Privileged Access Management

Las mayores violaciones de datos de 2019 y cómo PAM pudo haberlas detenido

Durante la última década no ha habido año en el que las empresas, tanto grandes como pequeñas, no hayan sufrido diversos intentos de hackeo y violaciones de datos, y 2019 no iba a ser diferente. En este artículo analizaremos tres de las mayores violaciones de datos perpetradas durante este año, e incluiremos algunas observaciones sobre cómo la Gestión del Acceso Privilegiado (PAM) podría haber ayudado a mitigar, o incluso evitar, estas violaciones.

Violación de datos de First American Financial

En mayo de 2019 el proveedor de seguros de EE. UU. anunció que había descubierto una importante violación de sus registros que se remontaba a la friolera de 16 años. La raíz del problema era una aplicación web no muy bien diseñada, que tenía lo que la organización denominó «un defecto de diseño». Esta aplicación había estado permitiendo el acceso público a casi 900 millones de documentos financieros confidenciales, incluidos documentos de transferencias bancarias, imágenes de permisos de conducir, registros fiscales y, básicamente, cualquier tipo de documento que pudiera estar en manos de una organización como First American Financial. A partir de la revelación del incidente, el proveedor de seguros se ha visto envuelto en un buen número de demandas, incluida una demanda colectiva, y actualmente la SEC está investigando el incidente.

Cómo PAM podría haber ayudado

Los documentos expuestos eran de naturaleza confidencial, por lo que deberían haber sido tratados como tales. Lo lógico hubiera sido que cada documento hubiera tenido requisitos de acceso privilegiado, de manera que cualquiera que hubiera intentado acceder a ellos hubiera tenido no sólo que autenticar quién era, sino también demostrar que disponía de los privilegios adecuados.

Dado que la vulnerabilidad de First American Financial permitía que cualquiera con un enlace a un documento válido pudiera rebotar en cualquier otro documento simplemente cambiando el ID del documento en la URL, una solución PAM básica habría detenido estos movimientos laterales e impedido el descubrimiento de todos los demás documentos que estaban desprotegidos al exigir permisos de acceso.

Violación de datos de Capital One

Este incidente no solo fue una de las mayores violaciones de datos de 2019, sino una de las mayores de todos los tiempos. Lo que sucedió fue que un hacker consiguió entrar en la red del banco a través de un firewall mal configurado y, a partir de ahí, rebotó hasta que encontró el cofre del tesoro: un sinfín de nombres de usuario y contraseñas sin cifrar. A continuación, el hacker utilizó dichas contraseñas para acceder a una gran variedad de información confidencial que afectaba a unos 100 millones de consumidores tan solo en Estados Unidos.

Cómo PAM podría haber ayudado

Dejando a un lado el tema del firewall mal configurado, una sólida solución de Gestión del Acceso Privilegiado habría ayudado en tres frentes:

El monitoreo de sesiones en tiempo real podría haber captado y detectado la actividad inusual de la sesión cuando el hacker estaba rebotando dentro de la red en busca de elementos que pudieran explotar. Asimismo, esta tecnología habría terminado automáticamente las sesiones sospechosas al mismo tiempo que habría avisado al equipo de seguridad de Capital One.
Dado que por naturaleza una solución PAM sirve para supervisar qué usuarios tienen acceso a qué recursos, lo más probable es que incluso una vez que el hacker hubiera obtenido acceso, este no hubiera podido saltar de un recurso a otro, ya que con PAM los recursos de la red son invisibles para quienes no tienen privilegios de acceso.
A pesar de que las credenciales de usuario robadas puedan tener acceso privilegiado, PAM no solo requiere que los usuarios demuestren quiénes son a través de la integración de la Autenticación Multifactor (MFA), sino que también comprueba las circunstancias que rodean los intentos de acceso privilegiado. Es por ello que tanto la hora como la ubicación de la dirección IP o la variedad de recursos buscados se habrían detectado como no autorizados y, por consiguiente, se habría denegado el acceso pese a que las credenciales fuesen válidas.

Violación de datos de Georgia Tech

En su segunda violación conocida en menos de un año, el instituto de tecnología Georgia Tech anunció en abril de 2019 que una entidad ajena a ellos había estado accediendo a una de sus bases de datos centrales durante un periodo de tres meses. Como resultado, la información de más de 1,3 millones de estudiantes, antiguos alumnos, profesores y personal quedó expuesta. Cabe destacar que, irónicamente, esta universidad es famosa por su programa de informática.

Cómo PAM podría haber ayudado

Aunque Georgia Tech ha guardado silencio sobre los detalles exactos de esta violación, el hecho de que fuera perpetrada por entidades externas nos confirma que una solución como PAM podría haber ayudado a mitigar el ataque. Al igual que en el caso de la filtración de Capital One, incluso si los hackers hubieran obtenido credenciales legítimas, un sistema de gestión de accesos privilegiados también habría comprobado las circunstancias en las que se produjeron los intentos de acceso a la base de datos. Es más, una solución PAM fuerte oculta la existencia misma de los recursos sensibles a los que un usuario no tiene acceso privilegiado, por lo que, aunque los hackers hubieran entrado en el sistema, no habrían podido ni siquiera ver estos recursos, y mucho menos consultarlos o manipularlos.

Cómo la gestión de accesos privilegiados detiene las infracciones

Dado que los hackeos son esfuerzos de bajo riesgo que van acompañados de altas recompensas, es evidente que los ciberdelincuentes seguirán buscando y encontrando nuevas formas de acceder a los recursos sensibles y de alto valor de las organizaciones. Pero no todo está perdido, ya que una solución PAM robusta vigila constantemente una gran variedad de factores relacionados con los intentos de acceso privilegiado a los recursos sensibles. La unión de un control granular, racionalizado y centralizado sobre la concesión y revocación de los privilegios de acceso a los usuarios administradores de TI, la rotación de contraseñas y las potentes capacidades de supervisión de sesiones hace que PAM logre detener las posibles violaciones de datos. Cuando la supervisión de la sesión y la validación de la autenticación multifactorial y el acceso privilegiado se combinan, su fusión proporciona una defensa en profundidad que puede contribuir en gran medida a mitigar o prevenir las violaciones de datos, incluso cuando todavía se desconocen los vectores de ataque exactos.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Las mayores violaciones de datos de 2019 y cómo PAM pudo haberlas detenido

Violación de datos de First American Financial

Cómo PAM podría haber ayudado

Violación de datos de Capital One

Cómo PAM podría haber ayudado

Violación de datos de Georgia Tech

Cómo PAM podría haber ayudado

Cómo la gestión de accesos privilegiados detiene las infracciones

Después del salto: Movimientos laterales dentro de redes

Cloud Bastion: WALLIX ahora en AWS y Azure

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca