Con el aumento del trabajo remoto, los administradores de TI, los equipos de seguridad y los empleados regulares ahora dependen en gran medida del acceso remoto a los sistemas empresariales, los entornos de DevOps y las aplicaciones. Esto les da a los actores de amenazas una superficie de ataque mucho más grande: la suplantación de identidad.
Las identidades digitales se han convertido en el arma preferida de los ciberdelincuentes. Cuando los usuarios privilegiados de una organización utilizan de forma rutinaria cuentas privilegiadas compartidas para acceder, en particular de forma remota a través de una VPN, cualquier atacante que comprometa esas credenciales tiene, en el peor de los casos, acceso de gran alcance a datos y recursos de misión crítica. Además, no solo los usuarios privilegiados están en riesgo. Muchos ataques cibernéticos tienen como objetivo las cuentas de los empleados regulares para usarlas como plataforma de lanzamiento para explorar la red.
Con esto en mente, las organizaciones deben revisar el impacto de una fuerza laboral distribuida, los contratistas externos y la creciente superficie de ataque de una infraestructura de TI altamente distribuida, y considerar implementar nuevas estrategias Zero Trust para responder mejor a estas nuevas dinámicas.
Estrategia de confianza cero para identidades humanas y de máquinas
Con el modelo Zero Trust, no se confía por adelantado en ningún actor que solicite acceso a datos corporativos confidenciales, aplicaciones o infraestructura. Sin embargo, las medidas de seguridad no deben detenerse en las identidades de los usuarios humanos. Las identidades no humanas y las cuentas de servicio para máquinas, aplicaciones y otras cargas de trabajo constituyen cada vez más la mayoría de los "usuarios” en muchas organizaciones. Esto es especialmente cierto en entornos de nube y DevOps donde las herramientas de desarrollo, las aplicaciones en contenedores, los microservicios y las cargas de trabajo elásticas - todos los cuales requieren identidades para comunicarse entre sí - juegan un papel dominante. Por lo tanto, para mejorar su postura de seguridad basada en la identidad, las organizaciones deben centrarse en administrar los permisos de acceso privilegiado en función de un enfoque de confianza cero.
Seguridad Zero Trust a través de Privilege Access Management (PAM)
El perímetro de la red tradicional se está disolviendo a medida que los usuarios y los recursos de TI se distribuyen más geográficamente. Como resultado, ya no es práctico basar las decisiones de acceso en conceptos simples como "los usuarios de confianza están dentro del perímetro y los usuarios que no son de confianza están fuera" y usar direcciones IP para esta distinción. Las empresas deben asumir que los actores de amenazas ya están dentro de sus sistemas. El enfoque obsoleto de "confiar pero verificar" debe reemplazarse por "nunca confíes, siempre verifica".
"Nunca confíes" significa que los administradores legítimos ya no tienen carta blanca para acceder a cuentas privilegiadas. Es decir, en lugar de permitir que las cuentas privilegiadas compartidas, como la raíz y el administrador local, hagan lo que les plazca, los administradores usan su cuenta corporativa verificada por recursos humanos, que tiene privilegios básicos. Esto evita errores fatales y reduce el impacto si un atacante compromete esa cuenta. Los controles de seguridad de PAM pueden entonces otorgar privilegios elevados de forma selectiva cuando la situación lo requiera, en función de funciones y políticas centralizadas. En lugar de que las identidades tengan privilegios amplios todo el tiempo, este enfoque de privilegios mínimos reduce el riesgo de seguridad al tiempo que permite que los administradores legítimos hagan su trabajo al solicitar privilegios suficientes, justo a tiempo y por un tiempo limitado. Para garantizar una protección eficaz, las empresas deben aplicar de forma coherente este enfoque a todos los recursos de TI, ya sea en el centro de datos, en la zona desmilitarizada (DMZ), en la nube privada virtual o en entornos de varias nubes.
Al implementar este enfoque de confianza cero para PAM utilizando controles de acceso de privilegios mínimos, las organizaciones minimizan su superficie de ataque, mejoran la visibilidad de auditoría y cumplimiento y reducen el riesgo, la complejidad y el costo.
Pasos importantes en el camino hacia una buena confianza cero
PAM es una tecnología compleja, pero las organizaciones pueden lograr avances significativos en seguridad con solo algunos conceptos básicos y continuar mejorando su nivel de madurez Zero Trust mediante la implementación de capacidades cada vez más avanzadas. Los primeros pasos importantes son mejorar la higiene de las contraseñas, asegurar las cuentas privilegiadas compartidas y hacer cumplir la autenticación multifactor (MFA) para los administradores.
1. Buena higiene de contraseñas para identidades humanas y de máquinas
Una sola contraseña comprometida puede dañar potencialmente a toda la organización. Por lo tanto, las contraseñas de alta entropía que son difíciles de descifrar son esenciales. Las rotaciones frecuentes de contraseñas también reducen la ventana de oportunidad para posibles atacantes. Esto también es importante para las cuentas no humanas. Rara vez se cambian por temor a romper una aplicación o servicio. PAM permite administrar estas cuentas de forma centralizada y aplicar una política de rotación frecuente. Al hacerlo, estas soluciones pueden aprovechar una función de cuenta multiplexada para garantizar que la contraseña se sincronice en todas las computadoras dependientes antes de la rotación para mitigar el riesgo de falla de la aplicación.
Dado que los humanos siguen siendo el eslabón más débil de la cadena de seguridad y, por lo tanto, uno de los principales objetivos de los atacantes, la capacitación continua en seguridad debe ser obligatoria para todos los usuarios, no solo para los administradores.
2. Autenticación multifactor para administradores
Otro paso concreto para fortalecer la seguridad de la identidad es la implementación de autenticación multifactor para todos los administradores. También para los atacantes, el tiempo es dinero. Por lo tanto, obstáculos de seguridad adicionales como MFA pueden hacer que un atacante simplemente pase a la siguiente víctima potencial.
El uso de un autenticador físico (por ejemplo, YubiKey, notificaciones automáticas o datos biométricos integrados como Apple Touch ID) como segundo factor presenta un gran obstáculo para los atacantes. Esta medida también detiene los bots o el malware. La aplicación consistente de MFA en múltiples puntos de acceso es esencial.
3. Almacenamiento de contraseñas
Las identidades con permisos permanentes representan un riesgo de seguridad significativo. Los sistemas Linux en particular son una gran fuente de cuentas privilegiadas locales. El mejor método es eliminar tantas de estas cuentas como sea posible. Las cuentas que una empresa no puede eliminar deben guardarse en una bóveda de contraseñas y el acceso debe estar restringido solo para emergencias. Estas dos medidas ya reducen considerablemente la superficie de ataque. Como siguiente paso, los administradores solo deben recibir los permisos que necesitan, justo a tiempo, cuando los necesitan.
El creciente número de ciberataques exitosos muestra que los conceptos tradicionales de seguridad basados en el perímetro ya no son suficientes. Porque una vez superado este muro protector, los delincuentes suelen tenerlo fácil. Las empresas deben asumir que los atacantes ya están en sus redes y basar sus medidas de seguridad en esta suposición. Esta es la única forma de proteger todos los activos y datos confidenciales de una empresa y minimizar el daño de ataques externos y amenazas internas.
Más en Sophos.com
Acerca de Thycotic Centrify ThycoticCentrify es un proveedor líder de soluciones de seguridad de identidad en la nube que permiten la transformación digital a escala. Las soluciones de administración de acceso privilegiado (PAM) de ThycoticCentrify, líderes en la industria, reducen el riesgo, la complejidad y el costo al mismo tiempo que protegen los datos, los dispositivos y el código de la empresa en la nube, en las instalaciones y en entornos híbridos. ThycoticCentrify cuenta con la confianza de más de 14.000 100 empresas líderes en todo el mundo, incluidas más de la mitad de las XNUMX de Fortune. Los clientes incluyen las instituciones financieras más grandes del mundo, agencias de inteligencia y empresas de infraestructura crítica. Ya sea humano o máquina, en la nube o en las instalaciones, con ThycoticCentrify el acceso privilegiado es seguro.