CIBERSEGURIDAD

Los profesionales de TI no cambian sus contraseñas – Oh, la ironía

Probablemente esté enfermo y cansado de que su equipo de TI se esfuerce por cambiar sus contraseñas con regularidad, pero no hay nadie que persiga al equipo de TI para que cambie sus propias contraseñas privilegiadas (administrador, root y demás). Suponemos que siguen sus propios consejos, pero, irónicamente, la mayoría (55%) de los profesionales de TI hacen que los usuarios finales cambien sus contraseñas con más frecuencia de lo que cambian sus credenciales administrativas. Esto es según una encuesta de casi 200 profesionales de TI en RSA Conference 2016 realizada por Lieberman Software.
Esa cifra no es sorprendente. Sin una solución automatizada para administrar todas las credenciales privilegiadas que existen en las grandes redes, no es raro que las contraseñas administrativas rara vez se actualicen en muchas organizaciones. Es cierto que es difícil para el personal de TI realizar un seguimiento de todas sus contraseñas de administrador, pero esto se vuelve aún más complicado cuando se espera que conozca todos los lugares donde se utilizan las credenciales y lo que podría fallar cuando se actualizan. Sin embargo, debido a los sistemas confidenciales que protegen estas credenciales, los cambios frecuentes de contraseña privilegiada son esenciales para una buena seguridad.
Entonces, ¿con qué frecuencia se cambian las credenciales privilegiadas? Sorprendentemente, nunca, según el 10% de los encuestados que fueron lo suficientemente valientes para admitirlo. Afortunadamente, el 74% cambia las contraseñas administrativas al menos una vez al mes, lo que es mucho mejor, ya que la mayoría de las regulaciones de cumplimiento normativo requieren que las organizaciones cambien las credenciales privilegiadas cada 30 días como mínimo.
Sin embargo, incluso una tasa de actualización de contraseñas de 30 días puede no ser lo suficientemente frecuente si se considera que los intrusos cibernéticos y los internos malintencionados buscan contraseñas que les permitan saltar de un sistema a otro en una red hasta que encuentren lo que buscan. ¿Cuánto daño pueden hacer en ese tiempo antes de su credenciales robadas están invalidados?
Mientras tanto, la estrella dorada va a solo el 1% de los que cambian sus contraseñas administrativas a diario, según la encuesta.

Las amenazas detrás de las contraseñas privilegiadas

Entonces, ¿cuáles son exactamente los problemas potenciales que podrían surgir si el área de credenciales privilegiadas no se atiende adecuadamente? Bueno, cuando un empleado deja un trabajo, normalmente se sigue un conjunto estándar de prácticas; comprobar las llaves físicas y el equipo, transferir documentos y contactos a otros empleados, etc. Pero el 15% de los encuestados dijo que si abandonaban su organización aún podían acceder a sus credenciales de administrador de forma remota. Esta es una gran amenaza potencial, ya que a menudo conocen los secretos de las contraseñas que les permiten iniciar sesión en sistemas y aplicaciones en la red.
Si las credenciales privilegiadas no se cambian continuamente, cerrando así los inicios de sesión de los ex empleados, es probable que estos ex empleados aún puedan obtener acceso administrativo mucho después de que finalice su empleo. Toda empresa debe contar con un procedimiento para cambiar todas las contraseñas y revocar el acceso tan pronto como alguien abandone la empresa.
Pero, ¿qué tan seguras son las credenciales privilegiadas de los empleados actuales? Resulta que el 36% de los encuestados comparten contraseñas administrativas dentro de sus grupos de TI. Lo crea o no, esta es una práctica común de administración de TI. Los profesionales de TI son personas ocupadas que equilibran sus tareas administrativas diarias con reparaciones de emergencia inesperadas. Entonces, buscando simplificar las cosas, los administradores de sistemas a menudo reutilizan la misma contraseña en muchos sistemas y comparten esta contraseña con otros administradores de TI.
Sin embargo, si un pirata informático o un infiltrado malintencionado se apodera de esta contraseña compartida, acaba de obtener acceso a los sistemas de la red. Tenemos que empezar a preguntarnos si la conveniencia de compartir contraseñas realmente vale la pena. ¿O hay una mejor manera de lidiar con el problema de las contraseñas administrativas? ¿Y cuál es la mejor forma de mitigar el riesgo?
Hay tres pasos que las empresas pueden tomar para protegerse de la carga de las contraseñas:

  1. Como destaca esta encuesta, necesitamos capacitar al personal, especialmente al personal que tiene derechos administrativos, para que no tengan acceso al poder de hacer daño todo el tiempo sin una puerta. Aún podrán hacer todo lo que hicieron antes, pero habrá un paso adicional. Pueden pensar en ello como escanear su credencial antes de entrar a la sala de servidores. Ahora escanearán su credencial virtual antes de que puedan ingresar a una biblioteca segura donde se almacenan todos los derechos. Pueden verificar la energía que necesitan, todos podrán ver quién la ha revisado y luego se volverá a verificar donde terminaron. Es un pequeño cambio, pero marca una gran diferencia.
  1. Cuando se extrae una contraseña, cambiamos la seguridad de esa contraseña cuando se vuelve a registrar o cuando expira el pago. Sin embargo, si esa es la única vez que rotamos esa seguridad, eso significa que los malos pueden ingresar a través de un correo electrónico y comenzar a recolectar derechos para usar más tarde. Pero, si existe un programa para rotar agresivamente los derechos de administrador y las credenciales todo el tiempo, incluso cuando no están en uso, entonces a los malos se les quita la alfombra debajo de ellos.
  1. Ahora que tenemos este poder para controlar derechos y privilegios, deberíamos conectarlo a nuestros otros sistemas de seguridad para asegurarnos de que todo funcione en un proceso de ciclo cerrado saludable. Si tiene soluciones de análisis y registro que analizan todos los datos de eventos de seguridad para encontrar patrones, seguramente querrá incluir todos los datos sobre quién tiene privilegios legítimos. Eso conduce a correlaciones simples, como una acción que tiene lugar utilizando una identidad privilegiada que no se ha verificado actualmente para ningún usuario autorizado es sospechosa. Si tiene soluciones que detectan malware y otros incidentes a medida que ocurren, puede automatizar una respuesta privilegiada casi en tiempo real sin impacto operativo.

Si las empresas automatizan la gestión de contraseñas privilegiadas y siguen los pasos anteriores, estarán en una posición mucho mejor para luchar contra los ciberdelincuentes que intentan saltar las defensas de la red y moverse lateralmente dentro de los sistemas de una organización.
Para obtener más información sobre estos y otros hallazgos (incluida la cantidad de encuestados que dicen estar preparados para un ciberataque), consulte http://go.liebsoft.com/rsa-conference-2016-survey.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar