, lo que acelera el análisis forense y simplifica el cumplimiento empresarial.
Una identidad
Las soluciones de gestión de acceso (PAM) de IdentityPrivileged reducen los riesgos de seguridad y garantizan el cumplimiento empresarial. El producto se ofrece en modo SaaS o local. Cualquiera de las opciones le permite proteger, monitorear, rastrear, analizar y administrar el acceso privilegiado en múltiples entornos y plataformas.
También proporciona la flexibilidad para otorgar privilegios completos a los usuarios y aplicaciones solo cuando sea necesario, aplicando un modelo operativo de confianza cero con privilegios mínimos en todas las demás situaciones.
Arca cibernética
Con Cyber Ark Privileged Access Manager, puede descubrir y habilitar automáticamente credenciales y secretos privilegiados utilizados por personas o objetos no humanos. Con la gestión de políticas centralizadas, la solución de CyBerark permite a los administradores del sistema definir políticas para la rotación de contraseñas, la complejidad de la contraseña, las asignaciones de bóveda por usuario y más.
La solución se puede implementar como un servicio (modo SaaS) o instalar en sus servidores (independientes).
Centro
Centra el servicio de análisis de amenazas de privilegios detecta el abuso de acceso privilegiado, agregando una capa de seguridad a la infraestructura de su nube e local. Esto se logra a través de análisis de comportamiento avanzado y autenticación adaptativa multifactor. Con las herramientas de Centrify, puede recibir alertas cercanas a tiempo real sobre el comportamiento anormal para todos los usuarios en su red.
Centrify Vault Suite le permite asignar acceso privilegiado a cuentas y credenciales compartidas, controlar contraseñas y secretos de aplicaciones, y proteger las sesiones remotas. A su vez, con Centrify Cloud Suite, su organización, independientemente de su tamaño, puede gestionar globalmente el acceso privilegiado con políticas administradas centralmente aplicadas dinámicamente en el servidor.
Conclusión
El mal uso de privilegios es una de las principales amenazas de ciberseguridad hoy en día, lo que a menudo resulta en pérdidas costosas e incluso negocios dañinos. También es uno de los vectores de ataque más populares entre los ciberdelincuentes porque, cuando se ejecuta con éxito, proporciona acceso gratuito a las partes internas de la compañía, a menudo sin causar ninguna alarma hasta que se haga el daño. La utilización de una solución de gestión de acceso de privilegio apropiado es necesaria siempre que sea difícil controlar los riesgos de abuso de privilegios de cuenta
