Publicado: 19 de julio de 2024
Colaborador: Matthew Kosinski
La gestión de acceso privilegiado (PAM) es la disciplina de ciberseguridad que rige y protege las cuentas privilegiadas (como las cuentas de administrador) y las actividades privilegiadas (como trabajar con datos confidenciales).
En un sistema informático, “privilegio” se refiere a permisos de acceso superiores a los de un usuario estándar. Una cuenta de usuario normal podría tener permiso para leer entradas en una base de datos, mientras que un administrador con privilegios podría configurar, agregar, cambiar y eliminar las entradas.
Los usuarios no humanos, como las máquinas, aplicaciones y cargas de trabajo, también pueden tener privilegios elevados. Por ejemplo, un proceso de copia de seguridad automatizado puede tener acceso a archivos confidenciales y configuraciones del sistema.
Las cuentas privilegiadas son objetivos de alto valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas críticos mientras evaden la detección. De hecho, el secuestro de cuentas válidas es el vector de ciberataque más común en la actualidad, según el IBM X-Force Threat Intelligence Index.
Las herramientas y prácticas de PAM ayudan a las organizaciones a proteger las cuentas privilegiadas contra ataques basados en la identidad. En concreto, las estrategias de PAM refuerzan la postura de seguridad de la organización mediante la reducción del número de los usuarios y las cuentas que tienen privilegios, la protección de las credenciales privilegiadas y la aplicación del principio del menor privilegio.
La gestión de identidad y acceso (IAM) es un campo amplio que abarca todos los esfuerzos de seguridad de identidad de una organización para todos los usuarios y recursos. PAM es un subconjunto de IAM que se enfoca en proteger cuentas y usuarios privilegiados.
IAM y PAM se traslapan en muchas cosas. Ambos implican el aprovisionamiento de identidades digitales, la implementación de políticas de control de acceso y el despliegue de sistemas de autenticación y autorización.
Sin embargo, PAM va más allá que las medidas estándar de IAM porque las cuentas privilegiadas requieren una protección más robusta que las cuentas estándar. Los programas de PAM usan medidas de seguridad avanzadas, como bóvedas de credenciales y grabación de sesiones, para controlar estrictamente cómo los usuarios obtienen privilegios superiores y qué hacen con ellos.
Sería poco práctico e ineficaz aplicar medidas tan estrictas a cuentas no privilegiadas. Estas medidas interrumpirían el acceso regular de los usuarios y dificultarían que las personas realicen sus trabajos diarios. Esta diferencia en los requisitos de seguridad es la razón por la que PAM e IAM se dividieron en disciplinas separadas, pero relacionadas.
Descubra por qué IBM Security Verify fue reconocida como líder en el último informe Gartner Magic Quadrant for Access Management.
Las cuentas privilegiadas plantean mayores riesgos de seguridad. Sus permisos elevados están expuestos al abuso, y muchas organizaciones tienen dificultades para rastrear la actividad privilegiada en los sistemas on-premises y en la nube. PAM ayuda a las organizaciones a obtener más control sobre las cuentas privilegiadas para detener a los hackers mientras conecta a los usuarios con los permisos que necesitan.
Los ataques basados en la identidad, en los que los hackers se apoderan de las cuentas de los usuarios y abusan de sus privilegios válidos, están en aumento. X-Force de IBM informa que estos ataques aumentaron en un 71 % el año pasado. Ahora representan el 30 % de las violaciones de seguridad. Estos ataques suelen tener como objetivo cuentas privilegiadas, ya sea directamente o mediante movimientos laterales.
Los actores maliciosos:ya sean usuario internos o atacantes externos que consiguen acceder a cuentas privilegiadas pueden causar daños graves. Pueden usar los permisos elevados para propagar malware y acceder a recursos críticos sin restricciones, mientras engañan a las soluciones de seguridad para que piensen que son usuarios legítimos con cuentas válidas.
Según el Informe sobre el costo de una filtración de datos de IBM, las filtraciones en las que los hackers usan credenciales robadas se encuentran entre las más costosas, con un promedio de 4.62 millones USD. Las amenazas de usuarios internos que abusan de sus privilegios válidos pueden causar aún más daño, y esas filtraciones cuestan 4.90 millones USD en promedio.
Además, la transformación digital y el crecimiento de la inteligencia artificial aumentaron el número de usuarios privilegiados en la red promedio. Cada nuevo servicio en la nube, aplicación de IA, estación de trabajo y dispositivo de Internet de las cosas (IoT) trae nuevas cuentas privilegiadas. Estas cuentas incluyen tanto las cuentas de administrador que los usuarios humanos necesitan para gestionar estos activos como las cuentas que estos activos emplean para interactuar con la infraestructura de red.
Para complicar aún más las cosas, las personas suelen compartir cuentas privilegiadas. Por ejemplo, en lugar de asignar a cada administrador del sistema su propia cuenta, muchos equipos de TI configuran una cuenta de administrador por sistema y comparten las credenciales con los usuarios que las necesitan.
Como resultado, es difícil para las organizaciones rastrear cuentas privilegiadas mientras que los actores maliciosos centran su atención en esas mismas cuentas.
Las tecnologías y estrategias de PAM ayudan a las organizaciones a obtener más visibilidad y control sobre las cuentas y actividades privilegiadas sin interrumpir los flujos de trabajo de los usuarios legítimos. El Center for Internet Security enumera las actividades centrales de PAM entre sus controles de seguridad "críticos".1
Las herramientas como las bóvedas de credenciales y la elevación de privilegios justo a tiempo pueden facilitar el acceso seguro para los usuarios que lo necesitan, mientras mantienen alejados a los hackers y a los usuarios internos no autorizados. Las herramientas de monitoreo de sesiones privilegiadas permiten a las organizaciones realizar un seguimiento de todo lo que cada usuario hace con sus privilegios en toda la red, lo que permite a los equipos de TI y seguridad detectar actividades sospechosas.
La gestión de acceso privilegiado combina procesos y herramientas tecnológicas para controlar cómo se asignan, acceden y emplean los privilegios. Muchas estrategias de PAM se centran en tres pilares:
Gestión de cuentas privilegiadas: la creación, el aprovisionamiento y la eliminación segura de cuentas con permisos elevados.
Gestión de privilegios: gestionar cómo y cuándo los usuarios obtienen privilegios, así como qué pueden hacer los usuarios con sus privilegios.
Gestión de sesiones privilegiadas: supervisión de la actividad privilegiada para detectar comportamientos sospechosos y garantizar el cumplimiento normativo.
La gestión de cuentas privilegiadas supervisa todo el ciclo de vida de las cuentas con permisos elevados, desde la creación hasta el retiro.
Una cuenta privilegiada es cualquier cuenta con derechos de acceso superiores al promedio en un sistema. Los usuarios de cuentas privilegiadas pueden hacer cosas como cambiar la configuración del sistema, instalar nuevo software y agregar o eliminar otros usuarios.
En los entornos de TI modernos, las cuentas privilegiadas tienen muchas formas. Tanto los usuarios humanos como los usuarios no humanos, como los dispositivos IoT y los flujos de trabajo automatizados, pueden tener cuentas privilegiadas. Algunos ejemplos son:
Las cuentas administrativas locales brindan a los usuarios control sobre una sola computadora portátil, servidor u otro endpoint individual.
Las cuentas administrativas de dominio permiten a los usuarios controlar todo un dominio, por ejemplo, todos los usuarios y estaciones de trabajo de un dominio de Microsoft Active Directory.
Las cuentas privilegiadas de usuario empresarial brindan a los usuarios un acceso elevado para fines no relacionados con TI, como la cuenta que usa un empleado de finanzas para acceder a los fondos de la empresa.
Las cuentas de superusuario otorgan privilegios sin restricciones en un sistema específico. En los sistemas Unix y Linux, las cuentas de superusuario se denominan cuentas “raíz”. En Microsoft Windows, se denominan cuentas de "administrador".
Las cuentas de servicio permiten que las aplicaciones y los flujos de trabajo automatizados interactúen con los sistemas operativos.
Las cuentas de aplicaciones permiten que las aplicaciones interactúen entre sí, hacer llamadas a interfaces de programación de aplicaciones (API) y realizar otras funciones importantes.
La gestión de cuentas privilegiadas maneja todo el ciclo de vida de estas cuentas privilegiadas, incluyendo:
Descubrimiento: hacer un inventario de todas las cuentas privilegiadas existentes en una red.
Aprovisionamiento: crear nuevas cuentas privilegiadas y asignar permisos con base en el principio de privilegio mínimo.
Acceso: gestión de quién puede acceder a cuentas privilegiadas y cómo.
Eliminación: Retirar de forma segura las cuentas privilegiadas que ya no son necesarias.
Uno de los principales objetivos de la gestión de cuentas privilegiadas es reducir la cantidad de cuentas privilegiadas en un sistema y restringir el acceso a esas cuentas. La gestión de credenciales es una herramienta clave para lograr este objetivo.
En lugar de asignar cuentas privilegiadas a usuarios individuales, muchos sistemas de PAM centralizan estas cuentas y almacenan sus credenciales en una bóveda de contraseñas. La bóveda alberga de forma segura contraseñas, tokens, claves Secure Shell (SSH) y otras credenciales en un formulario cifrado.
Cuando un usuario, humano o no humano, necesita realizar una actividad privilegiada, debe verificar las credenciales de la cuenta correspondiente de la bóveda.
Por ejemplo, supongamos que un miembro del equipo de TI debe realizar cambios en una computadora portátil de la empresa. Para hacerlo, debe usar la cuenta de administrador local para esta computadora portátil. Las credenciales de la cuenta se almacenan en una bóveda de contraseñas, por lo que el miembro del equipo de TI comienza solicitar la contraseña de la cuenta.
El miembro del equipo primero debe pasar un desafío de autenticación sólido, como la autenticación multifactor (MFA), para probar su identidad. Luego, la bóveda usa controles de acceso basados en roles (RBAC) o políticas similares para determinar si este usuario puede acceder a las credenciales de esta cuenta.
Este miembro del equipo de TI puede usar esta cuenta de administrador local, por lo que el almacén de credenciales le otorga el acceso. El miembro del equipo de TI ahora puede usar la cuenta de administrador local para realizar los cambios necesarios en la computadora portátil de la empresa.
Para mayor seguridad, muchas bóvedas de credenciales no comparten credenciales directamente con los usuarios. En lugar de ello, usan el inicio de sesión único (SSO) y la intermediación de sesiones para iniciar conexiones seguras sin que el usuario vea nunca la contraseña.
El acceso a la cuenta del usuario generalmente caduca después de un período determinado o después de que se complete su tarea. Muchas bóvedas de credenciales pueden rotar automáticamente las credenciales según una programación o después de cada uso, lo que dificulta que los actores malintencionados roben y hagan mal uso de esas credenciales.
PAM sustituye los modelos de privilegios perpetuos, en los que un usuario siempre tiene el mismo nivel estático de permisos, por modelos de acceso justo a tiempo en los que los usuarios reciben privilegios elevados cuando necesitan realizar tareas específicas. La gestión de privilegios es la forma en que las organizaciones ponen en marcha estos modelos dinámicos de acceso menos privilegiado.
Las bóvedas de credenciales son una forma en que las organizaciones eliminan los privilegios perpetuos, ya que los usuarios pueden acceder a cuentas privilegiadas solo por un tiempo limitado y propósitos limitados. Pero las bóvedas no son la única manera de controlar los privilegios del usuario.
Algunos sistemas de PAM utilizan un modelo llamado elevación de privilegios justo en el tiempo (JIT). En lugar de iniciar sesión en cuentas privilegiadas separadas, los usuarios tienen sus permisos temporalmente elevados cuando necesitan realizar actividades privilegiadas.
En el modelo de elevación de privilegios JIT, cada usuario tiene una cuenta estándar con permisos estándar. Cuando un usuario necesita hacer algo que requiere permisos elevados, como que un miembro del equipo de TI cambie configuraciones importantes en una computadora portátil de la empresa, envía una solicitud a una herramienta de PAM. La solicitud puede incluir algún tipo de justificación que describa lo que el usuario debe hacer y por qué.
La herramienta de PAM evalúa la solicitud en función de un conjunto de reglas predefinidas. Si este usuario está autorizado para realizar esta tarea en este sistema, la herramienta PAM eleva sus privilegios. Estos privilegios elevados son válidos solo por un corto periodo de tiempo y permiten al usuario realizar solo las tareas específicas que necesita hacer.
La mayoría de las organizaciones usan tanto la elevación de privilegios como las bóvedas de credenciales para la gestión de privilegios. Algunos sistemas requieren cuentas privilegiadas dedicadas, como las cuentas administrativas por defecto integradas en algunos dispositivos, y otros no.
La gestión de sesiones privilegiadas (PSM) es el aspecto de PAM que supervisa las actividades privilegiadas. Cuando un usuario retira una cuenta privilegiada o una aplicación tiene sus privilegios elevados, las herramientas de PSM rastrean lo que hacen con esos privilegios.
Las herramientas PSM pueden registrar la actividad de las sesiones privilegiadas mediante el registro de eventos y pulsaciones de teclas. Algunas herramientas de PSM también graban en video las sesiones privilegiadas. Los registros PSM ayudan a las organizaciones a detectar actividades sospechosas, atribuir actividades privilegiadas a usuarios individuales y crear registros de auditoría con fines de cumplimiento.
La gestión de identidades privilegiadas (PIM) y la gestión de usuarios privilegiados (PUM) son subcampos superpuestos de la gestión de accesos privilegiados. Los procesos de PIM se centran en asignar y mantener privilegios para identidades individuales en un sistema. Los procesos de PUM se centran en el mantenimiento de cuentas de usuario privilegiadas.
Sin embargo, las distinciones entre PIM, PUM y otros aspectos de PAM no están universalmente consensuadas. Algunos profesionales incluso usan los términos indistintamente. En última instancia, lo importante es que todo quede bajo la cobertura de PAM. Diferentes organizaciones pueden conceptualizar las tareas de PAM de manera diferente, pero todas las estrategias de PAM comparten el objetivo de prevenir el mal uso del acceso privilegiado.
Es ineficiente, y a menudo imposible, realizar manualmente las tareas principales de PAM, como la elevación de privilegios y las rotaciones periódicas de contraseñas. La mayoría de las organizaciones usan soluciones de PAM para optimizar y automatizar gran parte del proceso.
Las herramientas de PAM se pueden instalar on premises como dispositivos de software o hardware. Cada vez más, se ofrecen como aplicaciones de software como servicio (SaaS) basadas en la nube.
La firma de analistas Gartner clasifica las herramientas PAM en cuatro clases:
Las herramientas de gestión de cuentas y sesiones privilegiadas (PASM) manejan la gestión del ciclo de vida de la cuenta, la gestión de contraseñas, las bóvedas de credenciales y el monitoreo de sesiones privilegiadas en tiempo real.
Las herramientas de elevación de privilegios y gestión de delegación (PEDM) permiten la elevación de privilegios justo a tiempo al evaluar, aprobar y denegar automáticamente las solicitudes de acceso privilegiado.
Las herramientas de gestión de secretos se centran en proteger las credenciales y gestionar los privilegios de usuarios no humanos, como aplicaciones, cargas de trabajo y servidores.
Las herramientas de gestión de derechos de infraestructura en la nube (CIEM) están diseñadas para la gestión de identidades y accesos en entornos de nube, donde los usuarios y las actividades son más difusos y requieren controles diferentes a los de sus contrapartes on-premises.
Si bien algunas herramientas de PAM son soluciones puntuales que cubren una clase de actividades, muchas organizaciones están adoptando plataformas integrales que combinan las funciones de PASM, PEDM, gestión de secretos y CIEM. Estas herramientas también pueden admitir integraciones con otras herramientas de seguridad, como el envío de registros de sesión privilegiados a una solución de gestión de eventos e información de seguridad (SIEM) .
Algunas plataformas de PAM completas tienen funciones adicionales, como:
La capacidad de descubrir automáticamente cuentas privilegiadas previamente desconocidas
La capacidad de aplicar MFA a los usuarios que aplicar acceso privilegiado
Acceso remoto seguro para actividades y usuarios privilegiados
Capacidades de gestión de acceso privilegiado de proveedores (VPAM) para contratistas y socios externos
Los analistas anticipan que las herramientas PAM, al igual que otros controles de seguridad, incorporarán cada vez más IA y machine learning (ML). De hecho, algunas herramientas PAM ya usa IA y ML en sistemas de autenticación basados en riesgos.
La autenticación basada en riesgos evalúa continuamente el comportamiento del usuario, calcula el nivel de riesgo de ese comportamiento y cambia de forma dinámica los requisitos de autenticación en función de ese riesgo. Por ejemplo, un usuario que solicita privilegios para configurar una sola computadora portátil podría necesitar aprobar la autenticación de dos factores. Un usuario que quiera cambiar la configuración de todas las estaciones de trabajo de un dominio podría necesitar proporcionar aún más pruebas para verificar su identidad.
Una investigación de OMDIA2 predice que las herramientas de PAM podrían usar IA generativa para analizar solicitudes de acceso, automatizar la elevación de privilegios, generar y refinar políticas de acceso y detectar actividades sospechosas en registros de sesiones privilegiadas.
Si bien las herramientas y tácticas de PAM gobiernan la actividad privilegiada en toda una organización, también pueden ayudar a abordar desafíos específicos de identidad y seguridad de acceso.
- Reducción de la superficie de ataque de identidad
- Gestión de la dispersión de identidades
- Cumplimiento normativo
- Gestión de secretos de DevOps
Los actores de amenazas usan cada vez más cuentas válidas para introducirse en las redes. Al mismo tiempo, muchas organizaciones están sufriendo un aumento de los privilegios. Los usuarios tienen privilegios más altos de los que necesitan, y las cuentas con privilegios obsoletas no se retiran correctamente.
Como resultado, las identidades se convirtieron en los mayores riesgos de muchas organizaciones. Las herramientas y tácticas de PAM pueden ayudar a corregir estas vulnerabilidades.
Las bóvedas de credenciales dificultan el robo de cuentas con privilegios, y las herramientas PEDM imponen un acceso granular con menos privilegios que frena el movimiento lateral. Las organizaciones pueden usar estas y otras soluciones de PAM para reemplazar los privilegios perpetuos con un modelo de confianza cero donde los usuarios deben estar autenticados y autorizados para cada conexión y actividad. Este modelo puede ayudar a reducir la superficie de ataque de identidad y limitar las oportunidades de los hackers.
La transformación digital ha alimentado una explosión de identidades privilegiadas en las redes corporativas, lo que plantea un desafío importante para la seguridad de la información.
El departamento empresarial promedio usa 87 aplicaciones SaaS diferentes3, además de los diversos dispositivos IoT, servicios de infraestructura en la nube y usuarios remotos con dispositivos BYOD que ahora ocupan las redes corporativas. Muchos de estos activos y usuarios necesitan cuentas privilegiadas para interactuar con los recursos de TI.
Y a medida que más organizaciones incorporan la IA generativa en sus operaciones, estas nuevas aplicaciones e integraciones de IA traen a escena otro conjunto de identidades privilegiadas.
Muchas de estas identidades privilegiadas pertenecen a usuarios no humanos, como aplicaciones de IA y dispositivos IoT. Hoy en día, los no humanos superan en número a los usuarios humanos en muchas redes, y son bastante malos para mantener sus credenciales en secreto. Por ejemplo, algunas aplicaciones vuelcan sus credenciales en texto sin formato en los registros del sistema y en los informes de errores.
PAM puede ayudar a las organizaciones a gestionar la dispersión de identidades al almacenar en bóvedas las credenciales privilegiadas para usuarios humanos y no humanos y controlar centralmente el acceso a ellas. La rotación automatizada de credenciales puede limitar el daño de cualquier filtración de credenciales, y las herramientas de monitoreo de sesiones ayudan a rastrear lo que hacen todos estos usuarios dispares con sus privilegios.
Las regulaciones deprivacidad y seguridad de datos como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y el Reglamento General de Protección de Datos (RGPD) exigen que las organizaciones controlen el acceso a la información de salud, números de tarjetas de crédito y otros datos confidenciales.
PAM puede ayudar a las organizaciones a satisfacer los requisitos de cumplimiento normativo de varias maneras. Las herramientas de PAM pueden imponer privilegios de acceso granular para que solo los usuarios necesarios puedan acceder a datos confidenciales, y solo por razones autorizadas.
Las bóvedas de credenciales y la elevación de privilegios eliminan la necesidad de cuentas de administrador compartidas, lo que puede dar lugar a que usuarios no autorizados accedan a datos confidenciales.
El monitoreo de las sesiones con privilegios ayuda a las organizaciones a atribuir la actividad y producir registros de auditoría para demostrar el cumplimiento normativo en caso de incumplimiento o investigación.
Administrar credenciales privilegiadas, a menudo llamadas “secretos” en entornos de DevOps, puede ser particularmente difícil para los equipos de DevOps.
La metodología DevOps emplea en gran medida los servicios en la nube y los procesos automatizados, lo que significa que hay muchos usuarios humanos y no humanos privilegiados dispersos en muchas partes diferentes de la red.
No es raro que las claves SSH, contraseñas, claves API y otros secretos se codifiquen en aplicaciones o se almacenen como texto sin formato en sistemas de control de versiones y en otros lugares. Esto facilita que los usuarios obtengan credenciales cuando las necesitan para que los flujos de trabajo no se interrumpan, pero también facilita que los actores maliciosos roben esas credenciales.
Las herramientas de PAM pueden ayudar almacenando los secretos de DevOps en una bóveda centralizada. Solo los usuarios y cargas de trabajo legítimos pueden acceder a los secretos, y solo por razones legítimas. Las bóvedas pueden rotar automáticamente los secretos para que las credenciales robadas se vuelvan rápidamente inservibles.
Proteja y gestione las identidades de clientes, fuerza laboral y privilegiadas en toda la nube híbrida, infundidas con IA.
Protege a sus usuarios y aplicaciones, dentro y fuera de la empresa, con un enfoque de software como servicio (SaaS) nativo de la nube y de baja fricción que usa la nube.
Aprenda más sobre una gestión de identidad y acceso integral, segura y que cumple con las normas para la empresa moderna.
Prepárese para las filtraciones comprendiendo sus causas y los factores que aumentan o reducen sus costos.
Comprenda las tácticas habituales de los atacantes para proteger mejor a su personal, sus datos y su infraestructura.
Obtenga información sobre la orquestación de identidades y la coordinación de sistemas dispares de gestión de identidades y accesos (IAM) en flujos de trabajo sin fricciones.
Notas de pie de página
Todos los enlaces se encuentran fuera de ibm.com
1 CIS Critical Security Controls, Center for Internet Security, junio de 2024.
2 Generative AI Trends in Identity, Authentication and Access (IAA), Omdia, 15 de marzo de 2024.
3 2023 State of SaaS Trends, Productiv, 21 de junio de 2023.