La fortaleza y nivel de control de tus contraseñas determinarán cuán probable es que un atacante cibernético acceda a tu negocio. En esta situación, aplicar las buenas prácticas de la Gestión de Acceso Privilegiado (PAM, en inglés) para fortalecer tus contraseñas es la mejor opción.
A partir de allí, las contraseñas de tu compañía pasan a ser consideradas como privilegiadas. Es decir, una palabra o frase destinada a diferenciar a un usuario o proceso autorizado (con la finalidad de permitir el acceso) de un usuario no autorizado.
En términos más técnicos, las contraseñas privilegiadas son un subconjunto de credenciales que proporcionan acceso elevado y permisiones en cuentas, aplicaciones y sistemas.
De hecho, los accesos privilegiados para la cuenta Raíz en Linux y Unix, y de Administrador en Windows, proporcionan a cualquier usuario de derechos de acceso privilegiado prácticamente ilimitados a los sistemas y datos más críticos de una organización.
Estos son precisamente el tipo de acceso que los hackers buscan a como dé lugar. Es por ello que debes estar preparado y fortalecer tus credenciales a tiempo con la gestión de contraseñas privilegiadas. Acá te mostraremos cómo hacerlo; pero, primero…
¿Cómo evitar que tus contraseñas sean vulneradas?
Antes de ahondar en las ocho mejores prácticas que hemos preparado para ti, queremos mostrarte algunos de los pasos que puedes dar para fortalecer tus contraseñas.
- Incrementa su tamaño a, al menos, 12 caracteres
- Mezcla mayúsculas, minúsculas, números y símbolos
- Hazlas exclusivas, complejas y sin sentido
- No deben contener palabras fácilmente hallados en un diccionario ni una secuencia de letras de un teclado
- Cámbialas frecuentemente en función de la antigüedad de la contraseña, su uso e importancia para la seguridad
- Prohíbe la reutilización de contraseñas para fines personales de trabajo al mismo tiempo
- Busca una nueva contraseña cuando se la facilites a otra persona
Como te lo mencionamos, estas son algunas tácticas que puedes aplicar para fortalecer tus contraseñas. No obstante, la mayoría de los usuarios no las ponen en práctica frecuentemente.
Actualmente, es muy alta la cantidad de contraseñas que un empleado debe recordar para tener acceso a diversas cuentas, sistemas y aplicaciones. Este número puede variar de casi una docena a más de un centenar.
Es por ello que, cuando se trata de las credenciales privilegiadas, las organizaciones enfrentan todavía una serie de desafíos que ponen en riesgo la integridad de sus bienes e información.
Más aún, aunque la automatización de la gestión de contraseñas esté avanzando, la mayoría de las organizaciones todavía dependen, hasta cierto punto, de prácticas manuales/humanas de gestión de las contraseñas.
Algunas técnicas comunes de ataque a contraseñas
Esta situación trae como consecuencia que ataques cibernéticos de diversos tipos tomen lugar. Algunas de las técnicas más utilizadas por ciber-atacantes son:
Ataques de fuerza bruta
Los atacantes prueban millones de combinaciones de contraseñas básicas (en cuestión de segundos) hasta que dan con la indicada y logran acceder a los medios internos de una compañía.
Ataques por diccionario
A diferencia del ataque por fuerza bruta, el atacante trata de adivinar las contraseñas con base en palabras de un diccionario en cualquier idioma.
Los ataques del tipo Pass-the-Hash (PtH)
A través de este método, un hacker es capaz de violar el Single Sign On (SS0) por medio de los protocolos NTLM, Kerberos y de otros protocolos de autenticación. Estos ataques son más comunes en dispositivos Windows.
Ataques del tipo Pass-the-Ticket (PtT) y Golden Ticket
Este tipo de ataques son una variación del PtT y consisten en el robo de la cuenta krbtgt en un controlador de dominio que codifica los tickets que garantizan tickets (TGT).
Ataques a contraseñas con Ingeniería Social
Son mejor conocidos como phishing y spear phishing, e implican engañar a las personas para que revelen informaciones que pueden utilizarse para conseguir acceso.
A través de estos ataques, los hackers buscan aprovecharse de las contraseñas más vulnerables de una compañía. De esta forma, se encargan de explotar los accesos débiles de una organización.
Afortunadamente, existen buenas prácticas para fortalecer tus accesos. Así, podrás evitar que tu compañía permanezca en una posición desventajosa frente a los ciber-atacantes.
¿Qué es la Gestión Contraseñas Privilegiadas de BeyondTrust?
La gestión de contraseñas privilegiadas es un método de seguridad digital creado por BeyondTrust. Su principal función es administrar eficazmente el ciclo de vida de las credenciales privilegiadas.
Asimismo, busca facilitar la autenticación segura para los usuarios, aplicaciones y recursos. También para realizar procesos especiales y garantizar la seguridad en los accesos de tu compañía.
Lo cierto es que la gestión de contraseñas privilegiadas puede llevarse a cabo a partir de ciertas acciones. A continuación te mostramos las ocho mejores prácticas para fortalecer las credenciales de tu compañía.
Buenas prácticas y beneficios de la gestión de contraseñas privilegiadas
Estas soluciones de gestión de contraseñas privilegiadas te proporcionarán recursos automatizados y un flujo de trabajo agilizado durante todo el ciclo de vida de la gestión de contraseñas.
1. Descubre todas las cuentas compartidas de tu compañía
Esto incluye las cuentas de administrador, usuarios y aplicaciones. También cuentas de servicio, claves SSH, cuentas de base de datos, cuentas en la nube y en las redes sociales y otras credenciales privilegiadas. Toma en cuenta las cuentas utilizadas por terceros/proveedores, en sus instalaciones y en la infraestructura en la nube.
Asimismo, el proceso debe incluir todas las plataformas (Windows, Unix, Linux, Cloud, en las instalaciones de la empresa etc.), directorios, dispositivos de hardware, aplicaciones, servicios / daemons, firewalls, routers etc.
También debe incluir la recolección de detalles de la cuenta de usuario que te ayudarán a evaluar el riesgo. Igualmente debe subrayar dónde y cómo las contraseñas privilegiadas se utilizan. Esto mostrará puntos ciegos en la seguridad y también prácticas indebidas.
Por último, los hallazgos del proceso te permitirán reconsiderar tus políticas y perfeccionar los permisos de acceso a las cuentas. Esto te llevará a realizar descubrimientos periódicos para asegurar que cada credencial privilegiada esté protegida.
2. Ubica las cuentas y credenciales privilegiadas bajo una gestión centralizada
Lleva a cabo este proceso de integración justo en el momento de creación de la contraseña o durante un scan de descubrimiento de rutina. Lo recomendable es centralizar el almacenamiento de credenciales privilegiadas en una base de datos codificada y también registrar los valores en una planilla Excel.
De igual manera, no estaría de más que apliques una solución automatizada de caja fuerte digital de contraseñas corporativas. Esta te proporcionará una base de datos codificada a partir de la cual podrás administrar el ciclo de vida de las contraseñas.
3. Implementa la rotación de contraseñas
Realiza esta rotación en una planilla Excel y después realizar el login manualmente en las cuentas y sistemas asociados. Aunque no es altamente escalable, te proporcionará una cierta cobertura para la gestión de contraseñas en ambientes simples.
Asimismo, puedes abordar el proceso de manera automatizada con base en una caja fuerte
digital para contraseñas corporativas. Esta te permitirá tener la tranquilidad de que todas sus credenciales privilegiadas pasarán por una rotación regular.
4. Aplica la gestión de sesión privilegiada
Esta práctica servirá para mejorar la supervisión y la responsabilidad en relación a tus cuentas y credenciales privilegiadas. En este caso, las soluciones automatizadas te permitirán llevar el proceso de forma transparente y con una escala de centenas o millares de sesiones simultáneas.
5. Coloca las contraseñas de aplicaciones bajo gestión
Implementa las llamadas API para obtener control sobre scripts, archivos, código y claves insertadas, eliminando credenciales insertadas y codificadas. Una vez lo consigas, podrás automatizar la rotación de las contraseñas con una frecuencia determinada.
6. Sitúa las claves de SSH bajo gestión
El abordaje a las claves SSH debe ser igual al de cualquier otra contraseña, aunque acompañado de un par de claves que también se deben administrar. Realiza la rotación regular de las claves privadas y frases de contraseña y asegúrate de que cada sistema tenga un par de claves exclusivas.
7. Identificar anomalías y amenazas potenciales
Analiza constantemente las contraseñas privilegiadas, los usuarios y el comportamiento de las cuentas. Con este proceso continuo podrás mitigar el riesgo y desarrollar una política conforme sea necesario para tu compañía.
Cuanto más integrada y centralizada sea su gestión de contraseñas, más fácil será para ti generar informes relacionados a cuentas, claves y sistemas expuestos al riesgo. Considera la automatización para acelerar su toma de conciencia y una respuesta orquestada a las amenazas.
8. Automatiza la gestión del flujo de trabajo
En este proceso puedes aplicar soluciones automatizadas de terceros para optimizar el ciclo de vida completo de la gestión de contraseñas. Algunas de ellas pueden ser:
- Agrupar y gestionar los activos de acuerdo con reglas inteligentes
- Aplicar flujos de trabajo para acceso a dispositivos
- Emplear flujos de trabajo para asegurar el acceso a los sistemas administrados por contraseña en situaciones de emergencia
- Verificar la entrada y salida de las contraseñas de la caja fuerte digital y autenticación automatizada
- Aplicar el login de usuarios para sesiones RDP y SSH sin revelar las contraseñas.
- Disparar la solicitud de aprobación de un supervisor para verificar credenciales altamente sensibles
- Iniciar el monitoreo de sesión privilegiada y alerta sobre cualquier actividad crítica o sospechosa
¿Cómo implementar la gestión de contraseñas privilegiadas?
Luego de que descubras todas las credenciales privilegiadas de tu compañía y tengas una base de referencia de ellas, establece prioridades y detalla una política de contraseñas privilegiadas.
De igual forma, implementa gradualmente la automatización en el ciclo de vida de tu gestión de contraseñas privilegiadas. Así aumentarás tus esfuerzos en la aplicación de estas buenas prácticas con relación a las contraseñas.
Ahora, aunque aplicar la gestión de contraseñas privilegiadas no es algo aislado, sí debes tener un buen dominio del principio de privilegios mínimos. Además, también es necesario que sepas implementarlo dentro de una estructura de amplio alcance
En caso de que no sepas cómo hacerlo, no te preocupes. En GB Advisors somos expertos en Seguridad Digital e implementación de software ITSM. Contáctanos para brindarte asesoría profesional y personalizada sobre la gestión de contraseñas privilegiadas.
Finalmente, si consideras que estas buenas prácticas te guiarán a fortalecer aún más tus contraseñas, no dudes en solicitar un demo o una versión gratuita de BeyondTrust a través de este enlace.