Cuenta la mitología griega que cuando Aquiles nació se predijo que moriría en una batalla, por lo que su madre lo baño en un río que le daría el poder de ser invencible, pero como lo sostuvo del talón al sumergirlo, esa parte de su cuerpo no fue tocada por el agua. Aquiles peleó y sobrevivió muchas batallas grandiosas, pero un día una flecha envenenada dio justo en el talón, causándole la muerte.

Cuando pienso en los usuarios privilegiados -mejor conocidos como súperusuarios- siempre viene a mi mente esta historia y no puedo evitar pensar que la falta de gestión de los súperusuarios es el talón de Aquiles de la seguridad.

Derivado de lo anterior, me surgen algunas preguntas: ¿Es que ahora ya no confiamos en los administradores?, ¿hasta dónde se debe confiar en los usuarios privilegiados?, ¿están ocurriendo cambios alrededor de este tema?

En los últimos años nos hemos enfocado con gran dedicación a proteger las diversas capas de infraestructura (perimetral, red interna, bases de datos, aplicaciones, etcétera) pero no hemos hecho lo mismo con la capa más interna donde precisamente están los administradores de los sistemas. Si  analizamos fríamente, siempre hemos reconocido que las amenazas más importantes y de mayor impacto están en los usuarios internos, sin embargo la prioridad se ha enfocado más a protegerse de los externos porque estos representan un mayor volumen y sus ataques tienen mucha más visibilidad.

Pero, ¿qué riesgos realmente implican los usuarios privilegiados? Antes de responder esta pregunta, recordemos que un usuario privilegiado es aquel que tiene más permisos que cualquier otro usuario, y que si bien los requieren para hacer su trabajo, suelen darle acceso a partes críticas, sensibles o incluso a todo el sistema. Es como tener la combinación de la caja fuerte donde se guardan las joyas de la corona.

De manera general podemos identificar amenazas tales como abuso de privilegios, errores y malas configuraciones (como usar las contraseñas por omisión para las cuentas de administración), las cuales pueden derivar en robo de información, inserción de código malicioso (intencional o no), indisponibilidad de los sistemas, etcétera.

Como resultado de esta problemática, ha surgido un concepto denominado “Gestión de Usuarios Privilegiados”, que durante el último año ha generado más y más interés debido a  cambios en el entorno de los usuarios y de los fabricantes.

Por el lado de los usuarios, en casi todas las organizaciones ahora existe mayor conciencia sobre el tema de seguridad y también hay más conocimiento sobre el riesgo que representan los usuarios privilegiados; en la mayoría se evidencia una gran preocupación por prevenir fugas de información, además de que hay  diversas regulaciones que deben cumplir o estándares que se deciden seguir y que solicitan de manera explícita una adecuada gestión de usuarios privilegiados (por ejemplo la Ley Federal de Protección de Datos Personales en Posesión de Particulares, regulaciones de la CNBV, PCI, SOX, ISO27001, etcétera) .

En lo que se refiere al entorno de los fabricantes, ya se encuentran en el mercado productos para la gestión de usuarios privilegiados que son suficientemente maduros para implementarse en un ambiente de producción.

Bueno y, ¿qué es y para qué sirve la gestión de usuarios privilegiados? Tiene como objetivo permitir que los súperusuarios realicen sus labores cotidianas pero bajo un ambiente controlado, es decir, apegado a las políticas establecidas, monitoreado y auditado.  Consiste en:

  • Controles normativos que incluyen políticas y procedimientos que establezcan claramente quién, qué, cuándo y dónde se pueden usar comandos o permisos de súperusuario, tratando de apegarse a buenas prácticas de seguridad como la segregación de funciones o de privilegio mínimo (least privilege), así como el uso de políticas de contraseñas robustas.
  • Controles tecnológicos y operativos que permitan traducir esas políticas en mecanismos para definir qué comandos y bajo qué condiciones se ejecutan, para monitorear todas las actividades realizadas y para auditar en cualquier momento las acciones tomadas por cualquier administrador.

Estos controles pueden aplicarse a todos los niveles, es decir, a nivel sistema operativo, bases de datos, aplicaciones, equipos de redes e, inclusive, a los propios sistemas de seguridad.

A continuación presento algunas consideraciones a tomar en cuenta para la correcta implementación de una estrategia de gestión de usuarios privilegiados:

  • Iniciar con un análisis de riesgos y determinar realmente en qué situación estamos. Si al hacerlo se considera que existe un riesgo que debe ser atendido, entonces lo mejor es definir una estrategia de mitigación integral.
  • Analizar las cuentas de los usuarios privilegiados para asegurarse de que no estén configuradas con valores por omisión o de fábrica.
  • Asignar los privilegios a las cuentas nombradas caso por caso y con la granularidad especifica que se requiera, de tal forma que se pueda garantizar el principio del mínimo privilegio. Es decir, que los permisos se otorguen cuando la operación privilegiada va a ser ejecutada y que se remuevan cuando ya no se requieran.
  • En caso de sistemas críticos es factible reforzar los sistemas de gestión de usuarios privilegiados con sistemas de autenticación fuerte como los tokens o sistemas OTP (one time password).
  • Considerar la posibilidad de doble control para sistemas sensibles y comandos críticos, de tal forma que una sola persona no pueda ejecutar la transacción completa (principio de segregación de funciones).
  • Asegurarse de que cada operación privilegiada ejecutada se registre en una bitácora que posteriormente pueda ser auditada e, inclusive, ser enviada a un sistema de correlación para un monitoreo de seguridad proactivo.
  • Analizar cómo la estrategia de gestión de usuarios privilegiados se relaciona o integra con la estrategia general de gestión de identidades y accesos (IAM, por sus siglas en inglés) de la organización.

Como conclusión, diremos que para la mayoría de las organizaciones la gestión de usuarios privilegiados es una necesidad clara, sin embargo, pensar en procesos manuales no es un  enfoque adecuado ya que es una actividad sumamente compleja, sensible y que requiere de mucho detalle. Lo mejor es utilizar un enfoque integral soportado por una o más tecnologías específicas.

.

[email protected]