Privileged Access Management

Los peligros de la Escalada de Privilegios

En la actualidad, las amenazas en materia de ciberseguridad ya no provienen únicamente del perímetro de su red, sino que la mayoría de los ataques se originan debido a una escalada de privilegios dentro del núcleo de sus sistemas, es decir, donde se encuentran sus datos más valiosos.

Lo primero que hará un hacker que quiera robar sus datos es ganar acceso interno a sus sistemas. Para estos ciberdelincuentes, lo ideal es obtener las credenciales de las cuentas privilegiadas de los infiltrados, ya que estos probablemente tengan acceso a más datos que un usuario normal.

Para los hackers es mucho más fácil, menos arriesgado y más beneficioso robar credenciales que sean válidas y usarlas para ganar acceso legítimo a una red que simplemente aprovecharse de una vulnerabilidad.

Escalada de privilegios

Los infiltrados (empleados y contratistas incluidos) también pueden ganar acceso no autorizado a los datos y sistemas de una organización al elevar sus propios privilegios, por lo que es recomendable que los usuarios normales tengan acceso únicamente a los recursos que necesiten para realizar su trabajo. No obstante, si un usuario encuentra la forma de acceder a una cuenta con altos privilegios o utilizar dicho acceso para otorgarse privilegios a sí mismo, este puede lograr hacerse con una gran cantidad de datos y ocasionar graves daños a la organización.

Una vez que un intruso, ya sea interno o externo, haya ganado acceso privilegiado a sus sistemas, tenga claro que el incidente estará pronto en boca de todos. Y no piense que con aislar a su organización del mundo va a dejar de estar en peligro, ya que cualquiera que tenga acceso a sus sistemas puede ser el origen de un ataque de escalada de privilegios. No estamos diciendo que las medidas de seguridad perimetral no cumplan con su función, sino que una vez que un delincuente obtiene acceso privilegiado a sus sistemas, estas no son capaces de proteger sus datos.

Es esencial tener implementadas medidas de seguridad permiteral, pero una vez que un ciberdelincuente gana acceso privilegiado a sus sistemas, estas no pueden proteger sus datos.

Ransomware y escalada de privilegios

Este verano se produjo un ataque de ransomware masivo que afectó principalmente a las instituciones de Europa del Este, pero que también perjudicó a más de 2 000 organizaciones a nivel mundial. La violación fue tan devastadora que detuvo la actividad de hospitales, colegios y oficinas gubernamentales, entorpeciendo la productividad y sembrando el miedo. El hacker que perpetró este ataque de múltiples capas aprovechó una serie de vulnerabilidades para escalar privilegios en los sistemas operativos y después propagar un malware capaz de robar contraseñas y nombres de usuarios.

A nivel mundial, se prevé que en 2017 los costes asociados al ransomware superen los 5 000 millones de dólares, es decir, 325 millones más que en 2015, de acuerdo con Cybersecurity Ventures.

El acceso no autorizado y el uso indebido de cuentas y datos privilegiados (las «joyas de la corona corporativa») son técnicas que los ciberdelincuentes utilizan cada vez más. Algunos de los puntos de entrada que los ciberdelincuentes pueden (y quieren) explotar son las contraseñas administrativas, las cuentas por defecto del sistema, las debilidades del sistema operativo y las credenciales cifradas en scripts y aplicaciones.

¿Cómo se puede evitar la escalada de privilegios?

La clave para evitar la escalada de privilegios es proteger y limitar el acceso a las cuentas privilegiadas mediante una sólida Gestión del Acceso Privilegiado (PAM) con una Gestión de Elevación y Delegación de Privilegios (PEDM) integrada. PAM ayuda a proteger sus sistemas del mal uso accidental o deliberado de las cuentas privilegiadas a la vez que aumenta la seguridad de su organización.

La gestión de los accesos privilegiados debe ser un elemento fundamental en las estrategias de seguridad, según IDC (International Data Corporation).

PAM le ofrece una forma segura y escalable de autorizar y monitorear todas las cuentas privilegiadas de todos sus sistemas, permitiéndole:

Otorgar privilegios a los usuarios para que accedan únicamente a sistemas en AWS en los cuales están autorizados.
Otorgar acceso tan solo cuando sea necesario y revocarlo tan pronto como desaparezca dicha necesidad.
Eliminar las contraseñas del sistema locales/directas para los usuarios privilegiados.
Gestionar de forma central el acceso a diferentes sistemas.
Crear una pista de auditoría inalterable para cualquier operación privilegiada.

Componentes cruciales de PAM

Las soluciones de Gestión de Cuentas Privilegiadas varían, pero la mayoría ofrece los siguientes componentes:

Access Managers: gobiernan el acceso a las cuentas privilegiadas. Este componente proporciona un único punto de definición y aplicación de políticas para la Gestión de Cuentas Privilegiadas. Los usuarios privilegiados solicitan acceso a los sistemas a través del Access Manager, que puede autorizarlo o denegarlo. Un superadministrador puede añadir, modificar o eliminar cuentas de usuarios privilegiados en el Access Manager en un sistema centralizado, mejorando en gran medida la eficiencia y los niveles de conformidad.
Vaults de contraseñas: los sistemas PAM guardan las contraseñas cifradas en un vault seguro. Todo acceso al sistema se realiza a través del vault de contraseñas para que los usuarios finales nunca tengan acceso directo a las contraseñas de root.
Session Managers: rastrean todas las acciones llevadas a cabo durante la sesión de la cuenta privilegiada para su futura revisión y auditoría. Además, algunos sistemas de PAM robustos como el de WALLIX evitan acciones malignas o no autorizadas y, en caso de detectar una actividad sospechosa, avisan a los superadministradores.

Prevención de la propagación del ransomware

En el ataque de ransomware que hemos mencionado, los ciberdelincuentes fueron capaces de robar las credenciales utilizando un malware tipo troyano. Incluso con acceso legítimo a los sistemas, PAM podría haber evitado este ataque mediante:

La prevención del acceso a los sistemas de root: los vaults de contraseñas evitan que los usuarios tengan acceso a los sistemas root y contraseñas. Si hubiera habido una solución PAM implementada, los ciberdelincuentes no hubieran podido escalar sus privilegios incluso aunque hubieran contado con credenciales de cuentas privilegiadas.
La verificación de la identidad: la verificación de la identidad garantiza que todos sean quienes dicen ser cuando acceden a los sistemas críticos. Con una solución PAM implementada, los ciberdelincuentes no hubieran podido comprobar la identidad de las credenciales de usuario y se les hubiera denegado el acceso a los datos y sistemas.
El monitoreo de actividades: gracias a PAM, los administradores de TI disponen de las herramientas necesarias para monitorear y rastrear toda la actividad de las cuentas privilegiadas en tiempo real. Si las organizaciones hubieran utilizado estas herramientas de monitoreo de PAM, podrían haber detenido las violaciones mientras se producían y así evitar el daño posterior que este incidente ocasionó.
El contexto de la violación: PAM proporciona pistas de auditoría inalterables que pueden ayudar a los equipos de seguridad a entender cómo el individuo fue capaz de ganar acceso a los sistemas. Además, esta información se puede utilizar posteriormente para comprender los métodos usados y ayudar a evaluar las prácticas de seguridad y así conocer donde se tienen que realizar mejoras.

La Gestión del Acceso Privilegiado con WALLIX

Nuestra solución centraliza las contraseñas, accesos y Session Managers en una interfaz fácil de utilizar y que se integra sin problemas en su infraestructura actual. Asimismo, esta solución proporciona a su equipo de seguridad las herramientas necesarias para monitorear las actividades en tiempo real, auditar las pistas, cumplir fácilmente con la normativa y revisar sesiones previas.

Lo cierto es que los ciberdelincuentes se desloman para conseguir ganar acceso a los datos más valiosos de su organización, por lo que la mejor forma de hacer frente a los ataques de escalada de privilegios es detenerlos antes de que se produzcan. Para ganar esa guerra, su mejor arma es un sistema PAM.

Si desea obtener más información sobre las soluciones PAM y PEDM de WALLIX Bastion, póngase en contacto con nosotros.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Los peligros de la Escalada de Privilegios

Escalada de privilegios

Ransomware y escalada de privilegios

¿Cómo se puede evitar la escalada de privilegios?

Componentes cruciales de PAM

Prevención de la propagación del ransomware

La Gestión del Acceso Privilegiado con WALLIX

12 preguntas de seguridad que debería hacerse

¿Qué es una «amenaza interna»?

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca