Por qué Cero Privilegios Permanentes es un Mejor Enfoque para Privileged Access

Los derechos de administrador son una espada de doble filo: Aunque los profesionales de TI requieren derechos elevados para realizar su trabajo, esos privilegios pueden ser mal utilizados por los propios administradores, así como abusados por adversarios que han comprometido sus cuentas.

El primer paso para defenderse de estos riesgos es bastante sencillo: Reducir el número de cuentas de administrador negando derechos de administrador local a los usuarios de negocios. Aunque los usuarios a menudo se resisten a esta medida, normalmente no necesitan derechos de administrador local para realizar su trabajo, y eliminar esos derechos limita el poder que los adversarios obtendrán al tomar control de su cuenta. Por ejemplo, no podrán instalar keyloggers ni ejecutar malware.

Pero eso deja todos los demás cuentas altamente privilegiadas en el entorno de TI, las cuales representan un riesgo aún mayor. Esas cuentas otorgan derechos que sus propietarios realmente necesitan para realizar sus tareas asignadas, como ajustar configuraciones de infraestructura, crear cuentas para nuevos empleados o restablecer contraseñas de usuarios. Por lo tanto, las organizaciones no pueden simplemente revocar estos derechos elevados de la misma manera que eliminan los derechos de administrador local; también necesitan un mecanismo para proporcionar privilegios elevados cuando sea necesario.

Un enfoque efectivo para resolver este desafío es los privilegios permanentes cero (ZSP). ZSP reemplaza las cuentas privilegiadas riesgosas con acceso temporal, just-in-time. Este artículo explica cómo funciona ZSP y cómo supera los desafíos inherentes en los enfoques tradicionales para Privileged Access Management (PAM).

Por qué las soluciones tradicionales de Privileged Access Management dejan una amplia superficie de ataque

Las soluciones tradicionales de Privileged Access Management están diseñadas para ayudar a las organizaciones a asegurar cuentas con derechos de acceso elevados. Las organizaciones típicamente tienen docenas o incluso cientos de estas cuentas. Las soluciones tradicionales de PAM suelen almacenar las credenciales de las cuentas privilegiadas en una bóveda de contraseñas. Las personas autorizadas luego retiran sus credenciales cada día para obtener acceso administrativo a los sistemas que gestionan, como una base de datos particular o un sistema como Active Directory.

Sin embargo, intentar controlar estrictamente el acceso privilegiado utilizando técnicas tradicionales de Privileged Access Management (PAM) como una bóveda de contraseñas deja un gran riesgo de seguridad. Cuando las cuentas poderosas existen todo el tiempo, esos privilegios permanentes siempre son vulnerables a ser mal utilizados por sus propietarios o tomados por atacantes.

Además, incluso si se establecen controles de acceso robustos, estos tienden a acumular muchos más derechos de los que realmente se necesitan. Como resultado, son propensos al mal uso por parte de sus propietarios y a ser tomados por adversarios. De hecho, las credenciales de administrador son un objetivo principal de actores maliciosos porque les permiten obtener acceso privilegiado a datos sensibles, sistemas y otros recursos críticos de TI.

¿Qué son los privilegios permanentes cero?

Los privilegios permanentes cero es un enfoque moderno para Privileged Access Management que supera las limitaciones de las herramientas tradicionales. El objetivo es reducir el número de cuentas con privilegios elevados lo más cerca de cero posible. En cambio, el acceso privilegiado se otorga solo cuando es necesario, delimitado precisamente para la tarea en cuestión y eliminado automáticamente inmediatamente después. Como resultado, una estrategia de ZSP te empodera para reducir tu superficie de ataque y disminuir el riesgo de data breaches y disrupciones empresariales. Y al controlar estrictamente el acceso privilegiado, las herramientas de ZSP son un componente valioso en un modelo de ciberseguridad Zero Trust.

El papel de un cajero en un negocio minorista proporciona una analogía útil. La mayoría del tiempo, la caja registradora permanece cerrada con llave. Se abre únicamente cuando una transacción requiere que el cajero acceda a ella. Una vez completada la transacción, el cajón se cierra automáticamente de nuevo. Al igual que con ZSP, no hay un botón siempre presente que el cajero pueda presionar para abrirla cuando lo desee.

ZSP Example

Para ver cómo funciona ZSP, sigamos lo que sucede cuando un administrador llamado Alex necesita obtener acceso privilegiado a un recurso de TI sensible para realizar una tarea asignada:

1. Alex envía una solicitud que detalla la tarea y qué privilegios se requieren para completarla.
2. Cuando se aprueba la solicitud, la solución ZSP crea una identidad temporal con los privilegios suficientes para realizar la tarea.
3. La tarea se realiza de manera interactiva por Alex (por ejemplo, usando RDP a un servidor) o por el sistema en su nombre (por ejemplo, al reiniciar un servidor).
4. Cuando la tarea está completa, la identidad temporal se elimina automáticamente.

Elementos clave de ZSP

Como ilustra el ejemplo, el modelo ZSP se basa en proporcionar acceso limitado durante un periodo de tiempo limitado. Por lo tanto, las herramientas ZSP deben ofrecer tanto acceso justo a tiempo (JIT) como el privilegio justo necesario (menor privilegio).

• Acceso JIT — Los usuarios no tienen cuentas privilegiadas permanentes. En su lugar, se les otorga el derecho de acceso elevado cuando lo necesitan y solo por el tiempo necesario para realizar su tarea específica.
• Privilegio justo y necesario — El principio del mínimo privilegio dicta que cada cuenta solo reciba los derechos de acceso necesarios para las tareas asignadas. Las soluciones ZSP deben respetar este principio durante la provisión JIT de privilegios y otorgar al usuario solo los derechos de acceso que necesita para las aplicaciones específicas, sistemas u otros recursos de TI requeridos para la tarea en cuestión.

Capacidades adicionales valiosas de ZSP

Las soluciones avanzadas de ZSP ofrecen capacidades adicionales valiosas, tales como:

• Flujos de trabajo de solicitud y aprobación — En la mayoría de los casos, una solicitud para una sesión privilegiada debe ser revisada por el personal adecuado, quien puede aprobarla o denegarla. Los flujos de trabajo automatizados agilizan este proceso y, por lo tanto, pueden ser vitales para la aceptación y adopción de la solución.
• Monitoreo de sesión en tiempo real — El monitoreo continuo de la actividad privilegiada es esencial para la detección y mitigación en tiempo real de comportamientos sospechosos, errores y otras acciones potencialmente dañinas.
• Grabación y reproducción de sesiones — Poder revisar las grabaciones de sesiones es invaluable para investigaciones y responsabilidad individual. Y contar con un registro de auditoría completo de la actividad privilegiada puede ser requerido durante auditorías de cumplimiento.

Cómo Netwrix puede ayudar

La solución de Privileged Access Management (PAM) de Netwrix te capacita para implementar las mejores prácticas de PAM y mitigar los riesgos asociados con el acceso privilegiado. Esta solución PAM de vanguardia identificará privilegios permanentes y los reemplazará con acceso justo a tiempo y lo justo necesario. También proporciona flujos de trabajo automatizados de solicitud/aprobación y te permite monitorear, registrar y reproducir sesiones privilegiadas para que puedas interceptar amenazas antes de que escalen. Además, su completa suite de características de última generación son una parte valiosa de una estrategia de Zero Trust más amplia.