martes, 18 de diciembre de 2012

Consejos para evitar amenazas de seguridad de usuarios con privilegios de gestión de cuentas [Quest Software]

La compañía ofrece prácticas idóneas para la gestión de accesos con privilegios, de forma que se puedan salvaguardar los datos y sistemas corporativos y gubernamentales más críticos.

Una mayor concienciación acerca de los posibles riesgos para la seguridad es un paso fundamental para frustrar ataques malintencionados. Sin embargo, con demasiada frecuencia, las organizaciones públicas y privadas se ven obligadas a reconocer que los riesgos potenciales de seguridad son aún mayores cuando un atacante logra obtener privilegios de administrador, independientemente de si es un atacante externo o una amenaza interna. Quest Software (ahora parte de Dell) tiene un profundo conocimiento de los problemas a los que se enfrentan las organizaciones que carecen del control y las auditorías adecuadas sobre los accesos de administración y las cuentas de superusuario.

Con el fin de ayudar a los directores ejecutivos a evitar estos riesgos de seguridad, tristemente tan frecuentes, Quest ofrece dos prácticos consejos:
1. Asignar responsabilidades individuales a la actividad de los superusuarios 
Los derechos de administración compartidos y mal gestionados no son una mera mala ocurrencia; suponen la forma más rápida y sencilla de exponer a toda una organización a riesgos innecesarios, ya que estas cuentas de superusuario suelen tener amplios privilegios sobre sistemas operativos, aplicaciones, bases de datos, etc. De compartirse las cuentas, cualquier posible fallo de seguridad o normativa podrá rastrearse a nivel de cuenta, pero no será posible determinar qué administrador la ha estado empleando. Por ello, con el fin de contener posibles riesgos, convendrá adoptar un planteamiento por el que solo ofreceremos a los administradores privilegios de acceso sobre aquello que necesiten, cuando lo necesiten. Ni más, ni menos. Así, solo se emitirían las credenciales que fueran necesarias, en el momento en que fueran necesarias, acompañándolas de un registro auditado de quién las utiliza, quién ha aprobado su uso, para qué se han utilizado y cómo y por qué se han entregado. Una vez se hayan utilizado para el fin para el que estaban previstas, deberá cambiarse la contraseña de inmediato. La capacidad para automatizar y asegurar todo este proceso supone un medio eficaz para gestionar los derechos de administración de toda una organización. Del mismo modo, las prácticas PAM son fundamentales a la hora de garantizar la correcta colaboración entre agencias locales, estatales y federales, y pueden suponer la diferencia entre una correcta colaboración e intercambio de información entre todas las esferas del gobierno, o suponer un colapso total de dicha colaboración.
2. Implementar y seguir una estrategia de “privilegios mínimos” en los accesos de administración 
Muchas cuentas de administración, incluyendo las de las cuentas root de Unix, las cuentas de administrador de Windows o de Active Directory, DBA, etc., ofrecen permisos ilimitados en su ámbito de gestión. De compartirse estas cuentas, se pueden estar fomentando posibles actividades malintencionadas. Un planteamiento mucho más prudente pasa por establecer una política que defina claramente qué puede hacer cada administrador (o cada puesto de administración) con sus accesos y qué no. Dado que este proceso puede resultar complicado y de difícil implementación en los diversos sistemas de una organización, Quest recomienda la incorporación de herramientas de microdelegación, optimizadas para las plataformas designadas, e integradas a otras tecnologías PAM como la salvaguarda de privilegios, la autenticación multifactor y los puentes para Active Directory
 
Fuente:Newsletter E.Security 18 / 12 / 2012