Los peligros de la escalada de privilegios

En la actualidad, las amenazas en materia de ciberseguridad ya no provienen únicamente del perímetro de su red, sino que la mayoría de los ataques se originan debido a una escalada de privilegios dentro del núcleo de sus sistemas, es decir, donde se encuentran sus datos más valiosos.

Lo primero que hará un hacker que quiera robar sus datos es ganar acceso interno a sus sistemas. Para estos ciberdelincuentes, lo ideal es obtener las credenciales de las cuentas privilegiadas de los infiltrados, ya que estos probablemente tengan acceso a más datos que un usuario normal.

Para los hackers es mucho más fácil, menos arriesgado y más beneficioso robar credenciales que sean válidas y usarlas para ganar acceso legítimo a una red que simplemente aprovecharse de una vulnerabilidad

Escalada de privilegios

Los infiltrados (empleados y contratistas incluidos) también pueden ganar acceso no autorizado a los datos y sistemas de una organización al elevar sus propios privilegios, por lo que es recomendable que los usuarios normales tengan acceso únicamente a los recursos que necesiten para realizar su trabajo. No obstante, si un usuario encuentra la forma de acceder a una cuenta con altos privilegios o utilizar dicho acceso para otorgarse privilegios a sí mismo, este puede lograr hacerse con una gran cantidad de datos y ocasionar graves daños a la organización.

Una vez que un intruso, ya sea interno o externo, haya ganado acceso privilegiado a sus sistemas, tenga claro que el incidente estará pronto en boca de todos. Y no piense que con aislar a su organización del mundo va a dejar de estar en peligro, ya que cualquiera que tenga acceso a sus sistemas puede ser el origen de un ataque de escalada de privilegios. No estamos diciendo que las medidas de seguridad perimetral no cumplan con su función, sino que una vez que un delincuente obtiene acceso privilegiado a sus sistemas, estas no son capaces de proteger sus datos.

Es esencial tener implementadas medidas de seguridad permiteral, pero una vez que un ciberdelincuente gana acceso privilegiado a sus sistemas, estas no pueden proteger sus datos

Ransomware y escalada de privilegios

Este verano se produjo un ataque de ransomware masivo que afectó principalmente a las instituciones de Europa del Este, pero que también perjudicó a más de 2 000 organizaciones a nivel mundial. La violación fue tan devastadora que detuvo la actividad de hospitales, colegios y oficinas gubernamentales, entorpeciendo la productividad y sembrando el miedo. El hacker que perpetró este ataque de múltiples capas aprovechó una serie de vulnerabilidades para escalar privilegios en los sistemas operativos y después propagar un malware capaz de robar contraseñas y nombres de usuarios.

A nivel mundial, se prevé que en 2017 los costes asociados al ransomware superen los 5 000 millones de dólares, es decir, 325 millones más que en 2015, de acuerdo con Cybersecurity Ventures

El acceso no autorizado y el uso indebido de cuentas y datos privilegiados (las «joyas de la corona corporativa») son técnicas que los ciberdelincuentes utilizan cada vez más. Algunos de los puntos de entrada que los ciberdelincuentes pueden (y quieren) explotar son las contraseñas administrativas, las cuentas por defecto del sistema, las debilidades del sistema operativo y las credenciales cifradas en scripts y aplicaciones.

¿Cómo se puede evitar la escalada de privilegios?

La clave para evitar la escalada de privilegios es proteger y limitar el acceso a las cuentas privilegiadas mediante una sólida Gestión del Acceso Privilegiado (PAM) con una Gestión de Elevación y Delegación de Privilegios (PEDM) integrada. PAM ayuda a proteger sus sistemas del mal uso accidental o deliberado de las cuentas privilegiadas a la vez que aumenta la seguridad de su organización.

La gestión de los accesos privilegiados debe ser un elemento fundamental en las estrategias  de seguridad, según IDC (International Data Corporation)

PAM le ofrece una forma segura y escalable de autorizar y monitorear todas las cuentas privilegiadas de todos sus sistemas, permitiéndole:

  • Otorgar privilegios a los usuarios para que accedan únicamente a sistemas en AWS en los cuales están autorizados.
  • Otorgar acceso tan solo cuando sea necesario y revocarlo tan pronto como desaparezca dicha necesidad.
  • Eliminar las contraseñas del sistema locales/directas para los usuarios privilegiados.
  • Gestionar de forma central el acceso a diferentes sistemas.
  • Crear una pista de auditoría inalterable para cualquier operación privilegiada.

Componentes cruciales de PAM

Las soluciones de Gestión de Cuentas Privilegiadas varían, pero la mayoría ofrece los siguientes componentes:

  • Access Managers: gobiernan el acceso a las cuentas privilegiadas. Este componente proporciona un único punto de definición  y aplicación de políticas para la Gestión de Cuentas Privilegiadas. Los usuarios privilegiados solicitan acceso a los sistemas a través del Access Manager, que puede autorizarlo o denegarlo. Un superadministrador puede añadir, modificar o eliminar cuentas de usuarios privilegiados en el Access Manager en un sistema centralizado, mejorando en gran medida la eficiencia y los niveles de conformidad.
  • Vaults de contraseñas: los sistemas PAM guardan las contraseñas cifradas en un vault seguro. Todo acceso al sistema se realiza a través del vault de contraseñas para que los usuarios finales nunca tengan acceso directo a las contraseñas de root.
  • Session Managers: rastrean todas las acciones llevadas a cabo durante la sesión de la cuenta privilegiada para su futura revisión y auditoría. Además, algunos sistemas de PAM robustos como el de WALLIX evitan acciones malignas o no autorizadas y, en caso de detectar una actividad sospechosa, avisan a los superadministradores.

Prevención de la propagación del ransomware

En el ataque de ransomware que hemos mencionado, los ciberdelincuentes fueron capaces de robar las credenciales utilizando un malware tipo troyano. Incluso con acceso legítimo a los sistemas, PAM podría haber evitado este ataque mediante:

  • La prevención del acceso a los sistemas de rootlos vaults de contraseñas evitan que los usuarios tengan acceso a los sistemas root y contraseñas. Si hubiera habido una solución PAM implementada, los ciberdelincuentes no hubieran podido escalar sus privilegios incluso aunque hubieran contado con credenciales de cuentas privilegiadas.
  • La verificación de la identidad: la verificación de la identidad garantiza que todos sean quienes dicen ser cuando acceden a los sistemas críticos. Con una solución PAM implementada, los ciberdelincuentes no hubieran podido comprobar la identidad de las credenciales de usuario y se les hubiera denegado el acceso a los datos y sistemas.
  • El monitoreo de actividades: gracias a PAM, los administradores de TI disponen de las herramientas necesarias para monitorear y rastrear toda la actividad de las cuentas privilegiadas en tiempo real. Si las organizaciones hubieran utilizado estas herramientas de monitoreo de PAM, podrían haber detenido las violaciones mientras se producían y así evitar el daño posterior que este incidente ocasionó.
  • El contexto de la violación: PAM proporciona pistas de auditoría inalterables que pueden ayudar a los equipos de seguridad a entender cómo el individuo fue capaz de ganar acceso a los sistemas. Además, esta información se puede utilizar posteriormente para comprender los métodos usados y ayudar a evaluar las prácticas de seguridad y así conocer donde se tienen que realizar mejoras.

La Gestión del Acceso Privilegiado con WALLIX

Nuestra solución centraliza las contraseñas, accesos y Session Managers en una interfaz fácil de utilizar y que se integra sin problemas en su infraestructura actual. Asimismo, esta solución proporciona a su equipo de seguridad las herramientas necesarias para monitorear las actividades en tiempo real, auditar las pistas, cumplir fácilmente con la normativa y revisar sesiones previas.

Lo cierto es que los ciberdelincuentes se desloman para conseguir ganar acceso a los datos más valiosos de su organización, por lo que la mejor forma de hacer frente a los ataques de escalada de privilegios es detenerlos antes de que se produzcan. Para ganar esa guerra, su mejor arma es un sistema PAM.

Si desea obtener más información sobre las soluciones PAM y PEDM de WALLIX Bastion, póngase en contacto con nosotros.