¿Cómo funciona la gestión de accesos privilegiados?
Cuando tenemos que enfrentarnos a los retos de seguridad en cualquier empresa u organización aparecen, comúnmente, los mismos actores: antivirus, firewall, copias de seguridad, administración de redes, bastionado de sistemas y un largo etcétera.
Estas medidas pueden ser de múltiples naturalezas, como preventivas, reactivas, correctivas y otros, pero en este artículo nos centraremos en otro problema, la gestión de las cuentas privilegiadas.
- Introducción
En primer lugar, debemos identificar correctamente que es una cuenta privilegiada para no incurrir en errores de base. Como su nombre indica, entendemos como tal a cualquier cuenta de usuario que disponga de un nivel de acceso o de permisos diferentes a los que se esperan de un usuario estándar, normalmente debido a la necesidad propia de su puesto de trabajo.
Este tipo de cuentas son muy comunes en los equipos de administración de sistemas, seguridad o soporte, además de personal de otros departamentos o personal directivo. Además, estas cuentas no solo se utilizan por el personal interno, sino que de forma común se proporcionan a proveedores externos que tienen la necesidad de hacer uso de ellas.
La gestión de las cuentas privilegiadas está rodeada de multitud de problemas, de los cuales se pueden destacar los siguientes:
- Nivel de privilegio asignado superior al necesario.
- Desconocimiento de existencia de cuentas antiguas o poco utilizadas.
- Falta de robustez en las contraseñas asociadas.
- Control inexistente del uso que se realiza de las cuentas.
- Uso de cuentas genéricas sin control.
Estos problemas pueden ser la causa de multitud de brechas de seguridad, ya que pueden dar pie a suplantaciones de identidad o accesos no autorizados a sistemas.
Con esta información podemos entender la necesidad de establecer controles para garantizar el uso y difusión de las cuentas privilegiadas. Las herramientas que se utilizan para abordar esta problemática ofrecen solución a los siguientes aspectos:
- Acceso granular a las cuentas genéricas.
- Identificación única de la persona que utiliza cualquier credencial.
- Auditoría de las sesiones privilegiadas que se llevan a cabo.
- Incrementar la robustez de las contraseñas utilizadas.
Por lo tanto, el uso de una herramienta de este tipo nos proporciona soluciones a los principales problemas que sufrimos en el día a día de una organización.
Estos sistemas no son sencillos de instaurar, pero a cambio ofrecen un nivel de seguridad increíblemente robusto. El acceso a proveedores externos se puede otorgar sin incurrir en riesgos innecesarios, permitiendo el trabajo sin interferencias.
Lo siguientes apartados describen brevemente las principales características de este tipo de soluciones.
- Acceso granular a los sistemas e identificación del usuario
El acceso que se utiliza por cada una de estas cuentas es difícil de acotar, por ello una solución de este tipo nos va a dar la posibilidad de asignarla a determinados usuarios, limitar el acceso de forma horaria, requerir la aprobación de un tercero para permitir el uso o incluso dar un acceso de forma temporal que se retire de forma automática.
De esta forma, un usuario solo podrá consultar y utilizar aquellas cuentas para las que está autorizado, reduciendo la información que se facilita de forma innecesaria.
- Auditado de sesiones
No es suficiente con limitar que personas pueden utilizar determinadas cuentas y acceder a sistemas asociados, además debemos poder realizar el registro correspondiente.
En este caso nos podemos encontrar, de forma general, tres tipos de soluciones:
- Herramientas que registran el uso de credenciales, permitiendo ver quien la ha consultado o utilizado y todas las modificaciones que se hacen de la misma.
- Herramientas que permiten la grabación de las sesiones con fines forenses, pudiendo acceder a la sesión completa si fuera preciso.
- Soluciones que no solo permiten auditar, si no que además permiten intervenir y evitar el uso de determinados comandos, aplicaciones, etc.
Esta información es vital para evitar problemas futuros y como medida de disuasión, ya que todas las acciones realizadas quedan registradas.
- Herramientas automáticas
El último gran problema es el uso de contraseñas débiles. Es cierto que esto no es un problema solo de las cuentas privilegiadas pero, en este caso, se hace mucho mas grave. El acceso con una cuenta privilegiada puede dotar al atacante de un importante vector de ataque.
Una solución de gestión de cuentas privilegiadas debe ser capaz de conectar de forma automática a los sistemas para, de forma manual o programada, hacer el cambio de la contraseña cuando sea preciso. Si a esta posibilidad le sumamos la capacidad de la mayor parte de las soluciones para inyectar la contraseña sin ofrecerla al usuario que la está utilizando, nos dota de la posibilidad de utilizar contraseñas realmente robustas: 30 caracteres, reglas de complejidad y rotación. La rotación de la contraseña se puede hacer de forma manual, estableciendo fechas de caducidad o incluso después de cada uso.
Marcos Pilar
Manager de Operaciones de Ciberseguridad
Asseco Spain Group