Privileged Access Management

5 razones por las que el Privileged Account Discovery es el primer paso hacia una ciberseguridad robusta

Los aficionados al senderismo tienen un dicho, «el mapa no es el terreno», que quiere decir que si, por ejemplo, a mitad de una ruta se encuentra con que un puente que estaba señalado en su mapa geográfico del siglo pasado ya no existe, no se sorprenda de que el plano no refleje la situación actual de la zona ya que, el mapa, como bien hemos dicho, no es el terreno. Y lo mismo sucede con la TI.

Es inevitable que la topología de las redes, arquitecturas de aplicaciones y configuraciones del acceso de usuarios cambien con el tiempo, como lo es que aquellos que se encargan de proteger estos activos de usos no autorizados no se percaten de muchos de estos cambios. Hay que entender que el mapa de la TI no es el terreno de la TI y que para conseguir una seguridad robusta hay que proteger a este último, especialmente en el contexto del acceso privilegiado.

Las necesidades de seguridad evolucionarán y cambiarán con el tiempo.

Los riesgos del acceso privilegiado

Los usuarios privilegiados, o administradores, son aquellos que tienen acceso a los back-ends administrativos de los sistemas críticos. Parte de la función de este tipo de usuario es configurar, modificar o eliminar los ajustes del sistema, datos, cuentas de usuarios, y mucho más. En ocasiones pueden llegar a invalidar otros controles de seguridad y hasta borrar todo rastro de su presencia. Cualquiera, o de hecho cualquier cosa, puede ser un usuario privilegiado. Aunque la mayoría de los usuarios privilegiados sean empleados, muchos de ellos son contratistas, proveedores externos o incluso servicios automatizados de terceros.

Se trata de un puesto de confianza, puesto que un usuario privilegiado, ya sea debido a un error o de forma deliberada, puede exponer enormemente a la seguridad de una empresa. Lo cierto es que los atacantes suelen hacerse pasar por estos usuarios con privilegios para ganar acceso a datos confidenciales u otras configuraciones del sistema protegido. Entre los que realizan un uso no autorizado de las cuentas privilegiadas están los hackers, infiltrados malignos, personal externo y antiguos empleados que se han quedado con los derechos de acceso privilegiado. Si las cuentas privilegiadas no se gestionan o supervisan adecuadamente, estas pueden ser objeto de abusos.

Las cuentas privilegiadas que no se monitorean constituyen uno de los mayores riesgos para su seguridad.

Gestión del Acceso Privilegiado (PAM)

La Gestión del Acceso Privilegiado (PAM), a veces llamada «Gestión de Cuentas Privilegiadas», se encarga de reducir el riesgo asociado a los accesos privilegiados. Con frecuencia PAM se consigue a través de la combinación de procesos y herramientas y su objetivo es controlar el acceso privilegiado además de monitorear las sesiones de las cuentas privilegiadas. PAM es una medida defensiva fundamental frente a los abusos potenciales de cuentas privilegiadas.

Las soluciones PAM, como WALLIX Bastion, ofrecen a los responsables de seguridad una forma de gestionar el acceso a cualquier back-end administrativo. Al tener implementada la solución de WALLIX, se obliga a los usuarios privilegiados a pasar por el Access Manager antes de llevar a cabo cualquier sesión administrativa.

El Access Manager posee normas sobre quién puede acceder a qué y cuándo. Esta tecnología permite a los responsables de seguridad otorgar, revocar y modificar privilegios. Pongamos el caso de un administrador de correo electrónico que cambia de puesto de trabajo. El Access Manager, visto que el empleado ya no va a necesitar acceso privilegiado al servidor de correo, puede terminar con este privilegio rápidamente.

Cómo funciona un módulo de Privileged Account Discovery

Los responsables de seguridad logran maximizar las funciones de PAM cuando son conscientes de la profundidad y alcance de los sistemas que tienen que proteger. Y gracias a un módulo de Privileged Account Discovery, como WALLIX Discovery, es fácil lograr dicho objetivo. Este módulo gratuito ayuda a los administradores a encontrar todas las cuentas privilegiadas y de servicio a las que se le ha autorizado acceso a una red.

Un módulo Discovery ayuda a los equipos de seguridad a lidiar con los potenciales y futuros riesgos de seguridad de manera proactiva.

Un módulo Discovery ayuda a los equipos de seguridad a identificar posibles fallos asociados al acceso privilegiado. Esta tecnología mapea automáticamente todos los sistemas de redes y componentes para encontrar puntos de acceso privilegiado y genera informes sobre el estado de las cuentas privilegiadas. WALLIX Discovery, por su parte, permite importar los informes al WALLIX Bastion, lo que facilita la gestión adecuada de todas las cuentas privilegiadas.

5 razones para implementar el Privileged Account Discovery

¿Por qué se recomienda el uso de un módulo de Privileged Account Discovery? Si se hace correctamente, el proceso de descubrimiento o «discovery» puede ser un buen primer paso hacia la consecución de una ciberseguridad robusta. 5 razones que prueban la utilidad del Privileged Account Discovery:

1. Refuerza la base de muchos controles de seguridad

Cuando el acceso privilegiado se gestiona adecuadamente, controlar otros factores de la ciberseguridad se vuelve más sencillo. Por ejemplo, en caso de que se necesite un «endurecimiento» predeterminado para algunos tipos de servidores, una solución PAM puede comunicar a los administradores qué usuarios están autorizados a realizar dicho endurecimiento. Esta solución también les informa cuando alguien lleva a cabo una sesión privilegiada para realizar el endurecimiento. Si no dispone de una solución PAM es más probable que algún agente maligno gane acceso no autorizado y debilite los ajustes endurecidos, ya que el proceso de descubrimiento desvela en dónde pueden surgir dichas vulnerabilidades.

2. Protege el terreno de PAM, no el mapa

Conozca todo su entorno al ejecutar un descubrimiento automático de las cuentas privilegiadas. Los resultados pueden llegar a sorprenderle.

3. Subsana las deficiencias de su seguridad antes de que causen problemas

El mejor momento para hacer frente a una amenaza de seguridad es antes de que esta cause algún problema. El Privileged Account Discovery puede identificar aquellas cuentas privilegiadas que no estén controladas apropiadamente. Este módulo permite añadir controles adicionales sobre el acceso privilegiado antes de que el riesgo de exposición provoque un incidente de seguridad.

4. Identifica usuarios privilegiados escondidos

El módulo Discovery puede descubrir a usuarios que antiguamente gozaban de privilegios administrativos. El ritmo de cambio en la TI combinado con la rotación de personal y de proveedores propicia la retención de privilegios de acceso por parte de antiguos empleados, contratistas y servicios de terceros. Discovery proporciona una forma automatizada para estar al tanto de este tipo de exposición.

5. Mantiene a PAM actualizado

La topología de PAM no es fija. Lo más seguro es que esta cambie con el tiempo, por lo que para mostrar los cambios en las cuentas privilegiadas resulta interesante adoptar la mejor práctica de la detección automática periódica. De esta forma se puede integrar el módulo Discovery en las revisiones y planificación de la seguridad.

¿Desea obtener más información sobre WALLIX Discovery? Póngase en contacto con nosotros o pruebe WALLIX Bastion de forma gratuita durante 30 días.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

5 razones por las que el Privileged Account Discovery es el primer paso hacia una ciberseguridad robusta

Los riesgos del acceso privilegiado

Gestión del Acceso Privilegiado (PAM)

Cómo funciona un módulo de Privileged Account Discovery

5 razones para implementar el Privileged Account Discovery

1. Refuerza la base de muchos controles de seguridad

2. Protege el terreno de PAM, no el mapa

3. Subsana las deficiencias de su seguridad antes de que causen problemas

4. Identifica usuarios privilegiados escondidos

5. Mantiene a PAM actualizado

Las funciones de la Gestión del Acceso Privilegiado

La Gestión del Acceso Privilegiado para los desafíos de ciberseguridad de los MSSP

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca