Verizon DBIR reafirma la importancia de la administración de cuentas privilegiadas.
Por: Andrew Clarke, director de alianzas estratégicas y asociaciones de canales, One Identity.
Dentro del VDBIR, uno de los factores que continúa afectando al sector público son las infracciones que utilizan credenciales privilegiadas, ya sea por mal uso o por error, y solo eso representa el 30% de las infracciones. Esto surge debido a cuentas privilegiadas no controladas y no administradas, o las cuentas necesarias para tareas administrativas críticas. A menudo, estos los realizan terceros y, por lo tanto, se vuelven aún más difíciles de administrar para las organizaciones por su cuenta. Uno de esos aspectos que se refuerza en el informe es el acceso incontrolado a cuentas de privilegios / administrativas. Cuando un pirata informático obtiene acceso a una cuenta de este tipo, puede probar las debilidades y ejecutar comandos de privilegios que siembran las semillas de las continuas intrusiones, muchas de las cuales pasan desapercibidas durante meses … o incluso años.
Además, en el VDBIR de 2019, se tienen en cuenta los principios que dan lugar a que una organización sea pirateada. Aunque las defensas perimetrales aún juegan un papel vital en la protección de una organización, una vez dentro, un actor malintencionado tiene margen para aprovechar cualquier puerta abierta. Todos son conscientes de que las defensas perimetrales juegan un papel importante para disuadir a los ciberdelincuentes de atacar su dominio, pero al usar una combinación de tácticas, amenazas y procedimientos (TTP) como se describe en el VDBIR, cuando estos son derrotados, el ciberdelincuente puede tomar ventaja de controles insuficientes en toda la red de la empresa. Por lo general, el acceso privilegiado se ubica y, desde allí, se escala la posición, lo que les permite mapear toda la red y proporcionar una ruta para extraer datos.
Ha habido muchos ejemplos en los medios de comunicación en los últimos años en los que se ha visto que esto es la causa subyacente de los ataques empresariales de alto perfil. Este tipo de riesgo se puede mitigar fácilmente mediante la introducción de una caja fuerte con contraseña privilegiada, que protege el acceso a la cuenta privilegiada junto con la administración de sesiones privilegiadas, que brinda responsabilidad individual a aquellos que tienen acceso legítimo, pero protege el acceso a activos y sistemas críticos.
La medida de seguridad clave que detiene esto en su camino es la administración de acceso privilegiado, afirmando el control y la administración sobre las poderosas cuentas administrativas que facilitan el acceso, lo que da como resultado titulares que dañan el negocio y la reputación.
Dado que el uso indebido de privilegios no detectado es un factor clave que se repite una y otra vez, una conclusión fundamental del informe es que una vez que una cuenta de privilegios se ha visto comprometida, se puede utilizar repetidamente.
Otra forma en que las organizaciones pueden volverse más inteligentes con la seguridad es implementando una capa de análisis de cuentas privilegiadas dentro de su negocio. Dicha tecnología mejora la seguridad mediante el uso de comportamientos y algoritmos de aprendizaje automático para detectar malos comportamientos conocidos y desconocidos en lugar de patrones predeterminados que solo pueden detectar malos comportamientos conocidos. Con esto en su lugar, se detectará y alertará el comportamiento diferente mostrado por un actor malicioso, y se eliminará un vector de ataque no detectado previamente.
Lo que este informe deja muy claro es que la administración de acceso privilegiado es un control de seguridad fundamental que nadie debe pasar por alto.