Articles

Gestión de acceso con privilegios

La gestión de acceso con privilegios (PAM) se refiere a una clase de soluciones que ayudan a proteger, controlar, administrar y supervisar el acceso con privilegios a activos críticos.

Para lograr estos objetivos, las soluciones PAM normalmente toman las credenciales de las cuentas privilegiadas, es decir, las cuentas de administrador, y las colocan dentro de un repositorio seguro (un almacén), aislando el uso de cuentas privilegiadas para reducir el riesgo de robo de esas credenciales. Una vez dentro del repositorio, los administradores del sistema deben pasar por el sistema PAM para acceder a sus credenciales, momento en el que se autentican y se registra su acceso. Cuando se vuelve a registrar una credencial, se restablece para garantizar que los administradores tengan que pasar por el sistema PAM la próxima vez que quieran usar la credencial.Al centralizar las credenciales privilegiadas en un solo lugar, los sistemas PAM pueden garantizar un alto nivel de seguridad para ellos, controlar quién accede a ellos, registrar todos los accesos y monitorear cualquier actividad sospechosa.

La administración de acceso con privilegios de Gartner tiene las siguientes subcategorías:

  • Administrador de contraseñas de acceso compartido (SAPM)
  • Administrador de contraseñas de superusuario (SUPM)
  • Administrador de sesiones con privilegios (PSM)
  • Administrador de contraseñas de acceso a aplicaciones (AAPM)

Las bóvedas de contraseñas PAM (SAPM) proporcionan una capa adicional de control sobre administradores y políticas de contraseñas, así como supervisión de rutas de acceso con privilegios a sistemas críticos .

Las contraseñas pueden seguir una gran cantidad de políticas de contraseñas e incluso pueden ser desechables. Los agentes de sesión, o PSM, llevan a PAM a otro nivel, lo que garantiza que los administradores nunca vean las contraseñas, sus servidores proxy reforzados, como los servidores de salto, también supervisan las sesiones activas y permiten a los revisores detener las sesiones de administración si ven algo mal. Del mismo modo, AAPMs puede liberar credenciales justo a tiempo para la comunicación de aplicación a aplicación e incluso modificar scripts de inicio para reemplazar contraseñas codificadas con llamadas API al almacén de contraseñas.

Obtenga más información sobre cómo proteger a sus usuarios PAM

CyberArk, líder del mercado en el campo de la Administración de Cuentas Privilegiadas, afirma que son cuentas PAM de 7 tipos en una empresa:

  1. Cuentas de emergencia : Proporcione a los usuarios acceso de administrador a sistemas seguros en caso de emergencia. El acceso a estas cuentas requiere la aprobación de la administración de TI por razones de seguridad, generalmente es un proceso manual que carece de medidas de seguridad.
  2. Cuentas administrativas locales: Son cuentas compartidas que solo proporcionan acceso de administrador al host local o a la sesión. Estas cuentas locales son utilizadas habitualmente por el personal de TI para el mantenimiento de estaciones de trabajo y también servidores, dispositivos de red, servidores centrales y otros sistemas internos. Se ha demostrado en el pasado que los profesionales de TI intentan reutilizar contraseñas en toda una organización para facilitar su uso. Esta contraseña compartida se utiliza a veces en miles de servidores y servicios y es un objetivo que se sabe que explotan las amenazas persistentes avanzadas.
  3. Cuentas de aplicación : Estas cuentas son utilizadas por aplicaciones para acceder a bases de datos, ejecutar trabajos cron o scripts, o proporcionar acceso a otras aplicaciones. Estas cuentas privilegiadas suelen tener acceso a información crítica confidencial que reside en aplicaciones y bases de datos, por ejemplo, cuentas integradas de Zapier. Las contraseñas de estas cuentas a menudo se incrustan y almacenan en archivos de texto sin formato, una vulnerabilidad que se copia en varios canales y servidores para proporcionar un error heredado para las aplicaciones. Esta vulnerabilidad es bien conocida y está dirigida por amenazas persistentes avanzadas (APT) .
  4. Cuenta de servicio de dominio de Active Directory o de Windows: Son un desafío para proteger, por decir lo menos, los cambios de contraseña pueden ser aún más difíciles, ya que requieren sincronización en múltiples ecosistemas y aplicaciones . Este desafío a menudo conduce a la práctica de cambiar raramente las contraseñas de las cuentas de aplicaciones para evitar la expansión de directorios que crea un único punto de falla en un sistema crítico como Active Directory.Cuentas de servicio
  5. : son cuentas locales o de dominio que utiliza una aplicación o servicio para interactuar con el sistema operativo. En algunos casos, estas cuentas de servicio tienen privilegios administrativos en los dominios en función de los requisitos de la aplicación para la que se utilizan.
  6. Cuentas administrativas de dominio: Superadministradores que tienen acceso privilegiado a todas las estaciones de trabajo y servidores dentro del dominio de la organización y proporcionan el acceso más amplio a través de la red. Con un control total sobre todos los controladores de dominio y la capacidad de modificar la membresía de cada cuenta administrativa dentro del dominio, son una amenaza constante para las organizaciones y son ampliamente atacados por los hackers.
  7. Cuentas de usuario con privilegios: Son usuarios a los que se otorgan privilegios administrativos a los sistemas. Las cuentas de usuario con privilegios son una de las formas más comunes de acceso a cuentas concedidas en un dominio empresarial, lo que permite a los usuarios tener derechos de administrador, por ejemplo, en sus escritorios locales o en los sistemas que administran. A menudo, estas cuentas tienen contraseñas únicas y complejas, pero la mayoría de las veces están protegidas solo por contraseñas.

Más información sobre cómo proteger a los usuarios de PAM

Autenticación multifactor PAM

Para las empresas que ejecutan una solución PAM, ha llegado el momento de elegir la plataforma correcta para acceder a esa solución que mantendrá seguras las cuentas privilegiadas.

Una solución de autenticación multifactor (MFA) es imprescindible. Como concluyó un documento de investigación reciente de Gartner: «Como mínimo, los CISO deben instituir la autenticación multifactor obligatoria (MFA) para todos los administradores.»

Elegir una solución de alta garantía sin contraseña hace más que sistemas de autenticación seguros. También elimina el costo asociado con las contraseñas, como las llamadas al servicio de asistencia y los restablecimientos de contraseñas. Además, pasar sin contraseña lleva la experiencia del usuario (UX) a un nuevo nivel, al simplificar el proceso de autenticación. No más almacenamiento y memoria de credenciales, ni más transporte de dispositivos adicionales para la verificación.

Leer el artículo completo-Los Usuarios con privilegios son Destinos Privilegiados

Solución de Autenticación Secreta de Doble Octopus CyberArk

¿Qué significa el acceso privilegiado?

Acceso privilegiado, se refiere al acceso a un sistema (local o en la nube) que también está por encima del punto de referencia de un inicio de sesión de usuario regular. Las organizaciones tienen diferentes niveles de sistemas de acuerdo con el nivel de riesgo asociado con la violación o el uso indebido del sistema.Las cuentas de acceso privilegiado son usuarios que tienen acceso a recursos críticos del sistema, por lo tanto, deben protegerse y monitorearse.

¿Qué problemas ayuda a resolver PAM?

PAM ayuda a los clientes a proteger y controlar sus cuentas de usuario de privilegios para garantizar una mejor seguridad y gobernanza, y también cumplir con algunas regulaciones.

¿Cuál es la diferencia entre la gestión de identidades privilegiadas y la gestión de accesos privilegiados? La gestión de identidades privilegiadas (PIM) y la gestión de acceso privilegiado (PAM) se utilizan a menudo de forma intercambiable y significan lo mismo: asegurar, controlar, administrar y supervisar el acceso privilegiado a activos críticos.
¿Cómo funciona PAM?

Las soluciones PAM toman credenciales de cuentas privilegiadas, es decir, las cuentas de administrador, y las colocan dentro de un repositorio seguro, un almacén. Una vez dentro del almacén, los administradores del sistema deben pasar por el sistema PAM para acceder a las credenciales, momento en el que se autentican y se registra su acceso. Cuando se vuelve a registrar una credencial, se restablece para garantizar que los administradores tengan que pasar por el sistema PAM la próxima vez que quieran usar una credencial.

¿PAM utiliza capacidades en AD DS?

En términos generales, PAM no necesita AD DS. Cuando se implementa con AD, el propósito de PAM es restablecer el control sobre un entorno de Active Directory comprometido manteniendo un entorno aislado y altamente seguro para las credenciales de cuentas privilegiadas.

PAM se puede integrar con AD DS para la autenticación y autorización de cuentas de dominio.

¿Qué ventajas ofrece PAM?

PAM crea un entorno aislado, altamente seguro y estrechamente controlado para almacenar credenciales privilegiadas y controlar el acceso a ellas. También garantiza un seguimiento de uso granular para cuentas privilegiadas (p. ej. cuentas de administrador), que normalmente son cuentas compartidas.

¿Qué es el Administrador de sesiones con privilegios?

Sesiones de usuario con privilegios, protege los sistemas específicos habilitando el acceso sin exponer credenciales confidenciales aprovechando un servidor de salto seguro (host administrativo seguro), Supervisa y graba sesiones con privilegios para cumplir con los requisitos de auditoría y detener sesiones con privilegios sospechosas en tiempo real.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *