Usuarios privilegiados: ¿durmiendo con el enemigo?

Por Mónica Mistretta

Hotel Nikko (15 de marzo).- Controlar los privilegios de los también llamados “superusarios” es indispensable,  advirtió Ernesto Pérez López, Solutions Strategist Security & Compliance de CA México, pues de lo contrario se corre el riesgo de incurrir en brechas de seguridad que pueden comprometer a las organizaciones seriamente.

En su participación durante la primera etapa del bSecure Conference 2012 afirmó que “ya hemos visto suficientes ejemplos de ello en la prensa en los últimos meses. Incluso ya tenemos tristes casos en México que han comprometido la información sensible de todo tipo de organizaciones y, peor aún, de sus clientes”.

Además, controlar a los usuarios privilegiados también es parte de una obligación para cumplir con las exigencias regulatorias.

De acuerdo con el Pochemon Institute, que recopiló datos de 2010, el costo de promedio de una brecha de seguridad es de $202 dólares por registro comprometido, cuya causa principal sigue siendo la negligencia; 48% de todas las brechas que involucran un mal uso por de parte de usuarios privilegiados; y 87% de las compañías han experimentado este tipo de incidentes.

La buena noticia, dijo el expositor, es que el CIO cada vez tiene más interés y preocupación en el tema de seguridad. Según IDC, agrupadas por función, las del CIO relacionadas con soluciones de administración de identidad de acceso crecieron 19.7%.

“El riesgo al que nos enfrentamos con el usuario privilegiado es que si un auditor en este momento nos pregunta a qué infraestructura tiene acceso, tendríamos dificultad en contestar. No se puede controlar algo que no se ve”, advirtió Pérez López. Y añadió “La seguridad es un negocio de evidencias; queremos dar ayuda en ello”.

Abundan las muestras en las noticias de que la amenaza está adentro. Los usuarios internos provocan incidentes de seguridad, a veces por desconocimiento, pero también hay quienes hacen mal uso de sus poderes para sacar provecho personal.

Un error humano también tiene una implicación directa. Puede provocar un efecto muy severo del que no se pueda una empresa recuperar.
El mal uso se define, de acuerdo con la convención europea de cibercrimen, como una ofensa contra la confidencialidad, integridad y disponibilidad de los sistemas de cómputo y sus datos.

Un usuario privilegiado, por ejemplo, es un administrador root. El ejecutivo de CA México explicó: “El privilegiado borda por los impactos de seguridad, es anónimo, puede saltarse la seguridad aplicativa, puede ver y alterar datos de bases de datos aplicativos, puede generar incidentes de indisponibilidad. Puede cambiar archivos del sistema, puede cambiar configuraciones, puede alterar bitácoras, puede borrar evidencia de sus actividades. Y, para colmo, la virtualización amplifica el problema”.

Entre los desafíos en el control de los superusarios se encuentran: acceso irrestricto a los recursos, típicamente por cuentas compartidas, lo que dificulta la aplicación de responsabilidades; hay ausencia de segregación; se dificulta la integridad de trazas de auditoría; hay falta de transparencia de acceso y se añade la virtualización y la nube para ampliar los problemas.

Por fortuna, dijo Pérez López, existen estándares, normas y mejores prácticas para administrar el privilegio. Tal es el caso del ISO27002 para control de Accesos y su capítulo 11.2.2 que corresponde a la administración o gestión de privilegios.

La norma indica que debe haber una asignación de privilegios de uso, debe ser restringido y controlado. Los privilegios deben ser asignados a los usuarios bajo el concepto “need-to-use”. El proceso de autorización y registro de privilegios debe ser operado y mantenido en todo momento. Se debe promover sl desarrollo y uso de procesos y programas que impidan la necesidad de otorgar privilegios a los usuarios. Los privilegios deben ser asignados a un “userID” distinto al usado para necesidades normales de operación.

Ya también la Ley de Protección de Datos Personales en posesión de particulares (LFPDPPP) prevé en su artículo 19 que todo responsable que lleve a cabo el tratamiento de datos personales deberá establecer medidas de seguridad que permitan proteger los datos personales contra daño, pérdida, alteración, etcétera.

Por su parte, los requerimientos específicos de la norma PCI, también establecen la forma de proteger los datos del tarjetahabiente y para crear/mantener la red segura, diciendo que el acceso a los datos debe ser restringido al “need to know” del negocio.

Hay ayuda disponible
Por lo que toca a las soluciones, el ponente dijo que por fortuna ya existen herramientas que permiten monitorear automáticamente el comportamiento de esos usuarios.

Para controlar el acceso privilegiado las herramientas deben ofrecer control granular de acceso, que resulta en protección de servidores, aplicaciones, infraestrucura.

Pérez López sentenció: “Una solución completa debe tener una serie de características: administración de passwords de aplicativos; administración de cuentas con password compartido; monitoreo trazabilidad y reporteo de actividad privilegiada; autenticación de acceso privilegiado; y admintración de usuarios privilegiados en ambientes virtuales. Debe ser una herramienta centralizada con alertas a correos electrónicos, mesa de ayuda, a un Smartphone, para poder controlar”.

Otra manera de clasificar la robustez de las soluciones es agrupando por funcionalidad, es decir, se puede hacer desde funciones de control, auditoría y governance.

En el caso del aspecto de control: debe forzar el principio de “menor de los privilegios”; forzar el proceso de acceso; proteger passwords compartidos y administración de sus políticas; y soporte a plataformas heterogéneas.

En cuanto al aspecto de auditoría: que registre usuarios por su ID original al elevarse sus privilegios; correlacione las actividad de cuentas privilegiadas a los individuos que las usan; grabe y reproduzca las sesiones.

Por último, en el aspecto de gobernanza: que contemple modelado y administración central, habilite a dueños de cuentas compartidas a aprobar esos accesos privilegiados y permita el cumplimiento regulatorio y normativo

Es posible también contar con herramientas que extiendan la seguridad a ambientes virtualizados con capacidades muy directas. “En otras palabras –añadió Pérez López– es algo que permite la automatización de controles ‘virtualization-aware’. Administración de passwords privilegiados, monitoreo de actividad de los usuarios, segregación de funciones, multi-tenancy seguro, y hypervisor hardening.”

En resumen: apoyarse en herramientas que provean control granular de los accesos de los usuarios privilegiados para proteger los servidores, su sistemas operativos y sus recursos, aplicativos e infraestructura –ya sea en ambientes heterogéneos o virtualizados– es una realidad.