En cualquier organización, hay ciertas cuentas que se designan como privilegiadas. Estas cuentas privilegiadas se diferencian de las cuentas de usuario estándar en que tienen permiso para realizar acciones que van más allá de lo que pueden hacer los usuarios estándar. Las acciones varían según la naturaleza de la cuenta, pero pueden incluir cualquier cosa, desde configurar nuevas cuentas de usuario hasta apagar sistemas de misión crítica.
Las cuentas privilegiadas son herramientas esenciales. Sin estas cuentas, el personal de TI no podría hacer su trabajo. Al mismo tiempo, las cuentas privilegiadas pueden representar una seria amenaza para la seguridad de una organización.
Riesgo añadido de una cuenta privilegiada
Imagine por un momento que un pirata informático logra robar la contraseña de un usuario estándar y puede iniciar sesión como ese usuario. Aunque el hacker tendría acceso a ciertos recursos en ese momento, estaría limitado por los privilegios del usuario (o la falta de ellos). En otras palabras, el hacker podría navegar por Internet, abrir algunas aplicaciones y acceder al correo electrónico del usuario, pero eso es todo.
Obviamente, la cuenta de un usuario comprometida es un gran problema, pero hay un límite para lo que un hacker puede hacer usando esa cuenta. Sin embargo, no se puede decir lo mismo de una situación en la que un hacker obtiene acceso a una cuenta privilegiada. Un hacker con acceso a una cuenta privilegiada controla los recursos de TI de la víctima.
Esto presenta un pequeño dilema para quienes tienen la tarea de mantener seguros los recursos de TI de una organización. Por un lado, las cuentas privilegiadas son necesarias para realizar las tareas administrativas del día a día. Por otro lado, esas mismas cuentas representan una amenaza existencial para la seguridad de la organización.
Librar a su organización de cuentas privilegiadas
Una forma en que las organizaciones están trabajando para negar los peligros asociados con las cuentas privilegiadas es mediante la adopción de seguridad de confianza cero. La seguridad Zero Trust es una filosofía que esencialmente establece que no se debe confiar en nada en una red a menos que se demuestre que es confiable.
Esta filosofía también va de la mano con otra filosofía de TI llamada Least User Access (LUA). LUA se refiere a la idea de que un usuario solo debe tener los privilegios mínimos necesarios para hacer su trabajo. Esta misma filosofía también se aplica a los profesionales de TI.
El control de acceso basado en roles se usa a menudo para limitar las cuentas privilegiadas para que puedan realizar una función privilegiada muy específica en lugar de tener acceso completo sin restricciones a toda la organización.
Opciones de gestión de acceso privilegiado
Otra forma en que las organizaciones están limitando las cuentas privilegiadas es mediante la adopción de una solución de gestión de acceso privilegiado. Gestión de acceso privilegiadoo PAM, como suele llamarse, está diseñado para evitar que los ciberdelincuentes exploten las cuentas privilegiadas.
Hay varios proveedores de tecnología diferentes que ofrecen soluciones PAM, y todos funcionan de manera un poco diferente. Sin embargo, a menudo, las cuentas que normalmente tendrían privilegios están restringidas de una manera que hace que se comporten como una cuenta de usuario estándar. Si un administrador necesita realizar una operación privilegiada (una tarea que requiere privilegios elevados), el administrador debe solicitar esos privilegios al sistema PAM. Al hacerlo, se otorga acceso privilegiado, pero por un tiempo muy limitado y el acceso solo es suficiente para realizar la tarea solicitada.
Aunque PAM restringe las cuentas privilegiadas de una manera que reduce las posibilidades de abuso de esas cuentas, sigue siendo importante salvaguardar cualquier cuenta privilegiada para evitar que se vea comprometida.
Aportando una capa adicional de seguridad
Ya sea que esté implementando confianza cero o disminuyendo las probabilidades de abuso de cuentas privilegiadas, su servicio de asistencia técnica es un punto final riesgoso que necesita una capa adicional de seguridad. Una forma de hacer esto es adoptar Specops Secure Service Desk, que está diseñado para evitar que un pirata informático se comunique con el servicio de asistencia y solicite un restablecimiento de contraseña en una cuenta privilegiada (o cualquier otra cuenta) como una forma de obtener acceso a esa cuenta.
Secure Service Desk permite a los usuarios restablecer sus propias contraseñas, pero si alguien se pone en contacto con la mesa de ayuda para restablecer la contraseña, el software Secure Service Desk requerirá que la identidad de la persona que llama se pruebe definitivamente antes de que se permita un restablecimiento de contraseña. De hecho, el técnico de la mesa de ayuda ni siquiera puede restablecer la contraseña de la persona que llama hasta que se complete el proceso de verificación de identidad.
Este proceso implica que el técnico de la mesa de ayuda envíe un código único a un dispositivo móvil asociado con la cuenta. Cuando la persona que llama recibe este código, se lo vuelve a leer al técnico de la mesa de ayuda, quien lo ingresa en el sistema. Si el código es correcto, el técnico tiene la posibilidad de restablecer la contraseña de la cuenta.
También vale la pena señalar que Specops Secure Service Desk se alinea perfectamente con las iniciativas de confianza cero, ya que las personas que llaman al servicio de asistencia que solicitan un restablecimiento de contraseña se tratan como no confiables hasta que se confirma su identidad. Puede probar Specops Secure Service Desk de forma gratuita en su Active Directory aquí.