Durante décadas, las identidades privilegiadas han sido el objetivo preferido de los criminales para llevar a cabo ataques cibernéticos y, sin embargo, las medidas que han tomado las empresas para protegerlas siguen siendo mínimas. Incidentes como el ataque cibernético a Saudi Aramco en 2012 y la violación de la seguridad de los datos de CashApp en 2022[1] son recordatorios flagrantes de que el acceso a una identidad privilegiada es la puerta de entrada a una infraestructura de red, lo que demuestra la necesidad de protegerlas. Aunque estos ataques se produjeron con diez años de diferencia, el modus operandi sigue siendo el mismo: el acceso a identidades privilegiadas.
Para comprender las identidades privilegiadas, primero hay que establecer qué es una identidad. Cualquier forma de autenticación única que un administrador pueda utilizar para verificar la autenticidad de un usuario que pertenece a una red es una identidad. Esto incluye contraseñas, nombres de usuario, identificaciones de empleados, números de móvil, respuestas de seguridad, etc.
Estas identidades suelen almacenarse en directorios como Active Directory y gestionarse mediante protocolos como el protocolo ligero de acceso a directorios (LDAP), que asignan determinados niveles de acceso a la información dentro de la red. Se pide al directorio que verifique la identidad introducida por el usuario.
No todas las identidades son iguales. Los usuarios con acceso a una identidad privilegiada tienen acceso a controles críticos como la configuración de seguridad del sistema, las funciones de administración, las funciones de gestión de credenciales, las configuraciones para utilizar en caso de emergencia, las funciones de gestión del centro de datos, etc.
Las identidades de estos usuarios privilegiados se conocen como identidades privilegiadas. En términos sencillos, una identidad privilegiada es cualquier identidad que pertenezca a un usuario cuyo rol merezca un acceso privilegiado a la información en la red. Algunos ejemplos de identidades privilegiadas incluyen contraseñas, claves SSH, certificados SSL, tokens de autenticación, contraseñas de un solo uso (OTP), etc.
Los bancos disponen de tareas cron automatizadas que realizan copias de seguridad periódicas de los datos críticos de los clientes y de los registros financieros. Las contraseñas de las cuentas de usuario que tienen acceso a estos scripts de trabajo son seguras para ser consideradas identidades privilegiadas. En caso de que estas contraseñas se gestionen mal, se produciría una pérdida masiva de datos, por lo que se trata de un caso de uso crítico.
Otro ejemplo sería el de una cuenta de servicio que realiza servicios de directorio en varios dominios. Las contraseñas de estas cuentas de servicio suelen almacenarse en el registro local. Si las contraseñas de dichas cuentas de servicio se cambian o se manipulan incorrectamente, se interrumpirían todos los servicios que la cuenta debe realizar en numerosos dispositivos de la red.
Estas contraseñas mencionadas en los ejemplos anteriores son los ejemplos típicos de una identidad privilegiada. Es importante monitorear y controlar el acceso a las identidades privilegiadas, ya que poseen un acceso obligatorio a la información que es vulnerable a las violaciones de la seguridad de los datos. Administrar los protocolos de seguridad más estrictos seguiría dejando la red desprotegida si el ataque se lleva a cabo bajo la apariencia de un usuario privilegiado. Así, las identidades privilegiadas resultarían peligrosas en manos no autorizadas.
Hasta la fecha, muchas empresas utilizan hojas de cálculo, archivos de texto locales y otros medios no cifrados como bóvedas para almacenar identidades privilegiadas. Posteriormente, se distribuyen a los usuarios en función de la demanda. Esto deja espacio para innumerables formas a través de las cuales los privilegiados pueden escabullirse de la jerarquía organizativa y dar lugar a entradas no autorizadas en la red.
Las identidades privilegiadas de la empresa, como las contraseñas, constituyen la mayoría de los casos de uso en tiempo real. Para reducir el tedio de almacenar y restablecer manualmente cientos de contraseñas de cuentas de usuario, los departamentos de TI pueden imponer las mejores prácticas de contraseñas a nivel organizativo. Esto también disminuiría drásticamente las brechas de seguridad a través de las cuales se puede explotar la regulación de contraseñas.
Estas prácticas incluyen, entre otras:
Descubrir y almacenar credenciales privilegiadas en una bóveda segura.
Automatizar los procedimientos de restablecimiento de contraseñas de forma periódica.
Asociar las políticas de contraseñas respectivamente a los grupos de recursos.
Establecer una autorización multinivel para las solicitudes de contraseña remotas.
Las prácticas mencionadas conforman el anteproyecto sobre el que se conceptualiza la gestión de identidades privilegiadas (PIM). Como noción, la PIM define las prácticas que obligan a proteger, auditar y controlar las identidades privilegiadas dentro de una red.
La PIM anima a las organizaciones a determinar quién puede acceder a qué información y cuándo. Aboga por prácticas como el monitoreo de las actividades de todos los usuarios privilegiados de la red mediante grabaciones de pantalla y el registro de los casos de comportamiento anormal de los usuarios privilegiados.
Practicar estrategias de gestión de identidades privilegiadas ayudará a las organizaciones a reducir drásticamente las vulnerabilidades a los ataques cibernéticos y a mitigar los procedimientos de respuesta a las amenazas en caso de que se produzcan. La PIM exige a las organizaciones que practiquen la autenticación multifactor, el restablecimiento regulado de contraseñas y obliga a los empleados a cumplir las políticas de contraseñas.
Si examinamos más de cerca las violaciones de la seguridad de los datos relacionadas con el abuso de identidades privilegiadas o cualquier otro ataque cibernético, el meollo de la cuestión es la mala gestión de los usuarios y los recursos. Aunque los casos de uso mencionados anteriormente presentan la gestión de identidades privilegiadas como la solución definitiva, solo toca la superficie. La gestión de usuarios y recursos son los casos de uso más primarios y cruciales de un esquema perfecto de gestión de identidades privilegiadas.
Las prácticas de gestión de identidades privilegiadas, a nivel empresarial, pueden incorporarse utilizando una solución PIM. Las soluciones de software PIM ayudan a automatizar y avanzar en las estrategias de gestión de identidades privilegiadas para usos prácticos, como:
Al considerar un software PIM, los puntos antes mencionados son las funciones mínimas que debe buscar una organización.
ManageEngine PAM360 es una solución de gestión de acceso privilegiado empresarial todo en uno que permite a los equipos de TI descubrir, almacenar y gestionar efectivamente el acceso a identidades privilegiadas de forma automática. El análisis del comportamiento de los usuarios privilegiados (PUBA) nativo de PAM360 permite a las organizaciones auditar el comportamiento de los usuarios privilegiados e informar de las anomalías en tiempo real. ManageEngine PAM360 garantiza la seguridad de extremo a extremo de las identidades privilegiadas de la empresa.