Durante años, cuando se pensaba en los usuarios privilegiados, esos que poseen “las llaves del reino” con acceso a todos los datos y sistemas, únicamente se consideraba a usuarios de dentro de la organización responsables de las acciones directas sobre la administración de sistemas y redes. Hay que actualizar esa visión. Hoy en día protegerse ante infracciones provenientes de los usuarios privilegiados va mucho más allá de la antigua visión de controlar la denominada “amenaza interna”.

Ciertamente, el personal interno malintencionado puede causar daño. Pero algunas de las mayores infracciones de usuarios privilegiados han sido originadas por proveedores, partners de negocio y otras terceras partes que tenían acceso a los sistemas internos de la organización, no del personal interno.

La experiencia nos muestra que esas terceras partes son una fuente mayor de riesgo. Si nos fijamos en las principales infracciones acaecidas en los Estados Unidos – Target, Home Depot y la Oficina de Administración de Personal del Gobierno de los Estados Unidos- todos ellos fueron incidentes en las que se obtuvo acceso a las credenciales de usuarios autorizados de otra organización, y luego se utilizaron para acceder ilícitamente a la red más amplía y a sus recursos.

El número de usuarios privilegiados se ha incrementado con la adopción de tecnologías en la nube y otras como la virtualización. Particularmente en el entorno de la nube, la mayoría de los usuarios privilegiados pueden no ser miembros del equipo tradicional de TI. La denominada “Shadow IT” es un desafío constante y tanto las áreas de negocio que compran servicios por su cuenta, como las organizaciones de seguridad TI corporativa, pueden no ser conscientes del riesgo al que se exponen.

Los usuarios con privilegios disponen de acceso a sistemas y datos sensibles con un mayor alcance que un usuario normal, por lo que proteger y controlar ese acceso es crítico.

La cosa se complica, ya que los usuarios privilegiados no son siempre personas. En los entornos de nube y virtualizados las herramientas de configuración y de aprovisionamiento automatizado, que funcionan a base de scripts y programas, introducen nuevos “usuarios” con acceso y autoridad significativos sobre grandes parcelas de la infraestructura. Un resultado similar a estos sistemas automatizados son los incontables scripts y programas que se han ido montando a lo largo de años de funcionamiento, y que requieren un acceso administrativo o confidencial a recursos como bases de datos, otras aplicaciones o sistemas. En ambos casos, el acceso a estas operaciones está controlado por autenticación. Desafortunadamente, las credenciales que se requieren normalmente tienen un código fijo insertado en las aplicaciones o archivos de configuración que las convierte en objetivos fáciles para los usuarios malintencionados, ya sean internos o externos.

Finalmente, y no por ello menos importante, hay que tener en cuenta todas aquellas cuentas privilegiadas y las credenciales asociadas. Son dichas credenciales las que suponen la mayor amenaza, ya que acceder a ellas es vital para la manera en que los atacantes llevan a cabo sus infracciones

privilegios usuarios

Detener los ataques mediante la gestión de accesos privilegiados

Hay tres pasos clave en la gestión de accesos privilegiados que pueden ayudar a detener a los atacantes y prevenir las infracciones.

Paso uno: Prevenir los accesos no autorizados

Forzar el acceso privilegiado hasta los recursos a través de una pasarela de red es la manera más sencilla de aplicar una autenticación fuerte. Se da por sentado que dicho sistema debería estar integrado con la infraestructura de gestión de identidades existente, de esa forma el sistema podría soportar enlaces a almacenes de identidad existentes como los directorios de Active Directory o LDAP, o incluso a RADIUS o TACACS+ en determinados entornos. Si bien el sistema puede y debe admitir autenticación local, por lo general, su organización ya tendrá un almacén de identidades establecido.

Dado que esos sistemas ya definen tanto a los usuarios autorizados, como las funciones y permisos que tienen, probablemente quiera aprovechar esos datos como base para el acceso privilegiado. Pero, esto es simplemente un inicio. Es fundamental imponer el uso de la autenticación de múltiples factores (MFA) para los accesos privilegiados. La incorporación de MFA aumenta significativamente el nivel de dificultad para que un atacante acceda a la red.

Otras medidas de sentido común que se pueden utilizar para mitigar el riesgo de accesos no autorizados incluyen restricciones en los accesos a los sistemas según la dirección IP de origen de inicio de sesión o la hora del día. Estos tipos de controles pueden implementarse tanto a través de una pasarela de gestión de accesos privilegiados como a través de controles basados en agentes en servidores o recursos específicos.

Un segundo aspecto de este problema se refiere a proteger las credenciales que se utilizan para acceder a los sistemas gestionados. Idealmente, un sistema de gestión de accesos privilegiados proporciona una credencial segura en las parejas de claves y contraseñas se pueden almacenar, cifrar y mantener a salvo de usuarios malintencionados y miradas indiscretas.

El sistema de “credenciales seguras” ha de soportar la capacidad de gestionar de forma activa las credenciales, interactuando con los sistemas para cambiar las contraseñas de acuerdo a los estándares de cada organización o el nivel de riesgo de cada recurso. El hecho de automatizar este proceso disminuye tanto los riesgos de seguridad como operacionales, ya que las actualizaciones automatizadas de contraseñas y claves son menos propensas a errores. Cuando se combina con autenticación única de usuario privilegiado, es posible alcanzar un nivel mayor de seguridad ya que se puede proporcionar acceso al sistema a un usuario sin necesidad de darle acceso a las credenciales importantes. Y si un usuario no tiene una credencial tampoco puede robarla, compartirla o ser engañado por un atacante para facilitarla.

ordenador portatil ataques usuarios

Paso dos: Limitar el incremento de privilegios, reconocimientos y movimientos laterales 

Desafortunadamente, en muchas redes, la autenticación termina siendo lo mismo que el control de accesos: a menudo, una vez identificado en la red, un usuario tiene acceso a todos los recursos de la misma. Si dicho usuario es un atacante, evidentemente se trata de una gran noticia, ya que le permite moverse de sistema en sistema y acercarse a su objetivo.

Capacidades como la autenticación única para usuarios privilegiados previenen las situaciones mencionadas. El enfoque se basa fundamentalmente en el control de acceso de privilegios mínimos, denominado control de acceso de confianza cero. Al separar la autenticación y el acceso a la gestión de acceso de usuarios privilegiados del acceso a los recursos gestionados, los usuarios sólo tienen visibilidad sobre aquellos sistemas y recursos asignados tal y como venga definido por políticas. Si las responsabilidades de trabajo de un usuario incluyen acceso a un único servidor o a una clase de recursos, eso es todo lo que verá de la red. De este modo, es posible limitar la autoridad que poseen sobre un sistema y controlar los mandatos que son capaces de ejecutar, además de restringir su capacidad para aumentar los privilegios o desplazarse lateralmente por la red.

Paso tres: Monitorizar, registrar y auditar la actividad

Idealmente, un atacante nunca llegará al punto de poder alcanzar su objetivo final. Esto es así porque el sistema de gestión de usuarios privilegiados obliga a cumplir con diversos controles y verificaciones establecidas que proporcionan numerosas oportunidades de detener el ataque. El paso final centrado en monitorizar, registrar y auditar la actividad actúa como una medida disuasoria adicional ante infracciones, además de proporcionar importantes beneficios en el eventual caso de que se produzca un incidente de seguridad. 

Saber que la actividad se está grabando y analizando es un potente elemento disuasorio ante el comportamiento inapropiado o ante una exploración de los sistemas en apariencia inocente, pero potencialmente peligrosa.

Las capacidades de registro, alerta, grabación y generación de informes proporcionan un sistema de alerta temprana que advierte a otros administradores, gestores o auditores sobre comportamientos sospechosos o inusuales. Las alertas y eventos proporcionan advertencias inmediatas de violaciones de políticas e intentos de infracción, lo que permite una respuesta rápida. Los registros se pueden analizar, tanto individualmente como a través de un sistema de gestión de registros o sistemas SIEM (Security Information Event Management) en el contexto de otras actividades del sistema para ofrecer pistas adicionales sobre los eventos sospechosos, iniciando una investigación antes de que se produzca una infracción.

Dado que las cuentas de administración compartida son de uso común,  la capacidad de poder atribuir las acciones realizadas con esa cuenta a un individuo concreto es un requisito clave para las necesidades de cumplimiento.

Por último, la grabación de sesiones ofrece muchos beneficios. A menudo los administradores cometen errores, la grabación de sesiones puede ayudar en dichos casos, ya que permite revisar su actividad y determinar con precisión qué acciones se llevaron a cabo. Cuando se detecta un problema, esta función puede acelerar la resolución. Si en un turno anterior se realizó una actualización o un cambio de configuración, puede resultar difícil y ocupa mucho tiempo saber exactamente lo que ocurrió. La grabación de sesiones ofrece la opción de revisarlo de forma inmediata, acelerando la reconstrucción. También se puede utilizar para formación, haciendo más fácil mostrar dónde se han cometido errores y el procedimiento preferido.

Por supuesto, en el peor de los casos, cuando se ha producido un ataque con éxito, las grabaciones y registros pueden ser cruciales para saber qué ha ocurrido en el sistema, a qué información se ha accedido y el alcance de la exposición del recurso. Todo ello acelera la investigación forense, ayuda en la evaluación de daños y proporciona una valiosa información que puede usarse para mitigar el riesgo de futuras infracciones.

.

About Author

Rodrigo Ariel López Leston

Solution Account Manager | Security & API Management CA Technologies

Deja un comentario