Las soluciones de gestión de acceso privilegiado (PAM) se consideran la práctica común para evitar amenazas de identidad a las cuentas administrativas. En teoría, el concepto de PAM tiene mucho sentido: coloque las credenciales de administrador en una bóveda, rote sus contraseñas y supervise de cerca sus sesiones. Sin embargo, la dura realidad es que la gran mayoría de los proyectos PAM se convierten en proyectos de años o incluso se detienen por completo, lo que les impide entregar el valor de seguridad prometido.
En este artículo, exploramos lo que hace las cuentas de servicio son un obstáculo clave en la incorporación de PAM. Aprenderemos por qué el almacenamiento y la rotación de contraseñas de las cuentas de servicio son una tarea casi imposible, lo que las deja expuestas a compromisos. Luego, concluiremos con la presentación de cómo Silverfort permite a los equipos de identidad, por primera vez, superar estos desafíos con el descubrimiento, el monitoreo y la protección automatizados de las cuentas de servicio, y agilizar el proceso de incorporación de PAM en solo unas semanas.
La promesa PAM: protección para todos los usuarios administrativos
El concepto de PAM es extremadamente simple. Dado que los adversarios buscan comprometer las credenciales de administrador para emplearlas para el acceso malicioso, lo más natural es poner obstáculos en sus intentos de lograr este compromiso. PAM proporciona una capa de seguridad adicional que incluye tanto el monitoreo cercano de las conexiones de administrador a través de la grabación de la sesión como, lo que es más importante, una capa de prevención proactiva en forma de bóveda de credenciales de administrador y sujetarlas a una rotación periódica de contraseñas. Esto reduce en gran medida el riesgo de un ataque exitoso, porque incluso si un adversario logra comprometer las credenciales de administrador, la rotación de contraseñas las invalidaría cuando intente usarlas para acceder a los recursos específicos.
Así que en teoría, todo está bien.
Crear políticas de MFA de fácil implementación para todas sus cuentas privilegiadas es la única forma de garantizar que no se vean comprometidas. Sin necesidad de personalizaciones o dependencias de segmentación de red, puede estar en funcionamiento en cuestión de minutos con Silverfort. Descubra cómo proteger sus cuentas privilegiadas de compromisos de forma rápida y sin inconvenientes con políticas de acceso adaptables que imponen la protección MFA en todos los recursos locales y en la nube en la actualidad.
La realidad de PAM: proceso de incorporación largo y complejo que puede tardar años en completarse
Sin embargo, lo que los equipos de identidad y seguridad encuentran en la práctica es que La implementación de soluciones PAM es uno de los procesos que más recursos consume. El hecho es que muy pocos proyectos PAM llegan al máximo para lograr el objetivo de proteger todas las cuentas administrativas dentro del medio ambiente. Lo que suele suceder en cambio es que los desafíos ocurren tarde o temprano, sin una solución fácil. En el mejor de los casos, estos desafíos solo ralentizan el proceso de incorporación y lo prolongan durante meses o incluso años. En el peor de los casos, detienen todo el proyecto. De esa manera o de la otra las implicaciones son graves. Además de las grandes inversiones de tiempo y esfuerzo, no se logra el objetivo principal de PAM y las cuentas de administrador no obtienen la protección que necesitan.
Si bien existen varias razones para las dificultades que presenta la implementación de PAM, la más destacada se refiere a la protección de las cuentas de servicio..
Resumen de cuentas de servicio: cuentas privilegiadas para conexión de máquina a máquina
Las cuentas de servicio son cuentas de usuario que se crean para la comunicación de máquina a máquina. Se crean de dos maneras principales. El primero, es el personal de TI que los crea para automatizar tareas repetitivas de monitoreo, higiene y mantenimiento en lugar de realizarlas manualmente. La segunda forma es como parte de la implementación de un producto de software en el entorno empresarial. Por ejemplo, la implementación de un servidor de Outlook Exchange implica la creación de varias cuentas que realizan análisis, actualización de software y otras tareas que involucran una conexión entre el servidor de Exchange y otras máquinas en el entorno.
De esa manera o de la otra, una cuenta de servicio típica debe tener muchos privilegios para poder establecer la conexión de máquina a máquina para la que se creó. Esto significa que no es diferente a cualquier cuenta de administrador humano en la protección que requiere. Desafortunadamente, incorporar una cuenta de servicio a una solución PAM es una tarea casi imposiblelo que los convierte en el mayor obstáculo para la implementación exitosa de PAM.
La brecha de visibilidad: no existe una manera fácil de descubrir cuentas de servicio o mapear sus actividades
Sucede que no hay una manera fácil de obtener visibilidad del inventario de las cuentas de servicio. De hecho, en la mayoría de los entornos no se puede saber el número total de cuentas de servicio a menos que se haya practicado un estricto control y documentación de la creación, asignación y eliminación de cuentas de servicio a lo largo de los años, lo que difícilmente es una práctica común. Esto significa que el descubrimiento completo de todas las cuentas de servicio en un entorno solo se puede lograr con un esfuerzo de descubrimiento manual significativo, que está fuera del alcance de la mayoría de los equipos de identidad.
Además, incluso si se resuelve el desafío del descubrimiento, aún queda un desafío más grave que sigue sin abordarse, que es mapear el propósito de cada cuenta y sus dependencias resultantes, es decir, los procesos o aplicaciones que admite y administra esta cuenta. Esto resulta ser un importante bloqueador de PAM. Entendamos por qué es eso.
La implicación de PAM: la rotación de la contraseña de la cuenta de servicio sin visibilidad de su actividad puede interrumpir los procesos que administra
La forma típica en que las cuentas de servicio se conectan a diferentes máquinas para realizar su tarea es con un script que contiene los nombres de las máquinas a las que conectarse, los comandos reales para ejecutar en estas máquinas y, lo que es más importante, el nombre de usuario y la contraseña de la cuenta de servicio que se utilizan para autenticarse en estas máquinas. El conflicto con la incorporación de PAM ocurre porque mientras PAM rota la contraseña de la cuenta de servicio dentro de la bóveda, no hay forma de actualizar automáticamente la contraseña codificada en el script para que coincida con la nueva que ha generado PAM. Por lo tanto, la primera vez que se ejecute el script después de la rotación, la cuenta de servicio intentará autenticarse con la contraseña anterior, que ya no es válida. La autenticación fallará y la tarea que se suponía que debía realizar la cuenta de servicio nunca sucederá, lo que interrumpirá también cualquier otro proceso o aplicación que dependa de esta tarea. El efecto dominó y el daño potencial son claros.
La trampa de las cuentas de servicio PAM: atrapadas en el medio con preocupaciones operativas y de seguridad
De hecho, la mayoría de los equipos de identidad, teniendo en cuenta este riesgo, evitarán por completo las cuentas de servicio de bóveda. Y ese es exactamente el callejón sin salida: almacenar cuentas de servicio crea un riesgo operativo, mientras que no almacenarlas crea un riesgo de seguridad no menor. Lamentablemente, hasta ahora no ha habido una respuesta fácil a este dilema. Esta es la razón por la cual las cuentas de servicio son un inhibidor tan grande para la incorporación de PAM. La única forma de satisfacer los requisitos operativos y de seguridad es realizar un esfuerzo manual meticuloso para descubrir todas las cuentas de servicio, los scripts que las utilizan y las tareas y aplicaciones que realizan. Esta es una misión gigantesca y la razón principal de los meses e incluso años de duración del proceso de incorporación de PAM.
Superar el desafío con el descubrimiento y el mapeo de actividades de cuentas de servicio automatizado
La raíz del problema es la falta tradicional de una utilidad que pueda filtrar fácilmente todas las cuentas de servicio y producir un resultado de sus actividades. Este es el desafío que Silverfort pretende simplificar y resolver.
Silverfort es pionera en la primera plataforma de protección de identidad unificada que se integra de forma nativa con Active Directory para monitorear, analizar y aplicar una política de acceso activa en todas las cuentas de usuario y recursos en el entorno de AD. Con esta integración en su lugar, AD reenvía todos los intentos de acceso entrantes a Silverfort para el análisis de riesgos y espera su veredicto sobre si concede o deniega el acceso.
Aprovechando esta visibilidad y análisis de todas las autenticaciones, Silverfort puede detectar fácilmente todas las cuentas que presentan el comportamiento repetitivo y determinista que caracteriza a las cuentas de servicio. Silverfort produce una lista detallada de todas las cuentas de servicio dentro del entorno, incluido su nivel de privilegio, fuentes, destinos y volumen de actividad..
Con esa información disponible, los equipos de identidad pueden identificar fácilmente las dependencias y aplicaciones de cada cuenta de servicio, ubicar los scripts que la ejecutan y tomar una decisión informada con respecto a las cuentas de servicio y elegir una de las siguientes:
- Colocar en la bóveda y rotar contraseñas: en ese caso, la visibilidad recién ganada facilita la realización de los ajustes necesarios en los scripts respectivos para garantizar que las contraseñas que contienen se actualicen de acuerdo con la rotación de contraseñas de la bóveda.
- Colocar en bóveda sin rotación y proteger con una póliza de Silverfort: a veces, el volumen de uso de una cuenta de servicio haría que la actualización continua fuera demasiado difícil de mantener. En ese caso, se evitaría la rotación de contraseñas. El equipo de identidad utilizará en su lugar una política generada automáticamente por Silverfort para proteger la cuenta de servicio, alertando o bloqueando su acceso cuando se detecta una desviación de su comportamiento normal.
De esa manera, Silverfort reduce el proceso de incorporación de PAM a solo semanas, lo que lo convierte en una tarea factible incluso para un entorno con cientos de cuentas de servicio.
¿Tiene dificultades para poner en marcha sus proyectos PAM? Obtenga más información sobre cómo Silverfort puede ayudar a acelerar los proyectos PAM aquí.