Resolviendo los desafíos más difíciles de la gestión de acceso privilegiado

La forma estándar de abordar los problemas de seguridad que surgen de las cuentas de usuarios privilegiados de una organización es con una solución de administración de acceso privilegiado (PAM), que puede ser una herramienta muy eficaz contra las amenazas dirigidas a las credenciales de administrador. Sin embargo, cuando se trata de implementar PAM por completo, a menudo existen desafíos importantes relacionados con la incorporación, la operación y el mantenimiento de la solución que pueden impedir que el producto alcance su máximo potencial.

En esta publicación de blog, discutiremos los cinco problemas principales que enfrentan los equipos de identidad al emprender un proyecto de implementación de PAM y sugeriremos formas en que cada uno de estos problemas se puede abordar con un Unified Protección de Identidad .

Desafío n.º 1: cuentas de servicio no detectadas y administradores en la sombra

Puede parecer obvio, pero antes de que se pueda colocar protección PAM en una cuenta de administrador, el administrador de PAM primero debe conocer la existencia de esa cuenta. En realidad, sin embargo, es mucho más fácil decirlo que hacerlo. La razón se debe a dos tipos de cuentas que presentan un serio desafío en términos de ser descubiertas fácilmente:

1. Cuentas de servicio – Estas cuentas de máquina a máquina suelen tener acceso privilegiado para poder realizar tareas críticas en una red sin necesidad de interacción humana. El problema es ese Estas cuentas a menudo se crean sin la documentación adecuada. haciéndolos desconocidos para los equipos de identidad que trabajan en un proyecto PAM. Además, no existe ninguna utilidad que pueda filtrar toda la actividad de la cuenta de servicio dentro de una Active Directory (AD): esencialmente hace que estas cuentas sean invisibles y, por lo tanto, no se incorporen a la solución PAM.
2. Administradores en la sombra – A veces, a los usuarios estándar se les pueden asignar altos privilegios de acceso sin darse cuenta sin que el equipo de identidad se dé cuenta. Un ejemplo común es un cuenta de usuario que no es miembro de un grupo AD de administrador privilegiado pero tiene el privilegio de restablecer la contraseña de un administrador. Pero como la cuenta de usuario no ha sido identificada como privilegiada, tampoco se incluirá en PAM.

Desafío n.º 2: cuentas de servicio con dependencias no asignadas

La piedra angular de un solución PAM es su bóveda, donde se almacenan las credenciales de todas las cuentas privilegiadas, y una protección clave que proporciona PAM es la capacidad de rotar periódicamente las contraseñas de todas las cuentas almacenados dentro de la bóveda. Esto obstaculiza la capacidad de un atacante de utilizar cualquier credencial comprometida que pueda haber adquirido al limitar el tiempo durante el cual esas credenciales son válidas.

Sin embargo, el problema con la rotación de contraseñas es que no se puede aplicar de manera efectiva a cuentas de servicio que tienen altos privilegios. La razón es que estas cuentas a menudo acceden a sus máquinas objetivo ejecutando un script donde se almacenan sus credenciales de inicio de sesión. Sin embargo,No hay forma de actualizar automáticamente la contraseña dentro de este script usando PAM. (Esto tampoco se puede hacer manualmente, ya que generalmente se desconoce la ubicación exacta del script).

El resultado es que rotar las contraseñas de estas cuentas de servicio usando PAM en realidad invalidaría la contraseña en el script, lo que impediría que la cuenta realice la tarea prevista. Esto, a su vez, podría provocar una cascada de problemas en toda la red, ya que cualquier proceso crítico que dependa de que la cuenta de servicio complete su tarea también fallaría. Debido a este riesgo, los equipos de identidad a menudo se abstienen de incorporar cuentas de servicio con privilegios elevados a PAM, lo que las deja expuestas a riesgos.

Desafío n.º 3: administradores que omiten PAM

Como dice el refrán, una cadena es tan fuerte como su eslabón más débil y esto también se aplica a una solución PAM. Debido a que los productos PAM son herramientas sólidas y sofisticadas (creadas para proteger las cuentas de administrador contra riesgos con medidas como la rotación de contraseñas, el uso de bóvedas y la grabación de sesiones), la experiencia de inicio de sesión resultante para los administradores puede, en última instancia, ser más engorrosa.

El problema es que debido a esto, En ocasiones, los administradores optarán por omitir PAM por completo en aras de la eficiencia. – usar la solución PAM solo para extraer su nueva contraseña y luego iniciar sesión directamente en los distintos servidores y estaciones de trabajo a los que necesitan acceder. Esta práctica, por supuesto, anula por completo la protección que PAM debía brindar, exponiendo una brecha de seguridad crítica.

Desafío #4: Proteger el acceso al propio PAM

Por muy poderosa que sea la solución PAM, tiene un talón de Aquiles: no puede protegerse a sí misma. Esto significa, por supuesto, que si un adversario pudiera comprometer las credenciales del PAM Luego tendrían acceso a las credenciales de todas las cuentas privilegiadas almacenadas en su bóveda y, por lo tanto, a cualquier recurso del entorno, un escenario potencialmente catastrófico para cualquier organización.

La superficie de ataque El acceso malicioso se vuelve particularmente evidente si se considera que existen múltiples formas de acceder a una solución PAM:

• a través del portal web: se utiliza para la recuperación de credenciales y para tareas administrativas
• mediante acceso proxy: utilizado por administradores de red para conectarse a varios sistemas utilizando credenciales protegidas
• a través de API: utilizado para tareas automatizadas y por cuentas de servicio

Con tantas formas diferentes de acceder a PAM, esto significa que cualquier punto de exposición (por ejemplo, una cuenta de servicio cuyas credenciales han sido comprometidas) podría a su vez comprometer todo el sistema PAM.

Desafío n.º 5: cuentas que no se pueden proteger inmediatamente (ni nunca)

La implementación completa de una solución PAM integral puede ser una tarea enorme, un proyecto que a menudo lleva meses o incluso años en completarse. Y durante este proceso, cualquier cuenta privilegiada que aún no se haya incorporado al producto PAM permanece expuesta a riesgos.

Además, dado que las cuentas de servicio suelen tener dependencias que son extremadamente difíciles de asignar, estas las cuentas privilegiadas pueden permanecer fuera de la protección PAM indefinidamente, debido al problema mencionado anteriormente sobre la preocupación de romper cualquier proceso crítico de estas cuentas con la rotación de contraseñas. Esto significa que estas cuentas privilegiadas también permanecerían expuestas.

Cómo la protección de identidad unificada puede complementar PAM

Protección de identidad unificada es una nueva categoría de productos de seguridad, creada para brindar protección en tiempo real de la superficie de ataque de identidad a través de monitoreo continuo, análisis de riesgos y aplicación de políticas de acceso. Al integrarse directamente con todos los proveedores de identidad, la plataforma puede obtener visibilidad completa de cada entrada autenticación y solicitud de acceso dentro del entorno, ya sea local o en la nube.

Esto significa que una plataforma de Protección unificada de identidad puede resolver los desafíos de PAM a través de tres capacidades principales:

1. Descubrimiento de cuenta –Al tener visibilidad completa de todas las autenticaciones, la plataforma puede analizar cada cuenta, incluidos sus privilegios y comportamiento específico, descubriendo fácilmente todas las cuentas de servicio (ya que muestran un comportamiento altamente predecible), así como también cualquier administradores en la sombra (mediante el examen de las listas de control de acceso proporcionadas por AD).
2. Autenticación multifactor (MFA) Politica de ACCION –La plataforma también puede aplicar políticas de MFA a cuentas privilegiadas para asegurar todos los accesos en tiempo real. Esto significa que las cuentas de administrador solo podrán acceder a los recursos cuando el origen del destino sea el propio PAM (y, además, también podrían requerir MFA en esta misma conexión).
3. Protección de cuenta de servicio – Al analizar continuamente la actividad de cada cuenta de servicio en el entorno, las políticas de acceso se activarían cada vez que una cuenta de servicio (ya sea que no esté protegida o no) se desvíe de su comportamiento estándar, extendiendo así la protección total a cada cuenta de servicio. cuenta privilegiada en el ambiente.

Acelere su viaje PAM con Silverfort

SilverfortLa plataforma Unified Identity Protection protege a las empresas contra cualquier ataque basado en identidad que utiliza credenciales comprometidas, lo que permite a los equipos de identidad sacar más provecho de su inversión en PAM al resolver sus desafíos de seguridad inherentes.

Específicamente, Silverfort puede ayudar con la incorporación de PAM al descubrir automáticamente todas las cuentas de servicio y los administradores paralelos, además de mapear todas las dependencias de las cuentas de servicio. También, Silverfort puede proteger mejor el acceso al propio PAM imponiendo el acceso exclusivo a PAM a los administradores, además de exigir MFA. Silverfort También puede complementar la protección PAM al asegurar cuentas de servicio a través de la configuración de políticas de acceso y protegiendo cualquier cuenta de administrador que resida fuera del PAM.

Listo para aprender más sobre cómo Silverfort ¿Puede potenciar su solución PAM? Leer más sobre esto aquí.