Publicado: 19 de julio de 2024
Colaborador: Matthew Kosinski
La gestión de acceso privilegiado (PAM) es la disciplina de ciberseguridad que rige y protege las cuentas privilegiadas (como las cuentas de administrador) y las actividades privilegiadas (como trabajar con datos confidenciales).
En un sistema informático, “privilegio” hace referencia a los permisos de acceso superiores a los de un usuario estándar. Una cuenta de usuario normal podría tener permiso para ver entradas en una base de datos, mientras que un administrador privilegiado podría configurar, agregar, cambiar y eliminar entradas.
Los usuarios no humanos, como máquinas, aplicaciones y cargas de trabajo, también pueden tener privilegios elevados. Por ejemplo, un proceso de copia de seguridad automatizado puede tener acceso a archivos confidenciales y configuraciones del sistema.
Las cuentas con privilegios son objetivos de gran valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas cruciales mientras evaden la detección. De hecho, el secuestro de cuentas válidas es el vector de ciberataque más común hoy en día, según el IBM X-Force Threat Intelligence Index.
Las herramientas y prácticas de PAM ayudan a las organizaciones a proteger las cuentas privilegiadas contra los ataques basados en la identidad. En concreto, las estrategias de PAM refuerzan la posición de seguridad de la organización al reducir el número de usuarios y cuentas con privilegios, proteger las credenciales privilegiadas y aplicar el principio de privilegios mínimos.
La gestión de identidades y accesos (IAM) es un campo amplio que abarca todos los esfuerzos de seguridad de identidad de una organización para todos los usuarios y recursos. PAM es un subconjunto de IAM que se centra en proteger cuentas y usuarios con privilegios.
Hay una superposición significativa entre IAM y PAM. Ambos implican el aprovisionamiento de identidades digitales, la implementación de políticas de control de acceso y la implementación de sistemas de autenticación y autorización.
Sin embargo, PAM va más allá de las medidas estándar de IAM porque las cuentas privilegiadas requieren una protección más sólida que las cuentas estándar. Los programas PAM utilizan medidas de seguridad avanzadas como bóvedas de credenciales y registro de sesiones para controlar estrictamente cómo obtienen los usuarios privilegios elevados y qué hacen con ellos.
Sería poco práctico e ineficaz aplicar medidas tan estrictas a las cuentas no privilegiadas. Estas medidas interrumpirían el acceso regular de los usuarios y dificultarían que las personas realicen sus trabajos diarios. Esta diferencia en los requisitos de seguridad es la razón por la que PAM e IAM se han dividido en disciplinas separadas, pero relacionadas.
Descubra por qué IBM Security Verify ha sido reconocida como líder en el último informe del Gartner Magic Quadrant for Access Management.
Las cuentas privilegiadas suponen mayores riesgos de seguridad. Sus elevados permisos se prestan al abuso, y muchas organizaciones tienen dificultades para rastrear la actividad privilegiada en los sistemas locales y en la nube. PAM ayuda a las organizaciones a tener más control sobre las cuentas con privilegios para detener a los hackers mientras conectan a los usuarios con los permisos que necesitan.
Los ataques basados en identidad, en los que los hackers se apoderan de las cuentas de los usuarios y abusan de sus privilegios válidos, están en aumento. X-Force de IBM informa que estos ataques aumentaron un 71 % el año pasado. Actualmente representan el 30 % de las violaciones de seguridad. Estos ataques suelen dirigirse a cuentas privilegiadas, ya sea directamente o a través del movimiento lateral.
Los malos actores (amenazas internas o atacantes externos), los que se ponen manos a la obra en cuentas privilegiadas pueden causar graves daños. Pueden usar los permisos elevados para propagar malware y acceder a recursos cruciales sin restricciones, todo mientras engañan a las soluciones de seguridad para que piensen que son usuarios legítimos con cuentas válidas.
Según el Informe "Cost of a Data Breach" de IBM, las violaciones de seguridad en las que los hackers utilizan credenciales robadas cuestan de media de 4,62 millones de dólares. Las amenazas internas que abusan de sus privilegios válidos pueden causar aún más daños: esas vulneraciones cuestan de media 4,90 millones de dólares.
Además, la transformación digital y el crecimiento de la inteligencia artificial han aumentado el número de usuarios privilegiados en la red promedio. Cada nuevo servicio en la nube, aplicación de IA, estación de trabajo y dispositivo de Internet de las cosas (IoT) trae nuevas cuentas privilegiadas. Estas cuentas incluyen tanto las cuentas de administrador que los usuarios humanos necesitan para administrar estos activos como las cuentas que estos activos utilizan para interactuar con la infraestructura de red.
Para complicar aún más las cosas, la gente suele compartir cuentas privilegiadas. Por ejemplo, en lugar de asignar a cada administrador de sistema su propia cuenta, muchos equipos informáticos crean una cuenta de administrador por sistema y comparten las credenciales con los usuarios que las necesitan.
Como resultado, a las organizaciones les resulta difícil rastrear cuentas privilegiadas mientras los actores maliciosos centran su atención en esas mismas cuentas.
Las tecnologías y estrategias de PAM ayudan a las organizaciones a obtener más visibilidad y control sobre las cuentas y actividades privilegiadas sin interrumpir los flujos de trabajo legítimos de los usuarios. El Centro para la Seguridad en Internet enumera las actividades básicas de PAM entre sus controles de seguridad "cruciales".1
Herramientas como las bóvedas de credenciales y la elevación de privilegios "justo a tiempo" pueden facilitar el acceso seguro a los usuarios que lo necesiten, al tiempo que mantienen alejados a los hackers y a las personas internas no autorizadas. Las herramientas de monitorización de sesiones privilegiadas permiten a las organizaciones realizar un seguimiento de todo lo que cada usuario hace con sus privilegios a través de la red, lo que permite a los equipos de TI y de seguridad detectar actividades sospechosas.
La gestión de accesos privilegiados combina procesos y herramientas tecnológicas para controlar cómo se asignan, acceden y utilizan los privilegios. Muchas estrategias de PAM se centran en tres pilares:
Gestión de cuentas privilegiadas: creación, aprovisionamiento y eliminación segura de cuentas con permisos elevados.
Gestión de privilegios: gestionar cómo y cuándo los usuarios obtienen privilegios, así como lo que los usuarios pueden hacer con sus privilegios.
Gestión de sesiones con privilegios: monitorización de la actividad privilegiada para detectar comportamientos sospechosos y garantizar el cumplimiento.
La gestión de cuentas privilegiadas supervisa todo el ciclo de vida de las cuentas con permisos elevados, desde la creación hasta la retirada.
Una cuenta privilegiada es cualquier cuenta con derechos de acceso superiores a la media en un sistema. Los usuarios de cuentas privilegiadas pueden hacer cosas como cambiar la configuración del sistema, instalar nuevo software y agregar o eliminar otros usuarios.
En los entornos de TI modernos, las cuentas privilegiadas adoptan muchas formas. Tanto los usuarios humanos como los usuarios no humanos, como los dispositivos IoT y los flujos de trabajo automatizados, pueden tener cuentas privilegiadas. Algunos ejemplos son:
Las cuentas administrativas locales proporcionan a los usuarios control sobre un único portátil, servidor u otro punto de conexión individual.
Las cuentas administrativas de dominio otorgan a los usuarios el control sobre todo un dominio, como por ejemplo todos los usuarios y estaciones de trabajo de un dominio de Microsoft Active Directory.
Las cuentas de usuario empresarial privilegiadas dan a los usuarios un acceso elevado para fines no relacionados con la TI, como la cuenta que un empleado de finanzas utiliza para acceder a los fondos de la empresa.
Las cuentas de superusuario conceden privilegios sin restricciones en un sistema concreto. En los sistemas Unix y Linux, las cuentas de superusuario se denominan cuentas “root”. En Microsoft Windows, se llaman cuentas de “administrador”.
Las cuentas de servicio permiten que las aplicaciones y los flujos de trabajo automatizados interactúen con los sistemas operativos.
Las cuentas de aplicación permiten a las aplicaciones interactuar entre sí, llamar a interfaces de programación de aplicaciones (API) y realizar otras funciones importantes.
La gestión de cuentas privilegiadas controla todo el ciclo de vida de estas cuentas con privilegios, lo que incluye:
Descubrimiento: hacer un inventario de todas las cuentas privilegiadas existentes en una red.
Aprovisionamiento: crear nuevas cuentas con privilegios y asignar de permisos según el principio del mínimo privilegio.
Acceso: gestionar quién puede acceder a las cuentas privilegiadas y cómo.
Eliminación: retirar de forma segura las cuentas privilegiadas que ya no son necesarias.
Un objetivo importante de la administración de cuentas con privilegios es reducir el número de cuentas con privilegios en un sistema y restringir el acceso a esas cuentas. La gestión de credenciales es una herramienta clave para lograr este objetivo.
En lugar de asignar cuentas privilegiadas a usuarios individuales, muchos sistemas PAM centralizan estas cuentas y almacenan sus credenciales en una bóveda de contraseñas. El almacén guarda de forma segura contraseñas, tokens, claves Secure Shell (SSH) y otras credenciales en un formulario cifrado.
Cuando un usuario, humano o no humano, necesita realizar una actividad con privilegios, debe extraer las credenciales de la cuenta adecuada de la bóveda.
Por ejemplo, supongamos que un miembro del equipo informático debe realizar cambios en un ordenador portátil de la empresa. Para hacerlo, deben usar la cuenta de administrador local para este ordenador portátil. Las credenciales de la cuenta se almacenan en un almacén de contraseñas, por lo que el miembro del equipo de TI comienza solicitando la contraseña de la cuenta.
El miembro del equipo primero debe superar un fuerte desafío de autenticación, como la autenticación multifactor (MFA), para demostrar su identidad. A continuación, el almacén utiliza controles de acceso basados en roles (RBAC) o políticas similares para determinar si este usuario puede acceder a las credenciales de esta cuenta.
Este miembro del equipo de TI puede usar esta cuenta de administrador local, por lo que el almacén de credenciales concede acceso. El miembro del equipo de TI ahora puede usar la cuenta de administrador local para realizar los cambios necesarios en el ordenador portátil de la empresa.
Para mayor seguridad, muchos almacenes de credenciales no comparten directamente las credenciales con los usuarios. En su lugar, utilizan el inicio de sesión único (SSO) y el agente de sesión para iniciar conexiones seguras sin que el usuario vea la contraseña.
El acceso a la cuenta del usuario normalmente expira después de un período de tiempo determinado o después de completar su tarea. Muchos almacenes de credenciales pueden rotar automáticamente las credenciales según un programa o después de cada uso, lo que dificulta a los actores maliciosos el robo y uso indebido de esas credenciales.
PAM sustituye los modelos de privilegios perpetuos, en los que un usuario siempre tiene el mismo nivel estático de permisos, por modelos de acceso justo a tiempo en los que los usuarios reciben privilegios elevados cuando necesitan realizar tareas específicas. La gestión de privilegios es la forma en que las organizaciones implementan estos modelos dinámicos de acceso con menos privilegios.
Los almacenes de credenciales son una forma en que las organizaciones eliminan los privilegios perpetuos, ya que los usuarios pueden acceder a cuentas con privilegios solo por un tiempo limitado y con fines limitados. Pero los almacenes no son la única forma de controlar los privilegios de los usuarios.
Algunos sistemas PAM utilizan un modelo llamado elevación de privilegios justo a tiempo (JIT). En lugar de iniciar sesión en cuentas con privilegios separadas, los usuarios tienen sus permisos activados temporalmente cuando necesitan realizar actividades con privilegios.
En el modelo de elevación de privilegios JIT, cada usuario tiene una cuenta estándar con permisos estándar. Cuando un usuario necesita hacer algo que requiere permisos elevados, como que un miembro del equipo de TI cambie la configuración importante en un ordenador portátil de la empresa, envía una solicitud a una herramienta PAM. La solicitud puede incluir algún tipo de justificación que describa lo que el usuario debe hacer y por qué.
La herramienta PAM evalúa la solicitud en función de una serie de normas predefinidas. Si este usuario está autorizado para realizar esta tarea en este sistema, la herramienta PAM eleva sus privilegios. Estos privilegios elevados sólo son válidos durante un breve periodo de tiempo y permiten al usuario realizar únicamente las tareas específicas que necesita.
La mayoría de las organizaciones utilizan tanto la elevación de privilegios como el almacenamiento de credenciales para la administración de privilegios. Algunos sistemas requieren cuentas privilegiadas específicas, como las cuentas administrativas predeterminadas integradas en algunos dispositivos, y otros no.
La gestión de sesiones privilegiadas (PSM) es el aspecto de PAM que supervisa las actividades privilegiadas. Cuando un usuario retira una cuenta privilegiada o una aplicación tiene sus privilegios elevados, las herramientas de PSM rastrean lo que hace con esos privilegios.
Las herramientas PSM pueden registrar la actividad de las sesiones privilegiadas mediante el registro de eventos y pulsaciones de teclas. Algunas herramientas PSM también graban en vídeo las sesiones privilegiadas. Los registros de PSM ayudan a las organizaciones a detectar actividades sospechosas, atribuir actividad privilegiada a usuarios individuales y crear pistas de auditoría con fines de cumplimiento.
La administración de identidades privilegiadas (PIM) y la administración de usuarios privilegiados (PUM) son subcampos superpuestos de la administración de acceso con privilegios. Los procesos PIM se centran en asignar y mantener privilegios para identidades individuales en un sistema. Los procesos PUM se centran en el mantenimiento de las cuentas de usuario con privilegios.
Sin embargo, las distinciones entre PIM, PUM y otros aspectos de la PAM no están universalmente consensuadas. Algunos practicantes incluso usan los términos indistintamente. En última instancia, lo importante es que todo esté bajo el paraguas de PAM. Diferentes organizaciones pueden conceptualizar las tareas de PAM de manera diferente, pero todas las estrategias de PAM comparten el objetivo de prevenir el mal uso del acceso privilegiado.
Es ineficiente, y a menudo imposible, realizar manualmente las tareas principales de PAM, como la elevación de privilegios y las rotaciones periódicas de contraseñas. La mayoría de las organizaciones utilizan soluciones PAM para agilizar y automatizar gran parte del proceso.
Las herramientas PAM se pueden instalar en las instalaciones como dispositivos de software o hardware. Cada vez más, se entregan como aplicaciones de software como servicio (SaaS) basadas en la nube.
La empresa de análisis Gartner clasifica las herramientas PAM en cuatro clases:
Las herramientas de gestión de cuentas y sesiones privilegiadas (PASM) gestionan el ciclo de vida de las cuentas, la gestión de contraseñas, el almacenamiento de credenciales y la monitorización de las sesiones privilegiadas en tiempo real.
Las herramientas de gestión de delegación y elevación de privilegios (PEDM) permiten la elevación de privilegios justo a tiempo al evaluar, aprobar y denegar automáticamente las solicitudes de acceso con privilegios.
Las herramientas de administración de secretos se centran en proteger las credenciales y administrar los privilegios de los usuarios no humanos, como aplicaciones, cargas de trabajo y servidores.
Las herramientas de administración de derechos de infraestructura en la nube (CIEM) están diseñadas para administrar identidades y accesos en entornos de nube, donde los usuarios y las actividades son más difusos y requieren controles diferentes a los de sus contrapartes locales.
Aunque algunas herramientas PAM son soluciones puntuales que cubren una clase de actividades, muchas organizaciones están adoptando plataformas integrales que combinan las funciones de PASM, PEDM, gestión de secretos y CIEM. Estas herramientas también pueden admitir integraciones con otras herramientas de seguridad, como el envío de registros de sesión con privilegios a una solución de gestión de eventos e información de seguridad (SIEM).
Algunas plataformas PAM integrales tienen funciones adicionales, como:
La posibilidad de descubrir automáticamente cuentas privilegiadas previamente desconocidas
La capacidad de aplicar MFA a los usuarios que solicitan acceso privilegiado
El acceso remoto seguro para actividades y usuarios privilegiados
Las capacidades de gestión de acceso privilegiado (VPAM) de proveedores para contratistas y socios externos
Los analistas anticipan que las herramientas PAM, al igual que otros controles de seguridad, incorporarán cada vez más IA y machine learning (ML). De hecho, algunas herramientas PAM ya utilizan IA y ML en sistemas de autenticación basados en riesgos.
La autenticación basada en el riesgo evalúa continuamente el comportamiento del usuario, calcula el nivel de riesgo de ese comportamiento y cambia dinámicamente los requisitos de autenticación en función de ese riesgo. Por ejemplo, un usuario que solicita privilegios para configurar un único portátil puede necesitar pasar la autenticación de dos factores. Es posible que un usuario que desee cambiar la configuración de todas las estaciones de trabajo de un dominio tenga que proporcionar aún más pruebas para verificar su identidad.
La investigación de OMDIA2 predice que las herramientas de PAM podrían utilizar la IA generativa para analizar las solicitudes de acceso, automatizar la elevación de privilegios, generar y refinar políticas de acceso y detectar actividades sospechosas en registros de sesión privilegiados.
Aunque las herramientas y tácticas de PAM rigen la actividad privilegiada en toda una organización, también pueden ayudar a abordar desafíos específicos de seguridad de identidad y acceso.
- Reducción de la superficie de ataque de identidad
- Administración de la expansión de identidades
- Conformidad con la normativa
- Gestión de secretos de DevOps
Los actores de amenazas utilizan cada vez más cuentas válidas para entrar en las redes. Al mismo tiempo, muchas organizaciones están sufriendo la fluencia de privilegios. Los usuarios tienen privilegios superiores a los que necesitan y las cuentas con privilegios obsoletos no se retiran adecuadamente.
Como resultado, las identidades se han convertido en los mayores riesgos de muchas organizaciones. Las herramientas y tácticas PAM pueden ayudar a remediar estas vulnerabilidades.
Los almacenes de credenciales dificultan el robo de cuentas con privilegios, y las herramientas PEDM aplican un acceso granular con privilegios mínimos que reduce el movimiento lateral. Las organizaciones pueden utilizar estas y otras soluciones de PAM para reemplazar los privilegios perpetuos por un modelo zero trust en el que los usuarios deben autenticarse y autorizarse para cada conexión y actividad. Este modelo puede ayudar a reducir la superficie de ataque de la identidad y limitar las oportunidades de los hackers.
La transformación digital ha impulsado una explosión de identidades privilegiadas en las redes corporativas, lo que supone un importante desafío para la seguridad de la información.
El departamento de negocios promedio utiliza 87 aplicaciones SaaS diferentes3, por no hablar de los distintos dispositivos de IoT, servicios de infraestructura en la nube y usuarios remotos con dispositivos BYOD que pueblan ahora las redes corporativas. Muchos de estos activos y usuarios necesitan cuentas privilegiadas para interactuar con los recursos de TI.
Y a medida que más organizaciones incorporan la IA generativa a sus operaciones, estas nuevas aplicaciones e integraciones de IA aportan otro conjunto de identidades privilegiadas a la escena.
Muchas de estas identidades privilegiadas pertenecen a usuarios no humanos, como aplicaciones de IA y dispositivos IoT. Los usuarios no humanos superan en número a los humanos en muchas redes hoy en día, y son bastante malos a la hora de mantener sus credenciales en secreto. Por ejemplo, algunas aplicaciones vuelcan sus credenciales en texto sin formato en los registros del sistema y los informes de errores.
PAM puede ayudar a las organizaciones a gestionar la proliferación de identidades almacenando credenciales privilegiadas para usuarios humanos y no humanos y controlando de forma centralizada el acceso a las mismas. La rotación automatizada de credenciales puede limitar el daño de cualquier credencial que se filtre, y las herramientas de monitorización de sesión ayudan a rastrear lo que todos estos usuarios dispares hacen con sus privilegios.
Las regulaciones de privacidad y seguridad de datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y el Reglamento General de Protección de Datos (RGPD), requieren que las organizaciones controlen el acceso a la información de salud, los números de tarjetas de crédito y otros datos confidenciales.
PAM puede ayudar a las organizaciones a cumplir con los requisitos de cumplimiento de varias maneras. Las herramientas PAM pueden imponer privilegios de acceso granulares para que sólo los usuarios necesarios puedan acceder a los datos sensibles, y únicamente por razones autorizadas.
Los almacenes de credenciales y la elevación de privilegios eliminan la necesidad de compartir cuentas de administrador, lo que puede provocar que usuarios no autorizados accedan a datos confidenciales.
La monitorización de las sesiones privilegiadas ayuda a las organizaciones a atribuir la actividad y producir registros de auditoría para demostrar el cumplimiento en caso de infracción o investigación.
La gestión de credenciales privilegiadas, a menudo denominadas "secretos" en entornos DevOps, puede resultar especialmente difícil para los equipos DevOps.
La metodología DevOps utiliza en gran medida servicios en la nube y procesos automatizados, lo que significa que hay muchos usuarios humanos y no humanos privilegiados repartidos por muchas partes diferentes de la red.
No es raro que las claves SSH, contraseñas, claves API y otros secretos estén codificados en aplicaciones o almacenados como texto sin formato en sistemas de control de versiones y otros lugares. Esto facilita a los usuarios la obtención de las credenciales cuando las necesitan para que los flujos de trabajo no se interrumpan, pero también facilita que los actores malintencionados roben esas credenciales.
Las herramientas PAM pueden ayudar almacenando los secretos de DevOps en un almacén centralizado. Solo los usuarios y las cargas de trabajo legítimos pueden acceder a los secretos, y solo por motivos legítimos. Los almacenes pueden rotar automáticamente los secretos para que las credenciales robadas se vuelvan inútiles rápidamente.
Protege y gestiona las identidades de clientes, trabajadores y usuarios con privilegios en toda la nube híbrida con la ayuda de la IA.
Proteja a sus usuarios y aplicaciones, dentro y fuera de la empresa, con un enfoque de software como servicio (SaaS) nativo en la nube de baja fricción que utiliza la nube.
Obtenga más información sobre una gestión de identidades y accesos completa, segura y conforme a las normas para la empresa moderna.
Prepárese para las vulneraciones de datos comprendiendo sus causas y los factores que aumentan o reducen sus costes.
Comprenda las tácticas comunes de los atacantes para proteger mejor a su personal, sus datos y su infraestructura.
Obtenga información sobre la orquestación de identidades y la coordinación de sistemas dispares de gestión de identidades y accesos (IAM) en flujos de trabajo sin fricciones.
Notas a pie de página
Enlaces externos a ibm.com.
1 CIS Critical Security Controls. Center for Internet Security. Junio de 2024.
2 Generative AI Trends in Identity, Authentication and Access (IAA). Omdia. 15 de marzo de 2024.
3 2023 State of SaaS Trends. Productiv. 21 de junio de 2023.