Riesgo de seguridad por expansión de identidad. A medida que las empresas utilizan cada vez más nuevas tecnologías como la nube, big data, DevOps, contenedores o microservicios, esta creciente complejidad también plantea nuevos desafíos para la gestión de identidades y accesos.
Con estas tecnologías emergentes, las cargas de trabajo y los volúmenes de datos crecen y residen cada vez más en la nube. Como resultado, el número de identidades humanas y de máquinas está aumentando exponencialmente. Por lo tanto, para contener estas nuevas superficies de ataque, se vuelve imperativo centralizar las identidades fragmentadas en una infraestructura empresarial híbrida y aplicar un modelo de seguridad consistente para el acceso privilegiado.
Expansión de identidad: Los peligros de la expansión de identidad
Con la expansión de identidad, la identidad de un usuario es administrada por múltiples sistemas o directorios en silos que no están sincronizados entre sí, lo que da como resultado múltiples identidades para cada usuario y posibles vectores de ataque vulnerables. A menudo, esta situación surge cuando una aplicación o sistema no está o no puede estar integrado con el servicio de directorio central de la empresa. Esto requiere mantener otro conjunto de identidades de usuario para admitir el acceso a esa aplicación o sistema. Esto conduce a un mayor esfuerzo administrativo y costos asociados y puede hacer que sea significativamente más difícil aplicar pautas uniformes de seguridad y cumplimiento. La expansión de la identidad también plantea el riesgo de que los usuarios reutilicen sus contraseñas en todos los servicios, lo que deja a las organizaciones vulnerables a la indagación de credenciales.
Cuentas de usuarios privilegiados en punto de mira
Las cuentas de usuarios privilegiados con permisos de largo alcance están particularmente en la mira de los atacantes. Esto se debe a que estas cuentas brindan la clave para obtener datos valiosos y recursos de la empresa, lo que permite que los ciberdelincuentes operen bajo la apariencia de un usuario confiable y pasen desapercibidos durante meses. Sin embargo, limitar la cantidad de estas cuentas privilegiadas en una organización también puede reducir la superficie de ataque y reducir el riesgo de abuso por parte de personas internas malintencionadas o actores de amenazas externos.
Satisfacer las necesidades de los equipos de infraestructura y seguridad actuales requiere un enfoque integral para la administración de acceso privilegiado que se centre en la consolidación de identidades y se base en los principios de Zero Trust. Aquí hay cinco mejores prácticas que las organizaciones pueden usar para implementar una sólida estrategia de seguridad de consolidación de identidad y elevación de privilegios.
Cinco prácticas recomendadas para la consolidación de identidades y la elevación de privilegios
1. Centralización de todas las identidades en un directorio de identidades como única fuente de verdad
La solución de gestión de acceso privilegiado (PAM) seleccionada debe ofrecer la mayor flexibilidad posible con respecto al directorio de identidad utilizado en la empresa. Esto significa que no importa qué directorio de identidad (por ejemplo, Active Directory, Okta, Ping, etc.) utilice una organización. Por ejemplo, la tecnología debería ser capaz de conectar los sistemas UNIX y Linux a Active Directory mediante puentes AD, pero también ofrecer capacidades de consolidación para entornos IaaS como parte de la transformación de la nube. Las soluciones PAM modernas con capacidad de intermediación de múltiples directorios permiten autenticar a los usuarios en cualquier directorio de usuarios, centralizar la administración de identidades y minimizar la expansión de identidades.
2. Vincule todos los privilegios a las identidades en el directorio preferido
Vincular todos los poderes, permisos y privilegios a las identidades en el directorio preferido de una organización no solo reduce la sobrecarga administrativa, sino que también simplifica la aplicación de políticas de cumplimiento y seguridad coherentes. Porque a diferencia del uso de cuentas compartidas, la responsabilidad individual está ligada a la identidad respectiva.
3. Acceso federado a los recursos desde el directorio preferido
Con el acceso federado a los recursos (como servidores, bases de datos o cargas de trabajo en la nube), los empleados pueden simplemente iniciar sesión como ellos mismos y recibir siempre los permisos adecuados. Esto asegura flujos de trabajo eficientes y promueve la productividad de los empleados.
4. Controles granulares para acceso suficiente y por tiempo limitado
Özkan Topal, director de ventas de Thycotic Centrify
Debido a su alto nivel de privilegios de acceso, las cuentas privilegiadas representan una seria amenaza para las organizaciones si caen en manos de un atacante. Por lo tanto, se debe seguir un enfoque de privilegios mínimos junto con la escalada de privilegios para hacer cumplir los controles de acceso granulares. La elevación de privilegios significa otorgar temporalmente al usuario roles y privilegios adicionales para realizar una tarea que sea coherente con su función laboral, con privilegios suficientes para la cantidad exacta de tiempo que lleva realizar el trabajo. Por ejemplo, puede ser legítimo permitir que un administrador web acceda a sistemas que ejecutan servidores web y herramientas de administración asociadas. Sin embargo, iniciar sesión en máquinas que procesan transacciones con tarjetas de crédito no es legítimo y permanece bloqueado.
5. Sin permisos permanentes después de realizar una tarea
Las empresas deben asegurarse de que las identidades no tengan autorizaciones permanentes (cero privilegios permanentes), sino que los privilegios siempre se aumenten justo a tiempo para cumplir con las tareas respectivas dentro de un período de tiempo limitado. Por ejemplo, un empleado solo puede acceder a un servidor específico durante el horario comercial o durante un tiempo específico. Una vez que finaliza la sesión, se revocan los derechos de acceso (aunque una solución PAM moderna también debería poder otorgar acceso fácilmente nuevamente si es necesario). Esto también cierra la ventana de oportunidad para posibles atacantes en caso de que una cuenta de usuario se vea comprometida.
Debido a la creciente complejidad de las infraestructuras de las empresas, hoy en día se requieren controles exhaustivos sobre quién tiene acceso a recursos y datos confidenciales, en qué medida y durante cuánto tiempo. La consolidación de identidades y la elevación de privilegios brindan centralización de identidades y gobernanza granular y control de permisos. Esto reduce la proliferación de identidades y los riesgos de seguridad asociados, reduce la carga de trabajo administrativo y aumenta la productividad de los empleados. Con este enfoque, las organizaciones pueden garantizar que solo las personas, máquinas o servicios autorizados accedan a los recursos correctos en el momento correcto y por las razones correctas.
Más en Centrify.com
Acerca de Thycotic Centrify ThycoticCentrify es un proveedor líder de soluciones de seguridad de identidad en la nube que permiten la transformación digital a escala. Las soluciones de administración de acceso privilegiado (PAM) de ThycoticCentrify, líderes en la industria, reducen el riesgo, la complejidad y el costo al mismo tiempo que protegen los datos, los dispositivos y el código de la empresa en la nube, en las instalaciones y en entornos híbridos. ThycoticCentrify cuenta con la confianza de más de 14.000 100 empresas líderes en todo el mundo, incluidas más de la mitad de las XNUMX de Fortune. Los clientes incluyen las instituciones financieras más grandes del mundo, agencias de inteligencia y empresas de infraestructura crítica. Ya sea humano o máquina, en la nube o en las instalaciones, con ThycoticCentrify el acceso privilegiado es seguro.