En el mundo de las TI, los privilegios tienen un gran peso y un riesgo igualmente importante. Los equipos de TI y seguridad son responsables de mantener el negocio en movimiento y seguro, pero para ello necesitan acceder a sistemas y procesos críticos. La mayoría de los usuarios empresariales tienen un conjunto limitado de privilegios, como la navegación por Internet y el uso de ciertas aplicaciones (es decir, Office 365, Salesforce, etc.), pero a menudo son los pocos poderosos, las cuentas y los usuarios privilegiados, los que pueden causar el mayor daño.
Los usuarios y cuentas con privilegios tienen acceso a sistemas y procesos críticos para la empresa. Por ejemplo, piense en todas sus cuentas de administrador local, administrador de dominio o AD y cuentas de aplicaciones. El uso indebido, el abuso o el compromiso de las credenciales de estas cuentas privilegiadas puede tener consecuencias desastrosas. Los usuarios de la empresa pueden tener muchos más privilegios de los que necesitan, lo que crea una gran superficie de ataque involuntaria. Las cuentas y contraseñas compartidas también suponen un grave riesgo, especialmente entre los equipos de TI y de seguridad.
Según un Informe Ponemon de 2019, el 69% de los encuestados de empresas "admite compartir contraseñas con sus colegas en el lugar de trabajo para acceder a cuentas, y más de la mitad de los encuestados (51%) reutiliza un promedio de cinco contraseñas en sus cuentas empresariales y/o personales."
No es el primer estudio que muestra la misma tendencia en las prácticas de seguridad. De hecho, también sabemos que la mayoría de las contraseñas compuestas por particulares pueden descifrarse con tiempo y recursos suficientes, debido a su falta de complejidad o a su longitud limitada. Por supuesto, este comportamiento conduce inevitablemente a un aumento de las cuentas comprometidas por piratas informáticos, simples errores de los usuarios o incluso por personas con información privilegiada.
Un método para resolver el problema es la autenticación multifactor (MFA) o de dos factores (2FA), pero los bajos índices de adopción implican que el uso compartido de credenciales y las contraseñas débiles siguen siendo un problema generalizado. Una explicación es que la 2FA no se presta bien a la automatización empresarial. Muchos flujos de trabajo, como la puesta en marcha de un nuevo servidor, se han convertido en un proceso automatizado que se inicia con una solicitud o pulsando un botón. Este proceso simplemente no es eficaz si se requiere que un administrador participe en el proceso de autenticación de dos factores en el momento de la solicitud.
Acceder a la gestión de acceso privilegiado (PAM)
A alto nivel, una solución PAM ayuda a las organizaciones a ganar visibilidad y control sobre sus cuentas y usuarios privilegiados. Les permite gestionar y supervisar de forma segura el acceso privilegiado para reducir la superficie de ataque potencial, demostrar el cumplimiento y evitar amenazas conocidas, como escaladas de privilegios no autorizadas, ataques Pass-the-Hash y Pass-the-Ticket. También es posible alcanzar estos objetivos sin obstaculizar los flujos de trabajo automatizados mediante la integración directa con las aplicaciones para proporcionar acceso a sus credenciales requeridas, sin necesidad de involucrar a los administradores.
No es ninguna sorpresa que la gestión de accesos privilegiados haya encabezado la lista de los 10 principales proyectos de seguridad informática recomendados por Gartner durante los dos últimos años consecutivos. Pero, ¿qué lugar ocupa PAM en su infraestructura de clave pública (PKI)? ¿Y cómo permite Keyfactor una automatización segura? Unamos las piezas.
¿Qué lugar ocupa PAM en PKI?
PKI, como su nombre indica, es algo más que los certificados digitales que utiliza para proteger sus servidores web y de aplicaciones (y cosas por el estilo): es un ecosistema o "infraestructura" de autoridades de certificación (CA), hardware y software subyacentes, personas y políticas y, por supuesto, los dispositivos, usuarios y aplicaciones que consumen los certificados. Si se utilizan credenciales débiles o prácticas de intercambio de contraseñas en cualquiera de estos componentes, es muy posible que tu infraestructura PKI, y más concretamente tus claves privadas, estén en peligro.
Las operaciones de renovación, sustitución y rotación de claves suelen requerir acceso privilegiado a los almacenes de claves y certificados de su infraestructura, como F5 BIG-IP, Amazon Web Services (AWS), Azure KeyVault y Java Key Stores (JKS). Almacenar o compartir estas credenciales privilegiadas fuera de la bóveda de contraseñas de la empresa supone un reto de seguridad, pero implicar a los administradores para que recuperen manualmente estas credenciales también es arriesgado y nada automatizable.
Keyfactor Integración de PAM
Keyfactor anteriormente se requería acceso directo a las credenciales de cuentas privilegiadas para realizar tareas de automatización de claves y ciclo de vida. Todo esto ha cambiado con Keyfactor 7. Keyfactor ahora puede recuperar automáticamente las credenciales de su solución PAM para permitir la automatización segura de claves y certificados.
En otras palabras, los administradores de PKI no necesitan guardar credenciales privilegiadas para los almacenes de claves y certificados en las aplicaciones de Keyfactor Command o Keyfactor Control. En su lugar, proporcionan a Keyfactor la información necesaria para acceder a cualquier almacén, autorizan al servidor Keyfactor a recuperar las credenciales necesarias y las utilizan para llevar sus certificados a donde deben ir. De esta forma, todas las operaciones del ciclo de vida de los certificados y las claves están sujetas a las mismas políticas y prácticas establecidas para el resto de cuentas privilegiadas de tu infraestructura.
Esto permite una verdadera comunicación de máquina a máquina al automatizar la recuperación de la contraseña necesaria para acceder al almacén de claves o certificados desde su solución PAM, sin ninguna intervención humana. Además, si dispone de un proceso para rotar la contraseña de sus almacenes después de acceder a ellos a través de su solución PAM, Keyfactor utilizará automáticamente la nueva contraseña la próxima vez que se necesite acceder al almacén, sin que sea necesaria ninguna actualización por parte del administrador de la PKI. Esto le permite obtener todos los beneficios de una infraestructura automatizada y asegurar sus almacenes de claves y claves privadas, todo a la vez.
¿Desea obtener más información? Consulte Keyfactor Command en CyberArk Marketplace o vea una presentación y demostración de 15 minutos.