Acceso con privilegios: Estrategia

  • Artículo
  • Tiempo de lectura: 11 minutos

Microsoft recomienda adoptar esta estrategia de acceso privilegiado para reducir rápidamente los riesgos para su organización de ataques de alto impacto y alta probabilidad de acceso con privilegios.

El acceso con privilegios debe ser la prioridad de seguridad superior en todas las organizaciones. Cualquier compromiso de estos usuarios tiene una alta probabilidad de un impacto negativo significativo para la organización. Los usuarios privilegiados tienen acceso a activos críticos empresariales en una organización, lo que casi siempre causa un impacto importante cuando los atacantes comprometen sus cuentas.

Esta estrategia se basa en los principios de confianza cero de validación explícita, privilegios mínimos y suposición de infracción. Microsoft ha proporcionado instrucciones de implementación para ayudarle a implementar rápidamente las protecciones basadas en esta estrategia

Importante

No hay una única solución técnica "bala plateada" que mitigue mágicamente el riesgo de acceso privilegiado, debe combinar varias tecnologías en una solución holística que proteja contra varios puntos de entrada de atacantes. Las organizaciones deben proporcionar las herramientas adecuadas para cada parte del trabajo.

¿Por qué es importante el acceso con privilegios?

La seguridad del acceso con privilegios es fundamental porque es fundamental para todas las demás garantías de seguridad, un atacante que controla sus cuentas con privilegios puede minar todas las demás garantías de seguridad. Desde una perspectiva de riesgo, la pérdida de acceso privilegiado es un evento de alto impacto con una alta probabilidad de que suceda que crece a un ritmo alarmante en todos los sectores.

Estas técnicas de ataque se usaron inicialmente en ataques de robo de datos dirigidos que resultaron en muchas infracciones de perfil alto en marcas conocidas (y muchos incidentes no registrados). Más recientemente, estas técnicas han sido adoptadas por los atacantes ransomware, lo que alimenta un crecimiento explosivo de ataques ransomware operados por humanos altamente rentables que interrumpen intencionadamente las operaciones empresariales en todo el sector.

Importante

El ransomware operado por humanos es diferente de los ataques de un único equipo que se dirigían a una única estación de trabajo o dispositivo.

En este gráfico se describe cómo este ataque basado en extorsión está creciendo en impacto y probabilidad con acceso privilegiado:

MARCADOR DE POSICIÓN

  • Alto impacto empresarial
    • Es difícil sobresalir el posible impacto empresarial y el daño de una pérdida de acceso privilegiado. Los atacantes con acceso privilegiado tienen un control total de todos los activos y recursos empresariales, lo que les permite revelar datos confidenciales, detener todos los procesos empresariales o subvertir procesos y máquinas empresariales para dañar propiedades, dañar a personas o, peor aún. El impacto empresarial masivo se ha visto en todos los sectores con:
      • Robo de datos dirigido: los atacantes usan acceso privilegiado para acceder y robar propiedad intelectual confidencial para su propio uso o para vender o transferir a sus competidores o gobiernos extranjeros
      • Ransomware operado por humanos (HumOR): los atacantes usan acceso privilegiado para robar y/o cifrar todos los datos y sistemas de la empresa, lo que suele detener todas las operaciones empresariales. Después, extorsionan a la organización de destino exigiendo dinero para no revelar los datos o proporcionando las claves para desbloquearlo.
  • Alta probabilidad de repetición
    • La frecuencia de los ataques de acceso privilegiado ha aumentado desde la llegada de los ataques de robo de credenciales modernas a partir de pasar las técnicas de hash. Estas técnicas saltaron por primera vez en popularidad con los criminales a partir de la versión de 2008 de la herramienta de ataque "Pass-the-Hash Toolkit" y se han convertido en un conjunto de técnicas de ataque confiables (principalmente basadas en el kit de herramientas de Mimikatz). Esta automatización de las técnicas permitió que los ataques (y su posterior impacto) aumentaran rápidamente, limitados solo por la vulnerabilidad de la organización objetivo a los ataques y los modelos de monetización e incentivos del atacante.
      • Antes del advenimiento del ransomware operado por humanos (HumOR), estos ataques eran frecuentes, pero a menudo no se ven o se malinterpretaban debido a:
        • Límites de monetización de los atacantes: solo los grupos e individuos que sabían cómo monetizar la propiedad intelectual confidencial de las organizaciones objetivo podían beneficiarse de estos ataques.
        • Impacto silencioso: las organizaciones a menudo no se perdieron estos ataques porque no tenían herramientas de detección y también les resultó difícil ver y estimar el impacto empresarial resultante (por ejemplo, cómo sus competidores usaban su propiedad intelectual robada y cómo esto afectaba a precios y mercados, a veces años más tarde). Además, las organizaciones que vieron los ataques a menudo guardaban silencio sobre ellos para proteger su reputación.
      • Tanto el impacto silencioso como las limitaciones de monetización de los atacantes en estos ataques se están desintegrando con la llegada del ransomware operado por humanos, que está creciendo en volumen, impacto y conciencia, ya que ambos son:
        • Alta y disruptiva: a los procesos empresariales para el pago de las demandas de extorsión.
        • Aplicable universalmente: todas las organizaciones de cada sector están motivadas financieramente para continuar las operaciones sin interrupciones.

Por estos motivos, el acceso con privilegios debe ser la prioridad de seguridad superior en todas las organizaciones.

Crear una estrategia de acceso con privilegios

La estrategia de acceso privilegiado es un camino que debe estar compuesto de ganancias rápidas y progreso incremental. Cada paso de su estrategia de acceso privilegiado debe acercarse a "sellar" a los atacantes persistentes y flexibles del acceso privilegiado, que son como el agua que intenta ver en su entorno a través de cualquier debilidad disponible.

Esta guía está diseñada para todas las organizaciones empresariales, independientemente de dónde ya se encuentra en el camino.

Estrategia práctica holística

Reducir el riesgo desde un acceso privilegiado requiere una combinación cuidadosa, holística y prioritaria de mitigaciones de riesgos que abarca varias tecnologías.

La creación de esta estrategia requiere el reconocimiento de que los atacantes son como el agua, ya que tienen muchas opciones que pueden explotar (algunas de las cuales pueden parecer insignificantes al principio), los atacantes son flexibles en los que usan y generalmente toman el camino de menor resistencia para lograr sus objetivos.

Los atacantes son como el agua y pueden aparecer insignificantes al principio, pero, a lo largo del tiempo, se inundan

Las rutas de acceso que los atacantes priorizan en la práctica real son una combinación de:

  • Técnicas establecidas (a menudo automatizadas en herramientas de ataque)
  • Nuevas técnicas que son más fáciles de explotar

Debido a la diversidad de tecnología involucrada, esta estrategia requiere una estrategia completa que combine varias tecnologías y siga los principios de confianza cero.

Importante

Debe adoptar una estrategia que incluya varias tecnologías para defenderse de estos ataques. Simplemente no basta con implementar una solución de administración de identidades y accesos privilegiados (PIM/PAM). Para obtener más información, vea Intermediarios de acceso privilegiado.

  • Los atacantes están orientados a objetivos y son independientes de la tecnología, usando cualquier tipo de ataque que funcione.
  • La columna vertebral del control de acceso que está defendiendo se integra en la mayoría o en todos los sistemas del entorno empresarial.

Esperar que pueda detectar o evitar estas amenazas con solo controles de red o una única solución de acceso con privilegios le dejará vulnerable a muchos otros tipos de ataques.

Suposición estratégica: la nube es una fuente de seguridad

Esta estrategia usa los servicios en la nube como fuente principal de capacidades de administración y seguridad, en lugar de técnicas de aislamiento locales por varios motivos:

  • La nube tiene mejores capacidades: las capacidades de administración y seguridad más potentes disponibles hoy en día proceden de servicios en la nube, como herramientas sofisticadas, integración nativa y grandes cantidades de inteligencia de seguridad, como las señales de seguridad de más de 8 trillones al día que Microsoft usa para nuestras herramientas de seguridad.
  • La nube es más fácil y rápida: la adopción de servicios en la nube requiere poca o ninguna infraestructura para implementar y escalar, lo que permite a los equipos centrarse en su misión de seguridad en lugar de en la integración tecnológica.
  • La nube requiere menos mantenimiento: las organizaciones de proveedores también administran, mantienen y protegen la nube de forma coherente con equipos dedicados a ese único propósito para miles de organizaciones de clientes, lo que reduce el tiempo y el esfuerzo de su equipo para mantener rigurosamente las capacidades.
  • La nube sigue mejorando: las características y la funcionalidad de los servicios en la nube se actualizan constantemente sin necesidad de que su organización invierta en curso.

La estrategia recomendada de Microsoft es crear de forma incremental un sistema de "bucle cerrado" para un acceso privilegiado que garantice que solo se puedan usar dispositivos, cuentas y sistemas intermedios "limpios" de confianza para obtener acceso privilegiado a sistemas confidenciales para empresas.

Al igual que la impermeabilización de algo complejo en la vida real como un barco, necesita diseñar esta estrategia con un resultado intencionado, establecer y seguir los estándares cuidadosamente, y supervisar y auditar continuamente los resultados para que corrija cualquier pérdida. No solo se juntan las tablas de uñas en forma de barco y, por arte de magia, se espera un barco resistente al agua. Se centraría en primer lugar en la construcción y la impermeabilización de elementos significativos como el casco y componentes críticos como el motor y el mecanismo de dirección (mientras deja formas para que los usuarios entren) y, después, impermeabilizar elementos de comodidad como radios, puestos y similares. También lo mantendría a lo largo del tiempo, ya que incluso el sistema más perfecto podría obtener una pérdida más adelante, por lo que necesita mantenerse al día con el mantenimiento preventivo, supervisar si hay fugas y corregirlas para evitar que se hunda.

Proteger acceso con privilegios tiene dos objetivos sencillos

  1. Limitar estrictamente la capacidad de realizar acciones con privilegios a algunas vías autorizadas
  2. Proteger y supervisar estrechamente esas vías

Hay dos tipos de vías para acceder a los sistemas, el acceso de usuario (para usar la capacidad) y el acceso con privilegios (para administrar la capacidad o acceder a una capacidad confidencial)

Dos formas de acceso con privilegios y usuarios de sistemas

  • Acceso de usuario: la ruta azul más clara de la parte inferior del diagrama muestra una cuenta de usuario estándar que realiza tareas de productividad general como correo electrónico, colaboración, exploración web y uso de aplicaciones o sitios web de línea de negocio. Esta ruta incluye una cuenta que inicia sesión en un dispositivo o estaciones de trabajo, a veces pasando por un intermediario como una solución de acceso remoto e interactuando con sistemas empresariales.
  • Acceso privilegiado: la ruta azul más oscura de la parte superior del diagrama muestra el acceso privilegiado, donde las cuentas con privilegios, como administradores de TI u otras cuentas confidenciales, acceden a datos y sistemas críticos empresariales o realizan tareas administrativas en sistemas empresariales. Aunque los componentes técnicos pueden ser de naturaleza similar, el daño que un adversario puede causar con acceso privilegiado es mucho mayor.

El sistema de administración de acceso completo también incluye sistemas de identidad y rutas de elevación autorizadas.

Dos rutas más sistemas de identidad y trayectorias de elevación

  • Sistemas de identidad: proporciona directorios de identidades que hospedan las cuentas y grupos administrativos, capacidades de sincronización y federación, y otras funciones de soporte de identidad para usuarios con privilegios y estándar.
  • Rutas de elevación autorizadas: proporcionan medios para que los usuarios estándar interactúen con flujos de trabajo privilegiados, como administradores o compañeros que aprueban solicitudes de derechos administrativos a un sistema confidencial a través de un proceso just in time (JIT) en un sistema de administración de acceso privilegiado o de administración de identidades privilegiadas.

Estos componentes comprenden colectivamente la superficie de ataque de acceso privilegiado a la que un adversario puede dirigirse para intentar obtener acceso elevado a su empresa:

Superficie de ataque desprotegida

Nota

Para sistemas locales e infraestructura como servicio (IaaS) hospedados en un sistema operativo administrado por el cliente, la superficie de ataque aumenta considerablemente con agentes de administración y seguridad, cuentas de servicio y posibles problemas de configuración.

Crear una estrategia de acceso privilegiado sostenible y manejable requiere cerrar todos los vectores no autorizados para crear el equivalente virtual de una consola de control conectada físicamente a un sistema seguro que representa la única forma de acceder a ella.

Esta estrategia requiere una combinación de:

  • Control de acceso de confianza cero descrito en esta guía, incluido el plan de modernización rápida (RAMP)
  • Protección de activos para protegerse contra ataques directos de activos aplicando buenas prácticas de limpieza de seguridad a estos sistemas. La protección de activos para recursos (más allá de los componentes de control de acceso) está fuera del ámbito de esta guía, pero normalmente incluye la aplicación rápida de actualizaciones y revisiones de seguridad, la configuración de sistemas operativos con líneas base de seguridad del fabricante o del sector, la protección de datos en reposo y en tránsito, e la integración de procedimientos recomendados de seguridad para procesos de desarrollo y DevOps.

Reducir la superficie de ataque

Iniciativas estratégicas en el camino

Implementar esta estrategia requiere cuatro iniciativas complementarias que tienen resultados claros y criterios de éxito

  1. Seguridad de sesión de un extremo a otro: establezca la validación explícita de confianza cero para sesiones con privilegios, sesiones de usuario y rutas de elevación autorizadas.
    1. Criterios de éxito: cada sesión validará que cada cuenta de usuario y dispositivo sean de confianza en un nivel suficiente antes de permitir el acceso.
  2. Proteger sistemas de identidad de monitor, & incluidos los directorios, la administración de identidades, las cuentas de administrador, las donaciones de consentimiento y mucho más
    1. Criterios de éxito: cada uno de estos sistemas se protegerá en un nivel adecuado para el posible impacto empresarial de las cuentas hospedadas en él.
  3. Mitigar el recorrido lateral para proteger contra el recorrido lateral con contraseñas de cuentas locales, contraseñas de cuenta de servicio u otros secretos
    1. Criterios de éxito: comprometer un único dispositivo no llevará inmediatamente al control de muchos o todos los demás dispositivos del entorno
  4. Respuesta rápida a amenazas para limitar el acceso de los adversarios y el tiempo en el entorno
    1. Criterios de éxito: los procesos de respuesta a incidentes impiden que los adversarios realicen de forma confiable un ataque de varias fases en el entorno que provocaría la pérdida de acceso privilegiado. (medido reduciendo el tiempo medio para corregir (MTTR) de incidentes que implican acceso privilegiado a casi cero y reduciendo mttr de todos los incidentes a unos minutos para que los adversarios no tengan tiempo de dirigirse al acceso privilegiado)

Pasos siguientes