La mejor forma de gestionar claves SSH

El protocolo Secure Shell (SSH ) es muy utilizado por los administradores de sistemas, ya que proporciona una forma segura de acceder a sistemas, dispositivos y datos críticos remotos a través de una red no segura. Sin embargo, su uso generalizado y el acceso privilegiado suscitan la pregunta: "¿cuál es la mejor forma de gestionar las claves SSH?".

Con la proliferación de tecnologías emergentes como IoT y la nube, la importancia de las claves SSH ha aumentado drásticamente. Estas claves se utilizan ahora en todas las organizaciones, no solo para permitir el acceso remoto seguro, sino también para proteger las sesiones entre máquinas en entornos altamente automatizados.

¿Quiere saltarse el blog y escuchar a los expertos? Haga clic en "Registrarse" para participar en nuestro seminario web sobre los riesgos de la proliferación de claves SSH y las mejores prácticas para recuperar el control.

Sin embargo, las claves SSH mal gestionadas amplían rápidamente la superficie de ataque de una organización y crean oportunidades de compromiso para los actores maliciosos. Como los ciberdelincuentes buscan cada vez más claves SSH para aprovechar el acceso de confianza que proporcionan, el riesgo de ataque es alto.

Incluso una sola clave es suficiente para que los atacantes obtengan acceso privilegiado no detectado a sistemas y datos críticos. Una vez comprometidos, pueden moverse lateralmente dentro de la organización, encontrar claves adicionales, eludir los controles de seguridad para inyectar datos fraudulentos, subvertir el cifrado software, instalar malware persistente o incluso destruir sistemas.

Las recientes campañas coordinadas de malware y redes de bots a gran escala (por ejemplo, TrickBot, FritxFrog, Lemon_Duck, etc.) son señales de advertencia de la amenaza real que suponen las claves SSH mal utilizadas en el panorama de la seguridad.

Hubo un tiempo en que las claves SSH mal gestionadas podían pasar desapercibidas. Sin embargo, hoy en día los reguladores están mucho más preocupados que nunca por el acceso privilegiado y la gestión de claves. Cualquier paso en falso puede conducir a un acceso que viole los mandatos de cumplimiento como PCI DSS, HIPAA, GDPR, CCPA o NIST 800-53. Todas estas normativas exigen controlar quién puede acceder a qué sistemas y datos.

Por lo tanto, es imperativo mantener normas sólidas y mejores prácticas para asegurar las claves SSH. El NIST ha publicado el informe NISTIR 7966, que ofrece orientación a las organizaciones y empresas sobre los controles de seguridad adecuados para las implementaciones de SSH. Las recomendaciones del NIST hacen hincapié en el inventario de claves SSH, la identificación de vulnerabilidades, la corrección de riesgos, la supervisión continua y, por supuesto, la rotación de claves.

Antes de profundizar en la mejor forma de gestionar las claves SSH, es importante destacar dos cuestiones.

En primer lugar, estas prácticas serán ineficaces si no están respaldadas por políticas claras que consoliden los requisitos operativos y de seguridad. Esto significa abordar las implantaciones de SSH existentes y garantizar que las nuevas implantaciones de SSH se desplieguen y rastreen adecuadamente.

En segundo lugar, asegurar las claves SSH significa automatizar todos los procesos relacionados. Con el gran número de claves SSH que poseen las organizaciones, los procesos manuales son inviables. Todos los procesos relacionados con la gestión de claves SSH pueden optimizarse automatizando el ciclo de vida de las claves SSH. Y lo que es más importante, la automatización puede mejorar significativamente la seguridad, la eficiencia y la disponibilidad.

Ahora, examinemos las mejores formas de gestionar claves SSH.

Muchas organizaciones tienen miles de claves SSH desconocidas y sin rastrear que dan acceso a sistemas de misión crítica. Las claves heredadas y huérfanas existentes suponen un riesgo sustancial para la seguridad, difícil de mitigar si no se descubren e inventarian.

Descubrir sus claves SSH significa crear un inventario de la ubicación de cada par de claves SSH y sus relaciones de confianza. A continuación, el inventario debe evaluarse con respecto a las políticas de seguridad corporativas definidas. Además, las claves SSH inventariadas deben asignarse a sus propietarios.

Mapear todas las relaciones de confianza que resultan de las claves de identidad desplegadas y que requieren la revisión, y aprobación de sus propietarios, es una parte crucial del proceso de inventario. Si no se comprenden correctamente, estas cadenas de confianza pueden ser utilizadas por los delincuentes para infiltrarse y pasar desapercibidos entre los sistemas.

Cualquier clave identificada que no haya sido aprobada podría ser un indicio de una puerta trasera dejada por un atacante y debería ser eliminada inmediatamente.

El siguiente paso para establecer una implementación segura de SSH es identificar cualquier debilidad y vulnerabilidad en el esquema existente. Por lo tanto, las organizaciones deben realizar una auditoría exhaustiva de sus procesos y procedimientos existentes de gestión de claves SSH.

Las vulnerabilidades en la implementación de SSH pueden ser desde debilidades en la configuración (uso de algoritmos de encriptación débiles) hasta claves con acceso root innecesario. Estas vulnerabilidades pueden explotarse fácilmente para obtener acceso no autorizado a los sistemas corporativos.

Además, la auditoría debe identificar cualquier control de acceso mal configurado. Estos controles suelen configurarse a través de una plataforma de Gestión de Identidades y Accesos (IAM) o de Gestión de Acceso a Privilegios (PAM) y son un potente activo para cualquier programa de seguridad.

Sin embargo, unos controles de acceso mal configurados pueden permitir el acceso SSH a cuentas con privilegios elevados o el acceso no autorizado a otras cuentas.

Por último, la auditoría debe descubrir cualquier clave no utilizada que permanezca latente en la estructura de la organización a la espera de ser explotada. Crear una clave de "puerta trasera" y añadirla al archivo de claves autorizadas podría permitir a un atacante eludir cualquier sistema de gestión de accesos privilegiados.

La corrección es importante para cerrar las brechas y asegurar su organización contra cualquier atacante que busque explotar sus claves SSH vulnerables para causar estragos.

Además, es necesario remediar la situación para cumplir la normativa. Todas las normativas de seguridad y privacidad exigen transparencia y responsabilidad a la hora de proteger sistemas y datos sensibles. Identificar a los usuarios autorizados y sus derechos de acceso, aplicar el principio del mínimo privilegio y gestionar las claves autorizadas son requisitos predominantes.

El plan de corrección puede llevar bastante tiempo y suponer un esfuerzo considerable, pero es fundamental para la seguridad y el cumplimiento de la normativa. El proyecto podría incluir las siguientes acciones, en función de las conclusiones del inventario de claves y la identificación de vulnerabilidades:

• Elimine las claves huérfanas, ya que pueden ser "claves de puerta trasera".
• Elimine las claves de identidad duplicadas para reducir la superficie de ataque.
• Asegúrese de que todas las claves de identidad interactivas están protegidas con una frase de contraseña.
• Sustituya todas las claves que no cumplan las normas del sector en cuanto a longitud de clave y algoritmo de cifrado.
• Asignar propietarios (aplicaciones, procesos de negocio, individuos) para todas las claves que conceden acceso a los servidores.
• Supervise los datos de registro para determinar qué claves no se están utilizando y elimine las que no estén aprobadas para su conservación.

El propósito de la monitorización continua es asegurar que todas las políticas establecidas de gestión del ciclo de vida de las claves SSH son seguidas y aplicadas. La supervisión también es importante para detectar accesos no autorizados realizados como parte de una actividad delictiva utilizando claves de puerta trasera.

He aquí algunos ejemplos de lo que hay que buscar:

• Detectar claves SSH legítimas que no se estén utilizando y proponer su eliminación para remediar las concesiones de acceso innecesarias.
• Detectar y supervisar las conexiones desde ubicaciones remotas y garantizar que están debidamente aprobadas.
• Detectar conexiones que utilicen una clave autorizada desde hosts no aprobados, con credenciales potencialmente comprometidas.
• Identificar las claves que se utilizan desde fuera del entorno gestionado como "claves externas" que requieren rotación manual.

Cualquier desviación de la configuración SSH aprobada debe identificarse en un cuadro de mandos o informe para iniciar acciones correctoras.

Por último, la mejor forma de gestionar las claves SSH debe incluir la rotación de claves para minimizar los riesgos de credenciales robadas o comprometidas. La vida útil de las claves SSH debe ser limitada y las claves deben rotarse en un ciclo definido.

El ciclo de claves debe estar claramente definido y ajustarse a las políticas corporativas de seguridad y auditoría. Además, los propietarios de claves no deben permitir el uso de la misma contraseña en varias cuentas.

Durante la rotación, se generan nuevas claves y se intercambian con las antiguas, mientras que las que no se utilizan se eliminan. Este cambio constante de claves reduce las posibilidades de que se utilicen claves comprometidas para acceder a los servidores remotos. La rotación de claves también es necesaria para cuestiones administrativas cuando los propietarios de las claves rotan a otras funciones o abandonan la organización.

La rotación de claves debe realizarse antes de que finalice un "periodo criptográfico" preconfigurado. Es importante asegurarse de que todas las claves nuevas o rotadas se desplieguen automáticamente en los servidores en función de las políticas de acceso controladas por el equipo de seguridad. Una consola de autoservicio puede simplificar el proceso para los administradores de sistemas, al tiempo que automatiza el despliegue de backend, lo que les permite actuar con rapidez sin dejar de cumplir los requisitos de seguridad.

La clave para una estrategia eficaz de gestión del ciclo de vida de las claves SSH es automatizar y agilizar los procesos existentes. La automatización no sólo asegura su implementación de SSH, minimizando los riesgos de una mala gestión, sino que también elimina de la ecuación los procedimientos manuales propensos a errores. En las grandes organizaciones que poseen miles de claves SSH, la gestión manual es simplemente inviable.

¿Listo para implementar una nueva estrategia de gestión de claves SSH y prevenir el riesgo de dispersión de claves SSH en nuestra organización? Regístrese en nuestro próximo seminario web - Ghost Hunt: Cómo encontrar y gestionar sus claves SSH.