Cómo mejorar la seguridad de tu organización con soluciones PAM

jueves, 16 de marzo de 2017

Si no tienes una solución de control de usuarios privilegiados en tu organización, deberías plantearte por qué no dispones de ella.

En el artículo anterior La importancia del control de las cuentas privilegiadas, os escribí lo que para mí es una de las principales soluciones en ciberseguridad en este 2017, me arriesgaría a decir que incluso hasta en 2019. Una solución que pretende cubrir la seguridad en un amplio número de tecnologías, y en la cual debería pensar cualquier organización que no disponga de controles de acceso a usuarios privilegiados. Bien es cierto que no cubre una seguridad de grano muy fino, no os voy a engañar, pero con ellas, podemos abarcar la seguridad de un gran número de tecnologías y alcanzar un nivel muy maduro de seguridad y control.

Desplegando soluciones PAM

Antes de ver posibles casos de usos que podemos llegar a cubrir, me gustaría indicaros cómo podríamos realizar el despliegue en tres grandes fases, las cuales deberíamos fijarnos como metas en relación a los usuarios privilegiados.

Figura 1: Fases del despliegue de cuentas privilegiadas

En una primera fase, deberíamos proteger las contraseñas de los usuarios privilegiados, intentando marcarnos el objetivo de llegar a un alto porcentaje de cuentas que no conozcan su contraseña, idealmente, rotando las mismas en cada uso. Dicho objetivo, es muy ambicioso, pero por eso, debemos marcarnos alcanzar o cubrir el mayor porcentaje posible.

Una vez gestionadas las password a través de PAM, nuestra segunda fase, será el control de las distintas acciones que realizan los usuarios, al igual que antes, marcándonos metas ambiciosas, e intentando buscar el menor privilegio posible de los usuarios.

Y, por último, y una fase que olvida muchas personas, es la monitorización continua. La misma nos servirá para detectar y controlar lo anteriormente implantado y nos marcará próximos puntos de control.

Con estas fases, buscamos tratar los usuarios privilegiados de una forma transversal a los sistemas. Estamos acostumbrados a trabajar en monolitos, intentar cubrir una tecnología o ciertos sistemas de una forma más amplia, pero dejamos de lado otros puntos mucho más importantes. Ya no nos sirve cubrir la seguridad sólo de ciertos entornos, vivimos en el momento DevOps, debemos controlar cientos de despliegues de software a la semana, cada vez intentamos ser más agiles, nuestros administradores son multidisciplinares y lo mismo crean un filesystem que hacen un backup, y todo ello, orquestado por usuarios privilegiados, y es por esto que debemos empezar a tomar el control de la situación.

Me gustaría comentaros ciertos beneficios de dichas soluciones, de una forma muy amplia, pero lo más importante, y donde realmente veremos el potencial de las soluciones PAM, es en algunos casos de usos específicos que os mostraré más adelante.
  • Podemos garantizar el cumplimiento de las regulaciones mediante controles preventivos, de monitorización y correctivos, así como una auditoría de los controles y privilegios de acceso.
  • Mejoraremos la productividad y experiencia del usuario al automatizar la gestión del acceso a cuentas privilegiadas y compartidas.
  • Podremos establecer la cesión de cuentas mediante la aplicación de políticas para obtener acceso a las cuentas.
  • Eliminaremos el riesgo de inicios de sesión anónimos a cuentas privilegiadas y compartidas.
  • Impulsamos el principio de menor privilegio permitiendo el acceso a cuentas altamente privilegiadas sólo cuando sea necesario (éste es mi preferido).
  • Proporcionaremos agilidad en el control de usuarios privilegiados.

Casos de uso en soluciones PAM.

Son múltiples los beneficios de las soluciones Privileged Access Management, y muchos de ellos difíciles de ver si no los aplicamos o situamos a casos de usos concretos. Hemos mencionado a los tan famosos DevOps, y me gustaría mostraros como convertir a los mismos en DevSecOps, como añadir control o una capa de seguridad a esta tan necesaria agilidad.

En cada caso de uso, veremos con más detalle y mencionaré funcionalidades de las soluciones PAM.

De DevOps a DevSecOps gracias a PAM

Figura 2: DevSecOps gracias a Privileged Access Management

Entendemos los DevOps, como aquellas personas que realizan desde el desarrollo (Dev), hasta su posterior operación (Ops), pero ello, no implica que deba hacerse con una única cuenta privilegiada.

Si ya tenemos desarrollos desplegados, es posible que los mismos deban ser mantenidos, y que sea necesario una cuenta privilegiada, por ejemplo, para parar y arrancar instancias web productivas. Primer caso de uso, podemos hacer que un usuario, acceda a la cuenta privilegiada necesario en una franja horaria concreta, en la que únicamente pueda parar y arrancar la instancia necesaria, siendo controlado mediante políticas de seguridad.

Ahora empecemos a exprimir todo el potencial, es posible que el usuario, necesite de más permisos o realizar otra operativa. Segundo caso de uso, autorización. Podemos hacer que el acceso, al salirse de la normalidad, sea aprobado por uno o varios responsables mediante la definición de Workflows, en la que, mediante autorización y políticas, el usuario tenga acceso a todo el directorio de la aplicación web.

Pero es posible, y siempre tenemos que tenerlo en cuenta, incidencias o situaciones de crisis. Tercer caso de uso, control de las incidencias. Las incidencias, suelen ser reactivas, y por ello, no podemos depender de autorizadores, pero sí podemos tener un control del ciclo de accesos relacionado a incidentes. En la mayoría de empresas relacionadas con el mundo IT, se dispone de sistemas de Ticketing, los cuales debemos asegurarnos de vincular con las soluciones PAM. En nuestro caso, podemos dar acceso a una cuenta privilegiada con cierta libertad, si este está relacionado a un Ticket en un estado concreto, del que el Command Center tenga constancia, pudiendo así relacionar el acceso privilegiado a una incidencia.

Continuamos nuestro desglose y seguimos con el despliegue de Software, palanca imprescindible en el mundo ágil. Cuarto caso de uso, A2A, Aplication to Aplication, en herramientas como Puppet, Clarive o similares, podemos erradicar cualquier tipo de usuario/password hardcodeado, gracias a pequeñas llamadas de código a las soluciones PAM, que devuelven la cuenta privilegiada, sin necesidad alguna de conocer las credenciales.

Podríamos tratar más casos de usos, pero como veis, gracias a las soluciones PAM, podemos dar esa capa de Seguridad (Sec) tan necesaria en el día a día de los DevOps.

Controlando nuestros datos y el Fraude gracias a PAM


Figura 3: Control del fraude gracias a Privileged Access Management

Para mí, el activo más importante de una empresa son sus datos. Datos y sistemas de explotación de los mismos que se han visto incrementados exponencialmente en los últimos años.

La teoría nos indica que el control y la segregación de funciones debe realizarse en las distintas tecnologías, pero en la práctica, esto no es así. Nos hemos centrado en la calidad del dato, pero no en la seguridad del mismo.

Quinto caso de uso. Controlando el fraude y qué hacemos en las Bases de Datos. Con algunas soluciones PAM podemos controlar las distintas Querys lanzadas por los usuarios, de forma que, por ejemplo, si un usuario lanza un Export, nos alerte nuestro sistema SIEM (un export no suele ser un comando operativo), o podemos aplicar dicha segregación que nunca se realiza, de forma que solo ciertos usuarios administradores de base de datos puedan borrar tablas.

El control de la seguridad en bases de datos, o de nuestro BigData, es más fácil que nunca. Un control de los usuarios privilegiados, no solo nos reducirá el número de incidencias por descuido, sino que nos dará un punto extra de control sobre nuestros datos.

Podríamos tratar multitud de casos de uso, pero terminaríamos con un inmenso post, mucho más aburrido de lo que ya es éste, por lo que, si tenéis dudas o casos de uso concretos, os animo a que os pongáis en contacto, estaremos encantados de ayudaros.

Pero esto no es todo, en el próximo post “Vitaminando las soluciones PAM con Latch”, veremos cómo tomar más control sobre nuestros usuarios privilegiados, viendo casos de uso que toda organización con un nivel de seguridad maduro debe plantearse, dando un valor añadido con la solución Latch.

Rubén Gª Ramiro
Telefónica Cybersecurity Expert
Ciberseguridad Blog



*También te puede interesar:
La importancia del control de las cuentas privilegiadas

No hay comentarios:

Publicar un comentario