Seguridad

CIBERSEGURIDAD

By Marzo 22, 2018 No Comments

La sofisticación y dirección que se brinda a las amenazas de seguridad tanto de atacantes externos como internos hacen que cada vez sea más difícil y costoso para las organizaciones afrontar este tipo de riesgos. Por otro lado, el crecimiento de las infraestructuras TIC incorporando entornos mixtos y heterogéneos que abarcan distintas localidades tanto físicas como la incorporación de infraestructura Cloud, han agregado complejidad a la implementación de seguridad de la información hacia los activos de información.

En el contexto anterior; Este crecimiento en la complejidad de gestión de la infraestructura TIC permite que un posible compromiso de una cuenta con privilegios pase desapercibida por días, semanas, meses y quizás, ¿Por qué no?, hasta años. Este compromiso de cuentas puede ser dado por técnicas de ingeniería social apoyadas por campañas de phishing, spear phishing o whaling ( https://goo.gl/bkHqpw ). La obtención de una cuenta con privilegios es, lo que se denomina, “las llaves del reino”; Normalmente, mediante estas campañas se obtienen cuentas de usuario final (user/password) las cuales son empleadas para realizar escalamiento e ir obteniendo cuentas con mayores privilegios.

Hay dos tipos de cuentas: Las cuentas de usuario y las cuentas privilegiadas. Las cuentas de usuario son aquellas asociadas a una persona y que permiten acceder a un entorno, servicio o infraestructura bajo o con un rol funcional. Es decir, este tipo de cuentas permite iniciar sesión en un banco, un comercio electrónico, isapre, sistema CRM, sistema ERP, etc. Las cuentas de usuario representan a una persona y poseen asociadas una contraseña la cual controla el acceso para aquel que “conozca algo”, este algo corresponde, com he señalado, a la contraseña. Lo anterior, podría ser robustecido mediante autenticación de doble (A2F) o de múltiple factor (AMF), por supuesto dependiendo de las necesidades, políticas y regulaciones propias de cada entorno. Normalmente, un usuario solo posee una única cuenta de usuario (por sistema).

Por otro lado, una cuenta privilegiada puede o no ser un humano (cuentas de servicio), como también no necesariamente debe representar o corresponder con un humano. Se trata entonces de aquellas credenciales las cuales permiten a los equipos de TI realizar la administración y soporte de aplicaciones, software, servidores, servicios, hardware, dispositivos de comunicaciones, de seguridad, en fin; Toda la infraestructura TIC que soporta y apoya el negocio. Dado que estas credenciales corresponden a “las llaves del reino” deberían ser tratadas como un activo de alto valor: Como aquellas llaves que proveen acceso total y completo a toda la infraestructura TIC. Entre las cuentas privilegiadas, esta la existencia de las cuentas de servicio; Aquellas cuentas que proveen de distintos permisos y accesos a determinadas aplicaciones cumpliendo la función de habilitar o gestionar servicios, procesos y otras operaciones. También es necesario considerar que una cuenta de usuario podría convertirse en una cuenta privilegiada en el contexto de poseer determinados privilegios o permisos sobre determinada operación, servicio o sistema; Esto ultimo, ampliamente común en un sistema CRM o ERP, por ejemplo.

Ciertamente que el robo o compromisos de una cuenta privilegiada da acceso a que ciber delincuentes puedan robar información privilegiada, implantar completos APT en nuestra infraestructura, garantizar persistencia en nuestra plataforma, distribuir malware y spam y un largo etc. “Etc” que puede impactar gravemente al negocio.

Ahora, estas cuentas privilegiadas están a salvo; Normalmente sucede que nosotros, los administradores de sistemas, tenemos una memoria privilegiada y recordamos (almacenadas en nuestro palacio mental) una amplia multitud de complejas contraseñas, una para cada sistema gestionado en toda nuestra infraestructura TIC. Dada nuestra privilegiada mente jamas, pero jamas, usamos las mismas contraseñas. Menos en más de un sistema critico para la operación de negocio. Lease lo anterior en un suave y sano tono de sarcasmo.

Lo cierto es que, en un entorno medianamente normado; Los administradores poseen una cuenta estándar sin mayores privilegios que aquellos funcionales y otra cuenta privilegiada con la cual realizar su gestión administrativa diaria. Esto es, en un entorno medianamente normado. Distinto es de aquellos administradores que usan su cuenta FULL PRIVILEGES mientras descargan un Torrent (si, es parte de las labores administrativas).

Entonces, si estas cuentas administrativas son las llaves del reino:

¿Por que no resguardamos adecuadamente estas llaves?

César Millavil A / C|EH – ISO27001LA