Privilegio permanente: la ventaja del atacante



La credencial es una mercancía y se seguirá violando. Como resultado, el enfoque y el gasto deben cambiar hacia el acceso que proporcionan las credenciales.

La credencial se ha convertido en un producto candente para los piratas informáticos, con el 74% de las organizaciones violadas que admiten el acceso a una cuenta privilegiada. De hecho, el «Informe de investigaciones de violación de datos de Verizon «(DBIR) descubrió que de todos los ataques, el 29% del full de infracciones involucraba el uso de credenciales robadas, solo superado por el phishing. Una vez que se compromete una credencial, las soluciones de administración de acceso privilegiado se vuelven inútiles.

La razón subyacente detrás de esto es que las credenciales de acceso proporcionan, específicamente, los altos niveles de acceso 24x7x365 siempre activos que permiten las credenciales de administrador, que se pueden usar para moverse lateralmente a través de una purple, robar datos confidenciales o implementar ransomware. Desafortunadamente, la solución de administración de acceso privilegiado promedio o de privilegio de punto final no fue diseñada específicamente para abordar los riesgos asociados con el privilegio permanente.

Como resultado, descubrimos que, en promedio, en empresas con más de 15,000 dispositivos, hay cerca de 500 usuarios con acceso de administrador a la estación de trabajo promedio de los empleados.

¿Cómo y por qué el privilegio permanente se vuelve tan desordenado?
Los privilegios suelen ser membresías de grupo o permisos de nivel de dispositivo que permiten la ejecución de comandos privilegiados. Incluso si un usuario no tiene acceso explícito a un servidor o estación de trabajo, los permisos de nivel de grupo o dominio de ese usuario a menudo permiten el acceso siempre que esa persona lo necesite o lo desee.

Cuando nos enfrentamos a un problema de TI en el lugar de trabajo, buscamos y esperamos la resolución más rápida para poder avanzar con nuestras tareas laborales. En el mundo de los permisos, esto significa que se proporciona acceso a través de grupos a los mostradores de ayuda de TI y a los administradores del servidor para garantizar que puedan hacer su trabajo de manera efectiva. La gestión de grupos a nivel granular se vuelve muy compleja muy rápidamente, por lo que los administradores siempre tienden a tener más acceso del que necesitan. Además, los derechos de administrador cambian con el tiempo por una variedad de razones los atacantes lo saben y lo usan para su beneficio. El resultado remaining: muchos equipos de seguridad quedan en la oscuridad. Deben ser más diligentes cuando se agregan nuevos miembros, y especialmente a medida que se proporciona acceso a la mesa de ayuda y al administrador.

Esta no es la única forma en que cambia la cantidad de acceso privilegiado en un ecosistema. Por ejemplo, los miembros antiguos que abandonan sus equipos o la empresa no siempre se eliminan de manera oportuna, los miembros del grupo cambian, las cuentas locales se agregan y eliminan, y la lista continúa. En algunos casos, todas estas son trampas en las que las organizaciones caen de manera regular que finalmente resultan en una expansión invisible del acceso del administrador a través de una empresa. El acceso 24x7x365 no solo es innecesario para los empleados, sino que, lo que es más importante, está disponible para un atacante que utiliza la estación de trabajo promedio de los empleados como punto de entrada. Si un atacante puede ingresar de manera fraudulenta a la estación de trabajo de un empleado, esa persona ahora tiene las proverbiales «llaves del reino».

Abordar el problema: presentar el privilegio cero permanente
La razón por la cual nuestra industria ha fallado miserablemente al abordar el privilegio permanente es porque nos cuesta responder dos preguntas simples: ¿Qué credenciales de administrador existen y tienen acceso permanente? ¿Y cómo los proteges?

Acuñado por Gartner, cero privilegios permanentes (ZSP) es un enfoque emergente y reformulado para la gestión de acceso privilegiado que aborda ambas preguntas.

Si aceptamos que el privilegio permanente se outline como cuentas que tienen acceso de privilegio persistente en un conjunto de sistemas, ZSP es exactamente lo contrario. Es la forma más pura de acceso de administrador justo a tiempo, asegurando que se aplique el principio de privilegio mínimo otorgando a los usuarios autorizados el acceso privilegiado que necesitan por el tiempo mínimo y solo los derechos mínimos que necesitan. Esta eliminación del privilegio permanente a través del privilegio cero permanente es realmente un punto de inflexión clave en la comprensión del acceso a los privilegios hoy en día. La siguiente figura describe la exposición al riesgo de una cuenta con privilegios permanentes frente a una cuenta en un entorno ZSP:

Para alcanzar este objetivo de ZSP, comience midiendo el privilegio permanente de la organización para comprender qué credenciales de administrador existen. Esto incluye descubrir e identificar cuentas persistentes en estaciones de trabajo y servidores, así como mapear el acceso de los administradores sistema por sistema.

Una vez que se mide el privilegio permanente, se puede administrar y, a partir de ahí, se trata de un enfoque gradual para proteger un entorno empresarial y lograr ZSP. Comience por «detener el sangrado» evitando la creación de nuevas cuentas de administrador no autorizadas. Es essential que las empresas tengan la capacidad de hacer esto en todos los tipos de sistemas (Windows, Mac, Linux) y en todos los tipos de acceso (nearby, grupal, de dominio). Una vez que el «sangrado» se ha detenido, es hora de determinar qué cuentas están autorizadas y cuáles no, y a qué sistemas. El acceso no autorizado debe ser revocado, idealmente en masa, para mitigar rápidamente una de las cuentas comprometidas.

El último paso para lograr ZSP es cambiar a los administradores al modo justo a tiempo que les permite obtener acceso al sistema cuando necesitan realizar las tareas requeridas, pero solo durante el período de tiempo correcto y solo al sistema (s) correcto (s) . Se debe revocar el acceso una vez que el trabajo se haya completado y solo se debe aprovisionar (limitado al sistema correcto durante el período de tiempo correcto) cuando sea necesario nuevamente.

ZSP es un punto de inflexión en la gestión de privilegios. Es alentador ver que el mercado ha comenzado a reconocer el privilegio permanente como un riesgo clave que debe abordarse y que guardar secretos y rotar contraseñas de administrador community en servidores críticos no es suficiente. Los atacantes se dirigen a las estaciones de trabajo como la fruta más sencilla y utilizan el acceso de administrador disponible desde esas estaciones de trabajo para propagarse por las redes.

La credencial se ha convertido en una mercancía que seguirá siendo violada. Como resultado, el enfoque y el gasto deben cambiar hacia el acceso que proporcionan las credenciales. Como industria, si no adoptamos una postura de ZSP en nuestros entornos, las credenciales robadas continuarán como la fruta de bajo perfil del atacante y continuarán contribuyendo a 80% de todas las violaciones de datos hoy.

Contenido relacionado:

Tim Keeler es el fundador y CEO de Remediant, un proveedor líder de computer software de gestión de acceso de privilegios (PAM). Al principio de su carrera, Tim trabajó en Genentech / Roche entre 2000 y 2012 y fue líder en el Equipo de Respuesta a Incidentes de Seguridad. Después de eso, Tim proporcionó … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia initial