Las soluciones PAM tradicionales han dominado el mercado durante años, pero la verdad es que probablemente no necesite una para cubrir los casos de uso de acceso privilegiado más comunes en su entorno.
PAM Las soluciones suelen ser complejas, su implementación requiere mucho tiempo y son difíciles de aplicar. Los cambios en el flujo de trabajo para usuarios como administradores de TI y desarrolladores suelen generar frustración y generar formas creativas de evitarlos. Esto deja a los usuarios críticos expuestos a riesgos hasta que el proyecto PAM esté completamente implementado.
Incluso los proveedores tradicionales de PAM están tomando conciencia de esta realidad y están pensando en alejarse de sus soluciones centradas en bóvedas hacia un enfoque más dinámico y moderno para proteger usuarios privilegiados¿Por qué? El antiguo enfoque de proteger a cada usuario simplemente ya no es necesario. Es hora de ser más proactivos en seguridad y adoptar enfoques y soluciones diseñados para las amenazas actuales.
En este blog, explicaremos por qué las organizaciones están abandonando las ofertas tradicionales de PAM en favor de un enfoque más moderno. seguridad de identidad.
¿Por qué el PAM tradicional está cayendo en desuso?
Durante años, las soluciones PAM destacaron al correlacionar múltiples usuarios en una sola cuenta genérica o compartida, a la vez que imponían la grabación de sesiones mediante un proxy de sesión. Este enfoque tenía sentido en una época en la que la cuenta de administrador integrada era la predeterminada para gestionar activos. Pero las cosas han cambiado. Con los entornos híbridos actuales y el panorama de amenazas en constante evolución, las prácticas recomendadas de PAM tradicionales no están a la altura de las exigencias de seguridad modernas.
Esto es debido a:
- Problemas de compatibilidad con niveles de AD: Acceder a un nivel privilegiado mediante PAM desde un endpoint con menos privilegios rompe el modelo de niveles de AD, mientras que el acceso mediante proxy PAM, que obtiene las credenciales de una bóveda sin llegar al endpoint, ofrece una solución segura y conforme con los niveles. Sin embargo, reduce la eficacia de las soluciones PAM tradicionales. Una implementación de PAM dedicada para cada nivel del modelo de niveles, con acceso desde una estación de trabajo de acceso privilegiado (PAW) para ese nivel, es el único método conforme, pero ofrece muy poco valor añadido, ya que solo es realmente necesario para el registro de sesiones o el seguimiento del acceso a cuentas compartidas. Esto lo convierte en una propuesta poco atractiva considerando la infraestructura adicional y la sobrecarga de gestión.
- Ineficacia de la grabación de sesionesSi bien la grabación de sesiones puede parecer una solución eficaz para la auditoría, suele ser excesiva para los administradores de PAM que utilizan esta función. Con un registro adecuado configurado en el recurso administrado, la grabación de sesiones se vuelve innecesaria. Además, la mayoría de las organizaciones no disponen del tiempo ni los recursos necesarios para revisar estas grabaciones, lo que reduce su utilidad para el análisis ocasional posterior a la filtración durante las investigaciones de incidentes.
- Cobertura limitada:Las soluciones PAM se centran en la seguridad known Los usuarios con privilegios no gestionan las cuentas no supervisadas, lo que expone a las organizaciones a puntos ciegos. Las capacidades de descubrimiento suelen basarse en convenciones de nomenclatura y membresías de grupos, pero no pueden detectar cuentas de omisión diseñadas deliberadamente para permanecer ocultas y utilizadas por los administradores de TI para evadir los controles PAM. Además, los usuarios de escritorio (nivel 2), que frecuentemente inician sesión directamente con contraseñas, enfrentan el mayor riesgo de vulnerabilidad y no pueden estar adecuadamente protegidos mediante un sistema de bóveda de contraseñas.
- Acceso al NHI no administradoMuchas cuentas de máquinas privilegiadas operan sin interacción directa a través de proxies de sesión, lo que impide que PAM aplique controles de visibilidad y seguridad en tiempo real en estas cuentas. En su lugar, depende de la rotación de contraseñas mediante API y de un análisis limitado de los registros de actividad. Esta falta de un descubrimiento adecuado implica que las organizaciones no pueden comprender completamente dónde se utiliza la NHI, mientras que la rotación de credenciales corre el riesgo de interrumpir los sistemas. Como resultado, muchas organizaciones evitan gestionar las NHI a través de su PAM, lo que expone aún más estas cuentas a un punto ciego de seguridad.
- Supervisión de la cuenta de administrador personal: Los auditores y las normas regulatorias recomiendan el uso de cuentas de administrador personales para una rendición de cuentas clara, correlacionando las acciones registradas con cada usuario. Si bien las soluciones PAM pueden rastrear el uso de cuentas de administrador compartidas y vincularlas a usuarios específicos, las cuentas personales ofrecen mayor seguridad, ya que el acceso permanece limitado a un menor número de personas. Además, las cuentas compartidas pueden ser problemáticas cuando los empleados se van, lo que a menudo provoca la revocación de permisos de acceso. PAM tiene dificultades para gestionar las cuentas personales con el modelo de bóveda.
Las prácticas tradicionales de PAM están obsoletas e incompatibles con las complejidades de los entornos de seguridad modernos. Ante los diversos desafíos y puntos ciegos de seguridad mencionados anteriormente, las organizaciones están cambiando activamente los enfoques tradicionales de PAM hacia un enfoque más eficaz, adaptado a las demandas de seguridad actuales con mucha mayor eficiencia.
El enfoque moderno para proteger a los usuarios privilegiados
El PAM tradicional se diseñó con un enfoque sencillo: proteger las credenciales privilegiadas en una bóveda, registrar su uso y asumir que los atacantes serían disuadidos. Esta estrategia era eficaz en una era de entornos estáticos e infraestructura local centralizada, cuando los usuarios privilegiados se limitaban a un pequeño grupo de administradores de TI. Sin embargo, el panorama de identidades actual es dinámico, distribuido y nativo de la nube. El privilegio está presente en todas partes —en miles de identidades, equipos y servicios— y ya no cabe en una bóveda.
En cambio, necesitamos un enfoque moderno de PAM que vaya más allá de las bóvedas y se centre más en la identidad, el acceso y el contexto en tiempo real. Debe estar diseñado para proporcionar visibilidad continua sobre quién (o qué) tiene acceso privilegiado en un momento dado, detectar cuándo se utiliza dicho privilegio y aplicar controles de seguridad dinámicamente, independientemente de dónde se produzca el acceso, qué credenciales se utilicen (si se utilizan) o en qué plataforma.
Visibilidad: mapeo de la verdadera superficie de ataque
La visibilidad es la base de asegurar el acceso privilegiadoPara lograr una gestión eficaz del acceso privilegiado se requiere una visión integral y continuamente actualizada de todas las identidades, humanas y no humanas, que poseen o pueden escalar a privilegios elevados. Esto incluye no solo las cuentas de administrador tradicionales, sino también el acceso delegado mediante membresías de grupo, roles heredados de IAM, permisos nativos de la nube y... cuentas de servicio incrustado en secuencias de comandos o canalizaciones de automatización.
La realidad actual del panorama de amenazas es cruda: los atacantes ya no necesitan vulnerar la bóveda si pueden explotar la identidad de una carga de trabajo en la nube con privilegios de API de nivel de administrador. Como resultado, el mapeo y la gestión de todos los privilegios... superficie de ataque es esencial para la seguridad proactiva y la reducción de riesgos.
Aplicación en tiempo real en todas las rutas de acceso
A diferencia del PAM tradicional, que solo responde a posteriori, este nuevo enfoque de acceso privilegiado debe implementarse con controles de seguridad en tiempo real. Mediante la integración directa con protocolos de autenticación, como Kerberos, NTLM, LDAP, SAML y más: debería detectar la escalada de privilegios instantáneamente y aplicar controles de forma proactiva, antes de que comience cualquier sesión.
Este enfoque proactivo puede desencadenar MFABloquear solicitudes de acceso riesgosas según señales contextuales o aplicar límites de sesión dinámicamente para restringir el uso indebido. En lugar de depender de los registros de sesión para las revisiones posteriores a incidentes, se interrumpirían las amenazas en el punto de acceso, garantizando así la prevención del uso indebido en lugar de simplemente documentarlo.
Implementación del modelo de privilegios mínimos
Aplicación continua de privilegios mínimos Es un componente esencial de este nuevo enfoque. En lugar de depender de asignaciones de roles estáticas con la esperanza de que no se vean comprometidas, una solución PAM moderna debería analizar continuamente el comportamiento, las tendencias de uso y los derechos para identificar y eliminar privilegios excesivos.
Gracias a los controles de acceso basados en roles y atributos, los permisos se personalizan y minimizan con precisión, incluso para cuentas de servicio y otras cuentas de equipo. Cuando surgen anomalías, se detectan y abordan rápidamente en tiempo real, implementando controles de seguridad e implementando medidas de mitigación de riesgos de inmediato.
Acceso justo a tiempo: elimine el privilegio permanente
Para minimizar el riesgo, este enfoque debería implementar el acceso justo a tiempo (JIT). En lugar de otorgar privilegios permanentes, los usuarios otorgan acceso solo cuando es necesario, mediante aprobaciones con plazos definidos o flujos de trabajo automatizados.
Una vez realizada la tarea, el privilegio se revoca automáticamente. Esto minimiza la ventana de oportunidad para los atacantes y limita el radio de acción si una cuenta se ve comprometida. El acceso JIT garantiza privilegios temporales y rastreables, lo que reduce... movimiento lateral ataques.
Yendo más allá de la bóveda
Este nuevo y moderno enfoque para proteger el acceso privilegiado no se centra en dónde se almacenan las credenciales, sino en cómo se descubren, supervisan y controlan los privilegios en todo el ecosistema. Representa un cambio fundamental respecto a la práctica obsoleta de proteger a todos los usuarios, que implica una implementación compleja y prolongada de controles de seguridad y no aborda los desafíos de seguridad modernos.
En cambio, el enfoque se centra en la gestión dinámica y en tiempo real del acceso privilegiado, lo que permite controles de acceso personalizados sin necesidad de usuarios de bóveda complejos. Es un gran paso en la dirección correcta: pasar de un enfoque preventivo a una aplicación de seguridad más proactiva en tiempo real, diseñada para abordar la complejidad de las infraestructuras de identidad actuales y contrarrestar el panorama de ataques. Incluso las soluciones PAM tradicionales están evolucionando para adoptar estas prácticas avanzadas, adaptándose mejor a las necesidades organizacionales en un panorama de seguridad en constante evolución.
Para aprender cómo SilverfortLa seguridad de acceso privilegiado (PAS) de puede ayudarlo a cambiar la forma en que protege el acceso privilegiado; descargue nuestro Cómo asegurar el acceso privilegiado (libro electrónico) or Contacte con uno de nuestros expertos hoy.