Continuamos con las mejores prácticas para la gestión de identidades y accesos que empezamos en el artículo Mejores prácticas para la gestión de identidades y accesos – cloud-riders.ES (cloudriders.es).
Las organizaciones están sujetas a ataques de una amplia gama de fuentes de amenazas, incluidos estados nacionales, grupos terroristas, crimen organizado, hacktivistas e individuos que buscan dañar o avergonzar a una organización.
Además, las organizaciones están sujetas a ataques en los que un usuario de confianza es la fuente del compromiso (por ejemplo, una amenaza interna).
El espectro de fuentes de amenazas varía enormemente en capacidades, motivaciones y métodos.
Por ejemplo, los actores del Estado-nación tienen recursos importantes y pueden establecer planes a largo plazo para obtener acceso a recursos críticos.
También pueden utilizar métodos indirectos, como explotar la cadena de suministro.
La explotación de vulnerabilidades conocidas de IAM podría permitir a un mal actor el mismo acceso a los recursos que a los usuarios legítimos al imitar la actividad legítima, lo que complica la detección del mal actor.
Esto proporciona al malhechor más tiempo para obtener acceso a los recursos y elevar los privilegios para obtener un acceso persistente.
Por ejemplo, una alerta CISA reciente (AA21-321A) demostró que los actores de amenazas persistentes avanzadas (APT) patrocinados por el gobierno iraní están apuntando activamente a una amplia gama de víctimas en múltiples sectores de infraestructura crítica de EEUU al explotar las vulnerabilidades de IAM para comprometer credenciales, escalar privilegios y establecer nuevas cuentas de usuario en controladores de dominio, servidores, estaciones de trabajo, y en directorios responsables de autenticar y autorizar usuarios y dispositivos.
Estos actores podrían aprovechar este acceso para operaciones posteriores, como exfiltración o cifrado de datos, ransomware y extorsión.
Además, la explotación de la tecnología de inicio de sesión único (SSO) (un componente de IAM) se está convirtiendo en un vector de ataque más frecuente.
Los malos actores intentan explotar las funciones de SSO con la esperanza de obtener fácilmente acceso a recursos protegidos en todo el sistema y/u organización.
Varios ejemplos que muestran el impacto del compromiso SSO incluyen:
- En septiembre de 2021, Palo Alto Networks reveló atacantes que explotan un Vulnerabilidad en la solución SSO ManageEngine ADSelfService Plus de Zoho.
- Se observó a los actores implementando puertas traseras y herramientas de robo de credenciales para mantener acceso a las redes de la víctima, incluidas entidades de infraestructura crítica.
- El compromiso de SolarWinds destacó el riesgo de explotación de SSO.
Técnicas de mitigación de amenazas de IAM:
Las mejores prácticas y mitigaciones analizadas en este documento proporcionan tácticas que ayudan a contrarrestar las amenazas a IAM mediante la disuasión, la prevención, la detección, la limitación de daños y la respuesta.
Específicamente, este documento identifica las mejores prácticas relacionadas con:
- Gobernanza de identidad: orquestación centralizada basada en políticas de gestión de identidades de usuarios y control de acceso y ayuda a respaldar la seguridad de TI empresarial y el cumplimiento normativo.
- Endurecimiento ambiental: hace más difícil que un mal actor tenga éxito en un ataque.
- Federación de identidades e inicio de sesión único: La federación de identidades entre organizaciones aborda las necesidades de interoperabilidad y asociación de manera centralizada. SSO permite la gestión centralizada de la autenticación y el acceso, lo que permite mejores opciones de respuesta y detección de amenazas.
- Autenticación multifactor: utiliza más de un factor en el proceso de autenticación, lo que dificulta el acceso de un mal actor.
- Monitoreo y auditoría de IAM: define el comportamiento aceptable y esperado y luego genera, recopila y analiza registros para proporcionar los mejores medios para detectar actividades sospechosas.
Gobernanza de identidad:
El gobierno de la identidad es el proceso mediante el cual una organización centraliza la orquestación de la gestión de sus cuentas de servicio y usuarios de acuerdo con sus políticas.
El gobierno de identidad proporciona a las organizaciones una mejor visibilidad de las identidades y los privilegios de acceso, junto con mejores controles para detectar y prevenir el acceso inadecuado.
Se compone de un conjunto de procesos y políticas que cubren la segregación de funciones, gestión de roles, registro, revisión de acceso, análisis e informes.
Las soluciones de gobierno de identidad pueden gestionar todo el ciclo de vida de identidad y acceso de la fuerza laboral de una organización. Los eventos más críticos del ciclo de vida a menudo se denominan eventos «Unirse, Mover y Salir» (JML):
- Unirse: cuando un nuevo empleado o contratista se une a la organización, la solución de gobierno de identidad puede recopilar datos biográficos, relacionados con el puesto y de credenciales (como certificaciones o autorizaciones profesionales) de los sistemas de contratación, gestión del capital humano y seguridad del personal para construir una identidad. registro para el individuo. Los sistemas de gobierno de identidad pueden utilizar estos datos para crear automáticamente cuentas en directorios y aplicaciones con derechos basados en los datos recopilados.
- Mover: cuando cambia el rol de un individuo en la organización, un sistema de gobierno de identidad puede automatizar la concesión de derechos adicionales necesarios para su nuevo rol, así como la eliminación de derechos que ya no son necesarios. Sin una gestión adecuada de los eventos Move, los usuarios a largo plazo tienden a acumular privilegios a medida que cambian sus roles, lo que aumenta el impacto potencial del abuso interno o la apropiación de cuentas.
- Dejar: cuando los usuarios se separan de una organización por jubilación, rescisión o vencimiento del contrato, sus cuentas y privilegios deben cancelarse de inmediato. Los sistemas de gobierno de identidad pueden automatizar la desactivación y eliminación de cuentas en respuesta a acciones de separación en sistemas de gestión de capital humano u otros sistemas de personal. Los sistemas de gobierno de identidad también proporcionan un registro de cuentas y privilegios asociados con el individuo, asegurando que el acceso se elimine por completo.
Las soluciones de gobierno de identidad implementan políticas de gobierno utilizando herramientas de orquestación diseñadas para vincular personas, aplicaciones, datos y dispositivos, y permiten a los clientes determinar quién tiene acceso a qué, qué tipo de riesgo representa y tomar medidas en situaciones en las que se identifican violaciones de políticas.
Proporcionan una visión integral de una las prácticas de gestión de identidades de la organización e identificar brechas en el ciclo de vida de la gestión de identidades.
Este control y visibilidad centralizados ayudan a mitigar el riesgo de que las identidades y los privilegios se administren mal, así como el riesgo de que los atacantes puedan explotar diferentes sistemas dentro de la organización sin ser detectados.
Además, los sistemas de gobierno de identidad mantienen un inventario de cuentas activas y privilegios que existen actualmente en sistemas y aplicaciones, lo que permite el seguimiento y el análisis.
Los eventos de creación y modificación de cuentas se pueden revisar y correlacionar con las solicitudes de acceso aprobadas.
Se pueden crear reglas de políticas para la segregación de requisitos de tareas, lo que permite a los administradores identificar y eliminar combinaciones de privilegios asignados a individuos que no cumplan con los requisitos.
El análisis de riesgos automatizado puede identificar personas de alto riesgo para que se puedan tomar las mitigaciones adecuadas, como reasignar privilegios o monitorear de forma elevada las cuentas de esos usuarios.
El inventario de acceso también permite a los propietarios de aplicaciones y datos revisar y conciliar periódicamente cuentas y privilegios.
En conjunto, estos procesos respaldan el principio de privilegios mínimos, lo que garantiza que los usuarios tengan solo los privilegios necesarios para sus funciones laborales.
Además, la gestión de las cuentas del sistema y de las aplicaciones también es fundamental.
Los sistemas de gobierno de identidad pueden monitorear y administrar la creación, modificación y eliminación de estas cuentas para garantizar que solo se creen y se les otorguen privilegios en respuesta a solicitudes de cambio aprobadas y documentadas.
Las políticas de derechos, el monitoreo, el análisis de riesgos y los procesos de conciliación de acceso aplicados a las cuentas de usuario como se describe anteriormente también pueden garantizar que las cuentas del sistema se administren de acuerdo con el privilegio mínimo.
La gobernanza de identidad eficaz puede mitigar los impactos de muchas amenazas prevalentes de IAM:
- Phishing, phishing selectivo o ingeniería social: El gobierno de la identidad no puede prevenir directamente estos ataques, pero puede reducir el impacto potencial de comprometer la cuenta de usuario utilizando estas técnicas. Una cuenta comprometida con privilegios excesivos puede causar más daño que otra cuyos privilegios están contenidos. Además, los controles de segregación de funciones aplicados a través del gobierno de identidad pueden garantizar que comprometer una sola cuenta no proporcione acceso a procesos y datos comerciales clave.
- Amenazas internas: Al igual que con el phishing y otras amenazas de compromiso de cuentas, la gobernanza de la identidad no puede evitar que personas internas abusen de sus privilegios, pero puede reducir el impacto cuando estos eventos ocurren si no tienen privilegios excesivos.
•Crear cuentas para mantener la persistencia: Los atacantes que comprometen cuentas privilegiadas pueden intentar crear cuentas de usuario adicionales para mantener el acceso a un sistema incluso si las cuentas inicialmente comprometidas son revocadas o deshabilitadas. Los sistemas de gobierno de identidad monitorean la creación de cuentas y pueden ayudar a una organización a identificar la creación de cuentas no autorizadas.
Las cuentas privilegiadas requieren supervisión y control adicionales y deben administrarse por separado mediante una solución de gestión de acceso privilegiado (PAM) con una sólida gobernanza de identidad.
Las soluciones PAM modernas incluyen capacidades avanzadas como el aprovisionamiento justo a tiempo, en el que a los usuarios se les otorga acceso privilegiado temporalmente para completar una tarea específica o resolver un problema.
Esto respalda aún más el principio de privilegio mínimo y reduce la cantidad de cuentas privilegiadas a las que podría apuntar un atacante.
Endurecimiento ambiental:
Fortalecer el entorno empresarial incluye garantizar que las bases y las implementaciones de IAM sean suficientemente seguras y confiables.
El grado de endurecimiento variará dependiendo de lo que se esté protegiendo.
Por ejemplo, los sistemas de emisión de credenciales para certificados digitales criptográficos o almacenes de contraseñas son más críticos ya que aseguran la autenticación de organizaciones enteras.
La implementación de mecanismos criptográficos también debe ser suficiente para proporcionar el nivel de seguridad asumido y necesario por el sistema.
El refuerzo ambiental protege los componentes de hardware y el software en el entorno empresarial en torno a la solución IAM.
Una defensa es tan buena como su componente más débil.
Por lo tanto, al implementar una solución IAM, es importante incluir la protección de los demás servicios involucrados.
La combinación de las mejores prácticas de fortalecimiento ambiental (por ejemplo, parches, gestión de activos y segmentación de redes) con bases e implementaciones sólidas de IAM reduce la probabilidad de un compromiso y limita los daños potenciales.
El endurecimiento ambiental generalmente dificulta que un mal actor explote los componentes y el software de IAM.
Los malos actores apuntan a las soluciones IAM porque pueden proporcionar acceso a una cantidad significativa de datos confidenciales, permiten la persistencia y se pueden utilizar para futuras operaciones cibernéticas maliciosas. Los componentes de la solución IAM deben reforzarse para evitar que los atacantes accedan a sistemas más críticos.
Continuamos en siguientes artículos.
Un saludo