Acceso privilegiado: estrategia
Microsoft recomienda adoptar esta estrategia de acceso con privilegios para reducir rápidamente los riesgos para su organización frente a ataques de alto impacto y alta probabilidad de acceso con privilegios.
El acceso con privilegios debe ser la máxima prioridad de seguridad en todas las organizaciones. Cualquier peligro de estos usuarios tiene una alta probabilidad de impacto negativo significativo para la organización. Los usuarios con privilegios tienen acceso a los activos críticos de la empresa en una organización, lo que casi siempre provoca un gran impacto cuando los atacantes ponen en peligro sus cuentas.
Esta estrategia se basa en Confianza cero principios de validación explícita, privilegios mínimos e suposición de infracción. Microsoft ha proporcionado directrices de implementación para ayudarle a implementar rápidamente protecciones basadas en esta estrategia
Importante
No hay una única solución técnica "bala de plata" que mitigará mágicamente el riesgo de acceso privilegiado, debe combinar varias tecnologías en una solución holística que protege contra múltiples puntos de entrada de atacantes. Las organizaciones deben tener las herramientas adecuadas para cada parte del trabajo.
¿Por qué es importante el acceso privilegiado?
La seguridad del acceso con privilegios es muy importante porque es fundamental para todas las demás garantías de seguridad, un atacante que controla tus cuentas con privilegios puede minar todas las demás garantías de seguridad. Desde el punto de vista del riesgo, la pérdida de acceso privilegiado es un evento de alto impacto con una alta probabilidad de que ocurran acontecimientos que están creciendo a un ritmo alarmante en todas las industrias.
Estas técnicas de ataque se utilizaron inicialmente en ataques de robo de datos dirigidos que provocaron muchas infracciones de alto perfil en marcas conocidas (y muchos incidentes no informados). Más recientemente, estas técnicas han sido adoptadas por atacantes ransomware, alimentando un crecimiento explosivo de ataques de ransomware operados por personas altamente rentables que interrumpan intencionadamente las operaciones comerciales en toda la industria.
Importante
Ransomware con funcionamiento humano es diferente de los ataques de ransomware ordenador único de mercancías que se dirigen a una única estación de trabajo o dispositivo.
Este gráfico describe cómo este ataque basado en extorsión está creciendo en impacto y probabilidad con acceso privilegiado:
- Gran impacto empresarial
- Es difícil exagerar el impacto potencial en el negocio y el daño de una pérdida de acceso privilegiado. Los atacantes con acceso privilegiado tienen efectivamente un control total de todos los activos y recursos de la empresa, dándoles la capacidad de divulgar cualquier dato confidencial, detener todos los procesos empresariales o invertir los procesos empresariales y las máquinas para dañar la propiedad, dañar a las personas o peor aún.
El impacto masivo en el negocio se ha visto en todos los sectores con:
- Robo de datos dirigido: los atacantes usan acceso privilegiado para acceder y robar propiedad intelectual confidencial para su propio uso o para vender/transferir a sus competidores o gobiernos extranjeros
- Ransomware con funcionamiento humano (HumOR): los atacantes usan el acceso privilegiado para robar y/o cifrar todos los datos y sistemas de la empresa, con lo que a menudo detienen todas las operaciones empresariales. Luego extorsionan a la organización objetivo exigiendo dinero para no divulgar los datos y/o proporcionar las claves para desbloquearlos.
- Es difícil exagerar el impacto potencial en el negocio y el daño de una pérdida de acceso privilegiado. Los atacantes con acceso privilegiado tienen efectivamente un control total de todos los activos y recursos de la empresa, dándoles la capacidad de divulgar cualquier dato confidencial, detener todos los procesos empresariales o invertir los procesos empresariales y las máquinas para dañar la propiedad, dañar a las personas o peor aún.
El impacto masivo en el negocio se ha visto en todos los sectores con:
- Alta probabilidad de repetición
- La prevalencia de los ataques de acceso privilegiado ha aumentado desde la llegada de los ataques modernos de robo de credenciales empezando por el paso de las técnicas de hash. Estas técnicas saltaron en popularidad por primera vez con los criminales a partir de la versión 2008 de la herramienta de ataque "Pass-the-Hash Toolkit" y han crecido en un conjunto de técnicas de ataque confiables (principalmente basadas en el kit de herramientas Mimikatz). Esta armación y automatización de técnicas permitió que los ataques (y su impacto posterior) aumentaran a un ritmo rápido, limitado solo por la vulnerabilidad de la organización objetivo a los ataques y los modelos de monetización/incentivos del atacante.
- Antes de la llegada del ransomware operado por el ser humano (HumOR), estos ataques eran frecuentes, pero a menudo no se ve o malinterpreta debido a:
- Límites de monetización de atacantes : solo los grupos e individuos que sabían cómo monetizar la propiedad intelectual confidencial de organizaciones objetivo podrían beneficiarse de estos ataques.
- Impacto silencioso : las organizaciones a menudo se perdieron estos ataques porque no tenían herramientas de detección y también les costó ver y estimar el impacto empresarial resultante (por ejemplo, cómo sus competidores usaban su propiedad intelectual robada y cómo eso afectaba a los precios y los mercados, a veces años más tarde). Además, las organizaciones que vieron los ataques a menudo guardaban silencio sobre ellos para proteger su reputación.
- Tanto el impacto silencioso como las limitaciones de monetización de los atacantes en estos ataques se están desintegrando con el advenimiento del ransomware operado por personas, que está creciendo en volumen, impacto y conciencia, porque ambos son:
- Alto y molesto - a los procesos de negocio para el pago de las demandas de extorsión.
- Aplicable universalmente : todas las organizaciones de cada industria están motivadas financieramente para continuar sus operaciones sin interrupciones.
- Antes de la llegada del ransomware operado por el ser humano (HumOR), estos ataques eran frecuentes, pero a menudo no se ve o malinterpreta debido a:
- La prevalencia de los ataques de acceso privilegiado ha aumentado desde la llegada de los ataques modernos de robo de credenciales empezando por el paso de las técnicas de hash. Estas técnicas saltaron en popularidad por primera vez con los criminales a partir de la versión 2008 de la herramienta de ataque "Pass-the-Hash Toolkit" y han crecido en un conjunto de técnicas de ataque confiables (principalmente basadas en el kit de herramientas Mimikatz). Esta armación y automatización de técnicas permitió que los ataques (y su impacto posterior) aumentaran a un ritmo rápido, limitado solo por la vulnerabilidad de la organización objetivo a los ataques y los modelos de monetización/incentivos del atacante.
Por estos motivos, el acceso con privilegios debe ser la máxima prioridad de seguridad en todas las organizaciones.
Crear su estrategia de acceso privilegiado
La estrategia de acceso privilegiado es un viaje que debe estar compuesto por ganancias rápidas y progreso incremental. Cada paso en su estrategia de acceso privilegiado debe llevarte más cerca de "sellar" a los atacantes persistentes y flexibles del acceso privilegiado, que son como el agua tratando de ver a su medio ambiente a través de cualquier debilidad disponible.
Esta guía está diseñada para todas las organizaciones empresariales, independientemente de dónde se encuentre ya en el trayecto.
Estrategia práctica holística
La reducción del riesgo de acceso privilegiado requiere una combinación reflexiva, holística y prioritaria de mitigaciones de riesgo que abarquen varias tecnologías.
La creación de esta estrategia requiere el reconocimiento de que los atacantes son como el agua, ya que tienen numerosas opciones que pueden aprovechar (algunas de las cuales pueden parecer insignificantes al principio), los atacantes son flexibles en los que usan, y generalmente toman el camino de menor resistencia para lograr sus objetivos.
Las rutas que priorizan los atacantes en la práctica real son una combinación de:
- Técnicas establecidas (a menudo automatizadas en herramientas de ataque)
- Nuevas técnicas que son más fáciles de explotar
Debido a la diversidad de tecnologías implicadas, esta estrategia requiere una estrategia completa que combine varias tecnologías y siga Confianza cero principios.
Importante
Debes adoptar una estrategia que incluya varias tecnologías para defenderte de estos ataques. Simplemente la implementación de una solución de gestión de identidades /gestión de acceso privilegiado (PAM/PAM) no es suficiente. Para obtener más información, vea Intermediarios de acceso con privilegios.
- Los atacantes están orientados a los objetivos y con pronóstico tecnológico, usando cualquier tipo de ataque que funcione.
- La columna vertebral de control de acceso que está defendiendo está integrada en la mayoría o en todos los sistemas del entorno empresarial.
Si esperas que puedas detectar o evitar estas amenazas solo con controles de red o con una única solución de acceso con privilegios, serás vulnerable a muchos otros tipos de ataques.
Suposición estratégica: la nube es una fuente de seguridad
Esta estrategia usa los servicios en la nube como el origen principal de las capacidades de seguridad y administración en lugar de las técnicas de aislamiento local por varias razones:
- La nube tiene mejores capacidades : las capacidades de administración y seguridad más potentes disponibles actualmente proceden de servicios en la nube, como herramientas sofisticadas, integración nativa y grandes cantidades de inteligencia de seguridad, como las señales de seguridad de más de 8 billones al día que Microsoft usa para nuestras herramientas de seguridad.
- La nube es más fácil y rápida : la adopción de servicios en la nube requiere poca o ninguna infraestructura para implementar y ampliar, lo que permite a sus equipos centrarse en su misión de seguridad en lugar de la integración tecnológica.
- La nube requiere menos mantenimiento : las organizaciones proveedoras también administran, mantienen y protegen la nube de forma coherente con equipos dedicados a ese único propósito para miles de organizaciones de clientes, lo que reduce el tiempo y el esfuerzo de su equipo para mantener rigurosamente las capacidades.
- La nube sigue mejorando : las características y funcionalidades de los servicios en la nube se actualizan constantemente sin necesidad de que su organización invierta continuamente.
Crear la estrategia recomendada
La estrategia recomendada de Microsoft es crear incrementalmente un sistema de "bucle cerrado" para el acceso con privilegios que garantiza que solo se puedan usar dispositivos, cuentas y sistemas intermedios "limpios" de confianza para acceder con privilegios a sistemas confidenciales de la empresa.
Al igual que la impermeabilización de algo complejo en la vida real como un barco, necesita diseñar esta estrategia con un resultado intencionado, establecer y seguir estándares cuidadosamente, y supervisar y auditar continuamente los resultados para que se corrija cualquier fuga. Usted no sólo tablas de uñas juntos en una forma de barco y mágicamente esperar un barco impermeable. Te centrarías primero en construir e impermeabilizar elementos significativos como el casco y componentes críticos como el motor y el mecanismo de dirección (mientras dejas las formas para que las personas puedan entrar), y luego impermeabilizar elementos de comodidad como radios, asientos y similares. También lo mantendría con el tiempo, ya que incluso el sistema más perfecto podría generar una fuga más adelante, por lo que necesita mantenerse al día con el mantenimiento preventivo, supervisar si hay fugas y corregirlas para evitar que se hundiera.
Proteger el acceso con privilegios tiene dos objetivos sencillos
- Limitar estrictamente la capacidad de realizar acciones con privilegios a algunas vías autorizadas
- Proteger y supervisar estrechamente esas rutas
Hay dos tipos de formas de acceso a los sistemas: acceso de usuario (para usar la funcionalidad) y acceso con privilegios (para administrar la funcionalidad o acceder a una funcionalidad confidencial)
- Acceso de usuario: la ruta azul más clara de la parte inferior del diagrama muestra una cuenta de usuario estándar que realiza tareas de productividad generales, como el correo electrónico, la colaboración, la exploración web y el uso de aplicaciones o sitios web de línea de negocio. Esta ruta incluye un inicio de sesión de cuenta en un dispositivo o estaciones de trabajo, que a veces pasa a través de un intermediario, como una solución de acceso remoto, e interactúa con sistemas empresariales.
- Acceso con privilegios: la ruta azul más oscura de la parte superior del diagrama muestra el acceso con privilegios, donde cuentas con privilegios, como los administradores de TI u otras cuentas confidenciales, acceden a los datos y a los sistemas críticos empresariales o realizan tareas administrativas en sistemas empresariales. Aunque los componentes técnicos pueden ser de naturaleza similar, el daño que un adversario puede causar con acceso privilegiado es mucho mayor.
El sistema de administración de acceso completo también incluye sistemas de identidad y rutas de elevación autorizadas.
- Sistemas de identidad: proporciona directorios de identidad que hospedan las cuentas y grupos administrativos, capacidades de sincronización y federación, y otras funciones de compatibilidad de identidad para los usuarios estándar y con privilegios.
- Rutas de elevación autorizadas: proporciona medios para que los usuarios estándar interactúen con flujos de trabajo privilegiados, como administradores o compañeros que aprueban solicitudes de derechos administrativos para un sistema confidencial a través de un proceso justo a tiempo (JIT) en un sistema de administración de Privileged Access Management /Privileged Identity.
Estos componentes comprenden colectivamente la superficie de ataque de acceso privilegiado que un adversario puede destinar para intentar obtener acceso elevado a su empresa:
Nota
Para sistemas locales y de infraestructura como servicio (IaaS) hospedados en un sistema operativo administrado por el cliente, la superficie de ataque aumenta considerablemente con agentes de administración y seguridad, cuentas de servicio y posibles problemas de configuración.
La creación de una estrategia de acceso con privilegios sostenible y manejable requiere cerrar todos los vectores no autorizados para crear el equivalente virtual de una consola de control conectada físicamente a un sistema seguro que representa la única forma de acceder a ella.
Esta estrategia requiere una combinación de:
- Confianza cero control de acceso descrito en esta guía, incluido el plan de modernización rápida (RAMP)
- Protección de activos para protegerse contra ataques directos de activos mediante la aplicación de buenas prácticas de higiene de seguridad en estos sistemas. La protección de activos para los recursos (más allá de los componentes de control de acceso) está fuera del ámbito de esta guía, pero normalmente incluye una rápida aplicación de revisiones y actualizaciones de seguridad, la configuración de sistemas operativos mediante líneas base de seguridad del fabricante/sector, la protección de datos en reposo y en tránsito, y la integración de procedimientos recomendados de seguridad para los procesos de desarrollo/DevOps.
Iniciativas estratégicas en el viaje
La implementación de esta estrategia requiere cuatro iniciativas complementarias que tienen claros resultados y criterios de éxito
- Seguridad de sesión de un extremo a otro: establezca una validación explícita de Confianza cero para sesiones con privilegios, sesiones de usuario y rutas de elevación autorizadas.
- Criterios de éxito: cada sesión validará que cada cuenta de usuario y dispositivo sean de confianza a un nivel suficiente antes de permitir el acceso.
- Proteja & los sistemas de identidad de monitor, incluidos directorios, administración de identidades, cuentas de administrador, subvenciones de consentimiento y mucho más.
- Criterios de éxito: cada uno de estos sistemas se protegerá en un nivel adecuado para el impacto empresarial potencial de las cuentas alojadas en él.
- Mitigar la traversal lateral para protegerse de las cruces laterales con contraseñas de cuentas locales, contraseñas de cuentas de servicio u otros secretos
- Criterios de éxito: comprometer un solo dispositivo no conducirá inmediatamente al control de muchos o todos los demás dispositivos en el entorno
- Respuesta rápida a amenazas para limitar el acceso y el tiempo de los adversarios en el entorno
- Criterios de éxito: los procesos de respuesta a incidentes impiden que los adversarios realicen ataques de varias etapas en el entorno de manera confiable que darían como resultado la pérdida de acceso privilegiado. (medida al reducir el tiempo medio de corrección (MTTR) de incidentes que implican un acceso privilegiado a casi cero y reducir el MTTR de todos los incidentes a unos pocos minutos para que los adversarios no tengan tiempo para dirigirse al acceso privilegiado)