Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad Última actualización: 15 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Si es administrador de sistemas, habrá oído hablar de los riesgos asociados a muchas cuentas con acceso privilegiado a activos informáticos críticos. Infórmate sobre las mejores soluciones para mantenerlas bajo control.

La situación con el acceso privilegiado puede descontrolarse rápidamente cuando crece el número de usuarios, junto con el de aplicaciones, dispositivos e incluso tipos de infraestructura.

Debe aplicar una solución de gestión de accesos privilegiados para evitar una situación tan problemática. Empecemos por responder a la pregunta más obvia:

¿Qué es la gestión de accesos privilegiados?

Privileged Access Management (PAM) es un conjunto de ciberseguridad estrategias y tecnologías para ejercer control sobre accesos y permisos elevados ("privilegiados") para usuarios, cuentas, procesos y sistemas en un entorno informático.

Al definir el nivel apropiado de controles de acceso privilegiado, PAM ayuda a las organizaciones a reducir sus superficies de ataque y prevenir (o al menos mitigar) los daños de ataques externos, así como intentos internos de sabotaje o actos de negligencia.

Aunque la gestión de privilegios abarca muchas estrategias, un objetivo central es la aplicación del mínimo privilegio, definido como la restricción de los derechos y permisos de acceso al mínimo absoluto necesario para que los usuarios, cuentas, aplicaciones y dispositivos realicen sus actividades rutinarias autorizadas.

Muchos analistas y tecnólogos consideran que la PAM es una de las iniciativas de seguridad más críticas para reducir el riesgo cibernético y lograr un alto rendimiento de la inversión en seguridad.

¿Cómo funciona la gestión de acceso privilegiado (PAM)?

Gestión de acceso privilegiado

La gestión de accesos privilegiados funciona según el principio del mínimo privilegio, de modo que incluso los usuarios con más privilegios puedan acceder sólo a lo que necesitan. Las herramientas de gestión de accesos privilegiados suelen formar parte de soluciones PAM más amplias diseñadas para abordar diversos retos relacionados con la supervisión, la seguridad y la gestión de cuentas privilegiadas.

Una solución diseñada para la gestión de acceso privilegiado debe proporcionar la capacidad de supervisar y registrar toda la actividad de acceso privilegiado y luego informar de ello a un administrador. El administrador puede hacer un seguimiento del acceso privilegiado y detectar en qué situaciones se puede estar haciendo un uso indebido del mismo.

La solución debe facilitar a los administradores de sistemas la identificación de anomalías y amenazas potenciales para tomar medidas inmediatas y limitar los daños. Las características esenciales de una solución de gestión de accesos privilegiados deben incluir:

  • Identificar, gestionar y supervisar las cuentas privilegiadas en todos los sistemas y aplicaciones de una red.
  • Controlar el acceso a cuentas privilegiadas, incluido el acceso que puede compartirse o estar disponible durante emergencias.
  • Cree credenciales aleatorias y seguras para cuentas privilegiadas, incluidas contraseñas, nombres de usuario y claves.
  • Proporcione autenticación multifactor.
  • Restringir y controlar comandos, tareas y actividades privilegiadas.
  • Gestione el uso compartido de credenciales entre servicios para limitar la exposición.

PAM frente a IAM

Gestión de acceso privilegiado (PAM) y Gestión de acceso a identidades (IAM) son formas habituales de mantener altos niveles de seguridad y permitir a los usuarios acceder a los activos informáticos con independencia de su ubicación y dispositivo.

Es esencial que las empresas y el personal informático comprendan la diferencia entre ambos enfoques y su papel a la hora de utilizarlos para proteger el acceso a información privada y sensible.

IAM es un término más general. Se utiliza principalmente para identificar y autorizar a los usuarios de toda la organización. Por otro lado, PAM es un subconjunto de IAM que se centra en los usuarios privilegiados, es decir, aquellos que necesitan permiso para acceder a los datos más sensibles.

IAM se refiere a la identificación, autenticación y autorización de perfiles de usuario que emplean identidades digitales únicas. Las soluciones IAM proporcionan a las empresas una combinación de funciones compatibles con una confianza cero de la ciberseguridad, que exige que los usuarios verifiquen su identidad cada vez que solicitan acceso a un servidor, aplicación, servicio u otro activo informático.

A continuación se ofrece una visión general de las principales soluciones PAM disponibles, tanto basadas en la nube como instaladas localmente en sistemas on-prem.

StrongDM

StrongDM ofrece una plataforma de acceso a infraestructuras que elimina las soluciones de punto final y cubre todos los protocolos. Es un proxy que combina autenticaciónde autorización, conexión en red y observabilidad en una única plataforma.

StrongDM

En lugar de complicar el acceso, los mecanismos de asignación de permisos de StrongDM agilizan el acceso al conceder y revocar instantáneamente el acceso granular y con menos privilegios mediante el control de acceso basado en funciones (RBAC), el control de acceso basado en atributos (ABAC) o las aprobaciones de punto final para todos los recursos.

La incorporación y baja de empleados se realiza con un solo clic, lo que permite la aprobación temporal de privilegios elevados para operaciones sensibles con Slack, Microsoft Teamsy PagerDuty.

StrongDM permite conectar a cada usuario final o servicio con los recursos exactos que necesita, independientemente de su ubicación. Además, sustituye a VPN hosts de acceso y bastiones con redes de confianza cero.

StrongDM cuenta con numerosos automatización entre las que se incluyen la integración de flujos de trabajo de acceso en su canal de implementación existente, la transmisión de registros a su SIEM y la recopilación de pruebas para diversas auditorías de certificación, como SOC 2, SOX, ISO 27001 e HIPAA.

ManageEngine PAM360

PAM360 es una solución integral para las empresas que desean incorporar PAM a sus operaciones de seguridad. Con las capacidades de integración contextual de PAM360, puede crear una consola central en la que se interconecten las distintas partes de su sistema de gestión de TI para obtener una correlación más profunda de los datos de acceso privilegiado y los datos generales de la red, lo que facilita inferencias significativas y una corrección más rápida.

PAM360 garantiza que ninguna ruta de acceso privilegiado a sus activos de misión crítica quede sin gestionar, desconocida o sin supervisar. Para que esto sea posible, proporciona una bóveda de credenciales donde puede almacenar cuentas privilegiadas. Este almacén ofrece gestión centralizada, permisos de acceso basados en funciones y cifrado AES-256.

Con los controles just-in-time para cuentas de dominio, PAM360 concede privilegios elevados sólo cuando los usuarios los necesitan. Transcurrido cierto tiempo, los permisos se revocan automáticamente y se restablecen las contraseñas.

Además de gestionar el acceso privilegiado, PAM360 facilita a los usuarios con privilegios la conexión a hosts remotos con un solo clic, sin plug-ins de navegador ni agentes de punto final. Esta funcionalidad proporciona un túnel de conexiones a través de pasarelas cifradas y sin contraseña que ofrecen la máxima protección.

Heimdal

Gestión de acceso privilegiado de Heimdal es una solución de escalado y delegación de privilegios que permite a los administradores de sistemas aprobar o bloquear solicitudes de escalado con un solo clic. Mediante la creación de flujos automatizados de aprobación de solicitudes de escalado de acuerdo con reglas y condiciones predefinidas, los equipos de TI pueden curar completamente su entorno de acuerdo con las necesidades de la empresa, así como ahorrar tiempo y recursos valiosos en el proceso.

YouTube vídeo

Al integrar la herramienta PAM de Heimdal en la infraestructura, las empresas pueden cumplir plenamente las normas NIST AC-5 y AC-6. Privileged Access Management proporciona a los usuarios una pista de auditoría completa con datos exhaustivos de escalado y desescalado que están disponibles durante 90 días. Los administradores también pueden filtrar su vista de la información registrada conforme a varios requisitos: por solicitud, por usuario, etc. 

Por último, es importante mencionar que Heimdal Patch & Asset Management es la única solución de escalado y delegación de privilegios del mercado que desescala automáticamente las solicitudes tras la detección de amenazas. Esto es posible cuando PAM se utiliza en tándem con otros productos de la suite Heimdal, a saber, Next-Gen Antivirus de Heimdal.

Con la amenaza del abuso y mal uso de privilegios internos siendo siempre una gran preocupación para las organizaciones de todos los tamaños, la implementación de un fuerte sistema de escalada y delegación de privilegios es esencial para una estrategia de protección proactiva adecuada. Aquí es donde Heimdal Patch & Asset Management entra en juego, junto con sus robustas características que permiten a los administradores mantener el control total de acuerdo a sus términos, mientras que al mismo tiempo automatiza los procesos tanto como sea posible.

Teletransporte

Teletransporte es consolidar todos los aspectos del acceso a la infraestructura en una única plataforma para los ingenieros de software y las aplicaciones que desarrollan. Esta plataforma unificada pretende reducir la superficie de ataque y la sobrecarga de los costes operativos, al tiempo que mejora la productividad y garantiza el cumplimiento de las normas.

YouTube vídeo

Access Plane de Teleport es una solución de código abierto que sustituye a las credenciales compartidas, las VPN y las tecnologías heredadas de gestión de acceso privilegiado. Se diseñó específicamente para proporcionar el acceso necesario a la infraestructura sin entorpecer el trabajo ni reducir la productividad del personal informático.

Los profesionales e ingenieros de seguridad pueden acceder a servidores Linux y Windows, Kubernetes clusters, bases de datos y DevOps aplicaciones como CI/CD, control de versiones y paneles de supervisión a través de una única herramienta.

Teleport Server Access utiliza estándares abiertos como Certificados X.509SAML, HTTPS y OpenID Connect, entre otros. Sus creadores se centraron en la sencillez de instalación y uso, ya que son los pilares de una buena experiencia de usuario y una sólida estrategia de seguridad. Por ello, consta únicamente de dos binarios: un cliente que permite a los usuarios iniciar sesión para obtener certificados de corta duración, y el agente Teleport, instalado en cualquier servidor o clúster Kubernetes con un solo comando.

Okta

Okta es una empresa dedicada a soluciones de autenticación, directorio e inicio de sesión único. También ofrece soluciones PAM a través de socios, que se integran con sus productos para proporcionar identidad centralizada, políticas de acceso personalizables y adaptables, informes de eventos en tiempo real y superficies de ataque reducidas.

A través de las soluciones integradas de Okta, las empresas pueden aprovisionar/desaprovisionar automáticamente usuarios privilegiados y cuentas administrativas al tiempo que proporcionan acceso directo a activos críticos. Los administradores de TI pueden detectar actividades anómalas mediante la integración con soluciones de análisis de seguridad, alertar y tomar medidas para prevenir riesgos.

Límite

HashiCorp ofrece su Límite que proporciona gestión de acceso basada en identidades para infraestructuras dinámicas. También proporciona una gestión de sesiones sencilla y segura y acceso remoto a cualquier sistema basado en identidades de confianza.

Límite

Al integrar la solución Vault de HashiCorp, es posible asegurar, almacenar y controlar estructuralmente el acceso a tokens, contraseñas, certificados y claves de cifrado para proteger secretos y otros datos sensibles a través de una interfaz de usuario, una sesión CLI o una API HTTP.

Con Boundary, es posible acceder a hosts y sistemas críticos a través de varios proveedores por separado, sin necesidad de gestionar credenciales individuales para cada sistema. Puede integrarse con proveedores de identidad, eliminando la necesidad de exponer la infraestructura al público.

Boundary es una solución de código abierto independiente de la plataforma. Al formar parte de la cartera de HashiCorp, naturalmente ofrece la posibilidad de integrarse fácilmente en los flujos de trabajo de seguridad, por lo que es fácilmente desplegable en la mayoría de las plataformas de nube pública. El código necesario ya está en GitHub y listo para ser utilizado.

Delinea

Delinea's Las soluciones privilegiadas de gestión de accesos pretenden simplificar al máximo la instalación y el uso de la herramienta. La empresa hace que sus soluciones sean intuitivas, facilitando la definición de los límites de acceso. Ya sea en la nube o en entornos locales, las soluciones PAM de Delinea son sencillas de desplegar, configurar y gestionar sin imponer un sacrificio en la funcionalidad.

Delinea ofrece una solución basada en la nube que permite el despliegue en cientos de miles de máquinas. Esta solución consta de Privilege Manager para estaciones de trabajo y Cloud Suite para servidores.

Privilege Manager le permite descubrir máquinas, cuentas y aplicaciones con derechos de administrador, ya sea en estaciones de trabajo o en servidores alojados en la nube. Incluso opera en máquinas pertenecientes a dominios diferentes. Mediante la definición de reglas, puede aplicar automáticamente políticas para gestionar privilegios, definiendo permanentemente la pertenencia a grupos locales y rotando automáticamente las credenciales con privilegios no humanos.

Un asistente de políticas permite elevar, denegar y restringir aplicaciones con unos pocos clics. Por último, la herramienta de generación de informes de Delinea proporciona información detallada sobre las aplicaciones bloqueadas por malware y el cumplimiento de los privilegios mínimos. También ofrece integración de Privileged Behaviour Analytics con Privilege Manager Cloud.

BeyondTrust

BeyondTrust La gestión de privilegios facilita la elevación de privilegios a aplicaciones conocidas y de confianza que los requieren, controlando el uso de las aplicaciones y registrando e informando de las actividades privilegiadas. Para ello, utiliza herramientas de seguridad ya existentes en su infraestructura.

más allá de la confianza

Con Privilege Manager, puede dar a los usuarios los privilegios exactos que necesitan para completar sus tareas sin riesgo de exceso de privilegios. También puede definir políticas y distribuciones de privilegios, ajustando y determinando el nivel de acceso disponible en toda la organización. De este modo, evitará malware ataques por exceso de privilegios.

Puede utilizar políticas detalladas para elevar los privilegios de las aplicaciones para usuarios estándar de Windows o Mac, proporcionando acceso suficiente para completar cada tarea. BeyondTrust Privilege Manager se integra con aplicaciones de help desk de confianza, escáneres de gestión de vulnerabilidades y herramientas SIEM a través de conectores incorporados en la herramienta.

Los análisis de seguridad de puntos finales de BeyondTrust le permiten correlacionar el comportamiento del usuario con la inteligencia de seguridad. También le da acceso a una pista de auditoría completa de toda la actividad del usuario, para que pueda acelerar el análisis forense y simplificar el cumplimiento de la empresa.

Una identidad

Una identidad(PAM) mitigan los riesgos de seguridad y permiten el cumplimiento de las normativas empresariales. El producto se ofrece en modo SaaS o local. Cualquiera de las dos variantes permite asegurar, controlar, supervisar, analizar y gobernar el acceso privilegiado en múltiples entornos y plataformas.

Además, ofrece la flexibilidad de conceder plenos privilegios a usuarios y aplicaciones sólo cuando sea necesario, aplicando un modelo operativo de confianza cero y privilegios mínimos en el resto de situaciones.

CyberArk

CyberArk
CyberArk

Con CyberArk Privileged Access Manager, puede descubrir e incorporar automáticamente credenciales privilegiadas y secretos utilizados por entidades humanas o no humanas. Mediante la gestión centralizada de políticas, la solución de CyberArk permite a los administradores de sistemas definir políticas de rotación de contraseñas, complejidad de contraseñas, asignación de bóvedas por usuario, etc.

La solución puede desplegarse como un servicio (modo SaaS), o puede instalarla en sus servidores (self-hosted).

Centrify

En Centrify El servicio Privilege Threat Analytics detecta el abuso de acceso privilegiado añadiendo una capa de seguridad a sus infraestructuras en la nube y locales. Para ello, emplea análisis avanzados de comportamiento y autenticación multifactor adaptativa. Con las herramientas de Centrify, es posible obtener alertas casi en tiempo real sobre comportamientos anómalos de todos los usuarios de una red.

Centrify Vault Suite le permite asignar acceso privilegiado a cuentas y credenciales compartidas, mantener bajo control las contraseñas y los secretos de las aplicaciones, y proteger las sesiones remotas. A su vez, con Centrify Cloud Suite, su organización puede, independientemente de su tamaño, gobernar globalmente el acceso privilegiado a través de políticas gestionadas centralmente y aplicadas dinámicamente en el servidor.

Conclusión

El abuso de privilegios es una de las principales amenazas a la ciberseguridad hoy en día, lo que a menudo provoca costosas pérdidas e incluso la paralización de empresas. También es uno de los vectores de ataque más populares entre los ciberdelincuentes porque, cuando se lleva a cabo con éxito, proporciona acceso libre a las entrañas de una empresa, a menudo sin hacer saltar ninguna alarma hasta que el daño está hecho. Utilizar una solución adecuada de gestión de acceso a privilegios es imprescindible siempre que los riesgos de abuso de privilegios de cuenta se vuelvan difíciles de controlar.

  • Lakshman Sharma
    Autor
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba el lunes
  • Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder