Hoy vamos a echar un vistazo más de cerca al principio de mínimo privilegio (Principle of Least Privilege, PoLP): qué es, por qué es importante y cómo implementarlo en tu organización.
Entender el principio de mínimo privilegio es fundamental, ya que los administradores de red deben encontrar un equilibrio entre la facilidad y la seguridad, protegiendo el acceso a la red sin causar fricciones a los usuarios. Si el acceso es demasiado restrictivo, los empleados no podrán hacer su trabajo. Si es demasiado laxo, se abre la puerta a los ataques.
PoLP es esencial para encontrar el equilibrio, de modo que pueda mantener a su personal contento y sus sistemas críticos seguros. He aquí cómo:
Tabla de Contenido
¿Qué es el Principio del Mínimo Privilegio?
Empecemos con una analogía. Imagina que has reservado un viaje a Hawai para disfrutar de un necesario descanso. Te vas de la ciudad durante una semana y has pedido a un vecino que cuide tu casa. Le das una lista de expectativas: recoger el correo, regar las plantas, alimentar al gato, etc. Le dejas una llave debajo del felpudo.
En este punto, cualquiera podría encontrar la llave y entrar en tu casa. Incluso podrían hacer una copia de la llave y entrar más tarde. ¿Es un riesgo que estás dispuesto a correr?
Podrías mejorar la situación guardando tus objetos de valor en una caja fuerte. Podrías entregar la llave directamente al vecino en lugar de dejarla bajo el felpudo. O bien, podrías omitir la puerta de entrada por completo. De todos modos, el gato suele comer en el porche y a las plantas les vendría bien un poco de sol. La vecina puede recoger el correo en su propia casa hasta que vuelvas. Al dar a la vecina el mínimo acceso necesario para hacer el trabajo, estás aplicando el principio del menor privilegio.
En la seguridad de la red, el mínimo privilegio es la práctica de restringir la creación de cuentas y los niveles de permiso a sólo los recursos que un usuario requiere para realizar una actividad autorizada. Los términos acceso mínimo de usuario y cuentas de usuario con menos privilegios (LUA) se aplican a los seres humanos que utilizan un ordenador o un servicio de red. Pero la gestión del acceso con mínimos privilegios también se aplica a las máquinas, incluyendo aplicaciones, procesos, sistemas y dispositivos conectados.
El principio del modelo de mínimo privilegio (también llamado principio de mínimo privilegio o principio de mínima autoridad) está ampliamente considerado como una mejor práctica de ciberseguridad. Y es un paso fundamental para proteger el acceso privilegiado a los datos y activos críticos.
¿Por qué es Importante el PoLP?
Cuando se hace bien, el principio del mínimo privilegio ofrece muchas ventajas, ya que consigue un equilibrio entre la facilidad de uso y la aplicación de las protecciones de seguridad. Una política de este tipo salvaguarda los datos y sistemas críticos condensando la superficie de ataque, limitando el alcance de los ataques, mejorando el rendimiento operativo, simplificando la auditoría y el cumplimiento, y reduciendo el impacto de los errores humanos.
Los usuarios con demasiados privilegios, ya sean humanos o máquinas, aumentan la posibilidad de que se produzcan infracciones dentro de una organización y el alcance de los daños a los sistemas críticos en caso de que se produzca una infracción. Sin las protecciones adecuadas, los vectores de amenazas privilegiadas más comunes, incluidos los hackers, el malware y las personas con información privilegiada, pueden hacer un mal uso, explotar o dañar activamente los sistemas altamente sensibles. Incluso los usuarios bien intencionados pueden causar daños. Un informe realizado en 2022 por Huawei (Whitepaper “Amenazas de seguridad en entornos de Nube“) descubrió que el 43% de las violaciones de datos por parte de personas con información privilegiada no son intencionadas.
Por eso es importante el principio del mínimo privilegio. La aplicación del PoLP:
Minimiza la superficie de ataque
Limitar los privilegios condensa la superficie de ataque general de tu organización, disminuyendo las vías que un mal actor podría utilizar para explotar credenciales privilegiadas para acceder a datos y credenciales sensibles o llevar a cabo un ataque. Una amplia superficie de ataque (léase: muchas vías de entrada) es difícil de defender. Al limitar los privilegios de superusuario y de administrador, se facilita la prevención, detección y defensa de actividades peligrosas.
Reduce la propagación del malware
Cuando a los usuarios se les concede demasiado acceso, el malware puede aprovechar los privilegios elevados para moverse lateralmente por la red, lanzando potencialmente un ataque contra otros ordenadores conectados en red. Puedes limitar la propagación del malware conteniéndolo en la pequeña sección en la que entra por primera vez en tu red. Además, la gestión de puntos finales con privilegios mínimos frena la capacidad de los usuarios de instalar aplicaciones no autorizadas, reduciendo aún más las posibilidades de propagación.
Mejora el rendimiento operativo
El principio de mínimos privilegios, cuando se aplica correctamente, mejora la productividad del personal, refuerza la estabilidad del sistema y mejora la tolerancia a los fallos. Reduce el tiempo de inactividad del sistema que, de otro modo, podría producirse como resultado de una infracción, la propagación de malware o problemas de incompatibilidad entre aplicaciones.
Facilita la preparación para las auditorías
Además de cumplir con un requisito común de cumplimiento, PoLP ayuda a las organizaciones a prepararse para pasar una auditoría estableciendo y manteniendo las políticas internas de la empresa y proporcionando una pista de auditoría de la actividad privilegiada en la red.
Protege contra el elemento humano
Ya sea por error, malicia o negligencia, los usuarios humanos pueden causar un gran daño a una organización cuando no se les controla. PoLP limita el poder de las personas internas que deciden hacer daño. El sabotaje de los empleados incluye la colocación de códigos maliciosos, el cambio de contraseñas administrativas y el mal manejo de los datos. Pero incluso los usuarios bien intencionados pueden escribir mal un comando o borrar accidentalmente información crucial. El modelo de control de acceso de mínimo privilegio reduce el daño potencial al limitar el alcance de la acción.
Ejemplos Prácticos de Acceso de Mínimo Privilegio
Con el principio del mínimo privilegio, los administradores de la red sólo conceden el acceso necesario para realizar actividades legítimas y nada más. Como hemos visto, esto se aplica a los usuarios humanos, las aplicaciones, las redes, las bases de datos y muchos otros aspectos de tu entorno digital. La aplicación eficaz de la PdL puede prevenir y mitigar los daños causados por errores, usos indebidos y descuidos. Veamos algunos ejemplos del mundo real.
Desplazamiento de privilegios
Un programador junior cuyo trabajo consiste en actualizar líneas de código heredado no suele necesitar acceso administrativo a la base de datos del cliente. Sin embargo, los proyectos ocasionales pueden aumentar temporalmente el alcance de sus necesidades. En estos casos, el equipo de TI concederá privilegios elevados para que el programador pueda realizar esas tareas.
El aumento de privilegios se produce cuando esos derechos no se revocan y, en cambio, se acumulan con el tiempo a medida que surgen más necesidades de acceso temporal. Todos somos humanos y olvidadizos. Las cosas pueden escaparse fácilmente cuando no se tiene suficiente café. Lo siguiente que sabes es que nuestro programador junior ha borrado accidentalmente a todos los clientes del código de área 510. ¡Ups!
Cuando los administradores sobreproveen el acceso para facilitar la fricción, un usuario que accidentalmente escriba mal un comando o borre un archivo importante puede causar un daño catastrófico a tu organización. Según el principio del mínimo privilegio, ese acceso temporal se revocaría cuando ya no fuera necesario, limitando el alcance de esos daños.
Ataques de phishing
He aquí otro ejemplo. Imagina que un nuevo especialista en marketing se incorpora a tu organización y se le concede acceso de administrador a su portátil personal para facilitar la fricción. Si esta persona hace clic en un archivo adjunto o en un enlace de un correo electrónico de phishing y carga malware en su sistema, podría causar daños de gran alcance.
Según el principio del mínimo privilegio, el impacto del ataque quedaría aislado a una estrecha franja de recursos. Por otro lado, si el usuario tiene acceso de root o privilegios de superusuario, la infección podría extenderse, modificando potencialmente la configuración de la cuenta y corrompiendo o accediendo a datos sensibles desde toda la red.
Este tipo de infracciones pueden tener graves consecuencias en el mundo real. Por ejemplo, casi la mitad de los hospitales estadounidenses informan de la desconexión de sus redes debido a las amenazas de ransomware sólo en los primeros seis meses de 2021. Algunos incluso apagaron sus redes en previsión de un ataque. Puede que estas medidas de seguridad protejan la red, pero ciertamente no alivian la fricción para los usuarios.
Acceso remoto
En nuestro último ejemplo, veremos la importancia del acceso con menos privilegios con los trabajadores remotos, incluidos los contratistas y los proveedores de terceros. El trabajo a distancia ha aumentado drásticamente desde principios de 2020. El cambio ha traído consigo una serie de nuevos desafíos, ya que la línea entre el hogar y el trabajo se ha difuminado.
Algunas organizaciones intentan asegurar el acceso a la red mediante una VPN. Esto les abre a una serie de vulnerabilidades. Supongamos que un contratista de HVAC recibe credenciales de acceso remoto para realizar el mantenimiento de los sistemas de control de temperatura, como es habitual en las grandes operaciones de venta al por menor. Esto permite al contratista actuar rápidamente y realizar su trabajo de forma remota. Sin embargo, si los hackers roban o adivinan esas credenciales, podrían obtener acceso remoto a sistemas mucho más allá de los controles de HVAC, causando potencialmente daños en toda la red.
Con el principio del mínimo privilegio, el acceso remoto se concede sólo cuando es necesario, lo que limita el alcance y la oportunidad de un ataque. Además, como discutiremos más adelante, el acceso justo a tiempo revoca el privilegio del contratista tan pronto como se completa la tarea, añadiendo una capa adicional de protección.
Desafíos para la Seguridad del Control de Acceso
Hemos visto cómo el exceso de usuarios puede provocar problemas, como una mayor superficie de ataque, un rendimiento operativo deficiente y dificultades de cumplimiento. ¿Por qué, entonces, las organizaciones no logran implementar y mantener el acceso con menos privilegios?
En realidad, aunque el concepto de la gestión de acceso con mínimos privilegios es sencillo, su aplicación puede ser difícil. Hay factores que van desde las expectativas de los empleados hasta la complejidad de los entornos informáticos que pueden obstaculizar el PoLP en la práctica.
Los retos más comunes son:
Frustración de los empleados
Cuando los intentos de restringir el acceso causan fricción, la frustración entre los usuarios y los administradores aumentará. Esto es especialmente cierto en los entornos DevOps, en los que la atención se centra en la velocidad y la automatización. Los administradores de red de las grandes organizaciones pueden elegir el camino de la menor resistencia en lugar de enfrentarse a una oleada de dolores de cabeza administrativos. Mientras que los de organizaciones más pequeñas, donde los miembros del equipo son conocidos y de confianza, pueden creer que son inmunes a las amenazas.
Proliferación de la nube
La escala y lo efímero de la computación nativa en la nube también puede causar problemas con el exceso de aprovisionamiento, el uso compartido de cuentas y la falta de segmentación. Muchos usuarios esperan que los servicios en la nube, como AWS IAM, apliquen la seguridad integrada. Y aunque las herramientas basadas en la nube son una mejora respecto a las soluciones manuales para asegurar las cuentas privilegiadas, la implementación de PoLP requiere en última instancia una estrategia, no simplemente un producto. Esto es especialmente cierto en las redes multi-nube.
Redes diversas. Los entornos informáticos modernos son diversos, con activos privilegiados repartidos entre plataformas on-prem, virtuales y en la nube, sistemas operativos heterogéneos, múltiples aplicaciones y puntos finales, e identidades humanas y de máquinas. A medida que la computación en varias nubes se convierte en la norma, un gestor de privilegios mínimo en la nube debe centralizar el acceso para las cuentas humanas y de máquinas en varias plataformas. Esto supone un nuevo reto para la aplicación del principio de acceso mínimo, ya que las herramientas adecuadas para un entorno pueden ser incompatibles con otro.
Falta de granularidad
Los sistemas operativos como UNIX, Linux y Windows no aplican el principio de mínimo privilegio por defecto. El archivo del sitio web del US-CERT explica: “En la práctica, la mayoría de los sistemas no tienen la granularidad necesaria de privilegios y permisos para aplicar este principio con precisión”. Continúa: “El sistema operativo UNIX no aplica controles de acceso al usuario root. Ese usuario puede terminar cualquier proceso y leer, escribir o borrar cualquier archivo. Así, los usuarios que crean copias de seguridad también pueden borrar archivos. La cuenta de administrador en Windows tiene los mismos poderes”. Por esta razón, es importante restringir el acceso del usuario final al mínimo necesario para realizar una tarea requerida. Conceda permisos de superusuario o de administrador sólo a los usuarios de Mac, Windows o Linux que lo necesiten para realizar su trabajo.
Credenciales por defecto
Un reciente libro blanco del Instituto SANS afirma que “los sistemas operativos vienen con condiciones de software por defecto que enfatizan las características, las funciones y la facilidad de uso, a expensas de la seguridad”. Más allá de las condiciones por defecto del sistema operativo, las credenciales integradas en las herramientas y aplicaciones de CI/CD, así como los errores de configuración, pueden proporcionar un acceso excesivamente privilegiado a las cuentas de la máquina.
Una última reflexión: Los pequeños desafíos pueden convertirse en grandes problemas. Una mala higiene de las contraseñas, el acceso de terceros/proveedores y las credenciales por defecto fáciles de adivinar, por ejemplo, pueden dejar las cuentas privilegiadas sin ver y sin gestionar. Por lo tanto, no basta con establecer políticas de mínimos privilegios como parte de tu estrategia de gestión de accesos. Las cuentas también deben ser descubiertas y gestionadas cuidadosamente.
Cómo Implementar la Seguridad de Mínimos Privilegios
La aplicación satisfactoria de los mínimos privilegios requiere que gestiones de forma centralizada y asegures las cuentas y credenciales privilegiadas tanto para entidades humanas como para máquinas. Recuerda incluir las aplicaciones, los dispositivos (como el IoT), los procesos y los servicios, ya que cualquiera de estas cuentas, cuando se deja sin gestionar, representa un potencial de compromiso.
Establece una estrategia de gestión de accesos cohesionada, que incluya políticas, procedimientos y herramientas que te ayuden a autorizar y autenticar en sistemas privilegiados. Realice regularmente auditorías de acceso privilegiado, junto con prácticas de acceso con límite de tiempo y una supervisión eficaz, para ayudar a salvaguardar sus datos sensibles.
Las siguientes prácticas recomendadas te ayudarán a mantener el rumbo:
Realizar una auditoría de privilegios
No se puede proteger lo que no se puede ver. Realiza una auditoría exhaustiva de todo tu entorno para asegurarte de que todas las cuentas con privilegios están bajo la gestión de políticas. Incluye las cuentas y credenciales privilegiadas de empleados, contratistas y proveedores externos, ya sea en las instalaciones, en el acceso remoto o en la nube. Tu auditoría debe cubrir tanto las identidades humanas como las de las máquinas, incluidas las de los flujos de trabajo de DevOps, con especial atención a las credenciales predeterminadas y codificadas que las organizaciones suelen pasar por alto.
Establecer el mínimo privilegio por defecto
Concede a todas las cuentas nuevas el mínimo privilegio necesario para realizar el trabajo. Elimina o reconfigura los permisos por defecto en los nuevos sistemas o aplicaciones. Tu objetivo debería ser el de no tener ningún privilegio, siempre que sea posible. El uso del control de acceso basado en roles puede ayudarte a determinar qué privilegios requiere una nueva cuenta estableciendo directrices generales en torno a una responsabilidad, tarea o equipo. Asegúrate de ajustar los permisos a medida que cambie el rol de un usuario para evitar la acumulación de privilegios.
Implantar la separación de privilegios
Evita la sobreprovisión restringiendo los privilegios del administrador local. Separa las cuentas administrativas de las cuentas estándar, incluso para el mismo usuario, y aísla las sesiones de los usuarios con privilegios. Concede las funciones del sistema de nivel superior (lectura, escritura, ejecución) al nivel mínimo necesario. Además, divide las capacidades de auditoría y registro. Aloja tus registros de sesión fuera de la base de datos que están monitoreando y restringe el acceso de escritura para los administradores de registros.
Proporcionar un acceso granular justo a tiempo
Para mantener el acceso con menos privilegios sin impedir el flujo de trabajo de los empleados, complementa el control de acceso basado en funciones con privilegios limitados en el tiempo. Sustituye las credenciales codificadas por secretos dinámicos o implemente credenciales de un solo uso (o desechables). Esto te permite elevar temporalmente los permisos de acceso sin provocar una acumulación de privilegios en los casos en los que un usuario necesite más autoridad para llevar a cabo una tarea específica o un proyecto a corto plazo.
Supervisar y analizar el acceso privilegiado
Registra y supervisa continuamente las autenticaciones y autorizaciones a los sistemas de toda tu red. Garantiza la trazabilidad de las acciones individuales. Captura todas las pulsaciones de teclas, sesiones RDP y SSH, y utiliza herramientas de automatización para detectar actividades anómalas y alertarte de posibles problemas.
Revisar los privilegios regularmente
Tu empresa debería definir una cadencia para revisar las cuentas existentes y los niveles de permisos. Las empresas más nuevas deberían realizar una revisión mensual, mientras que las empresas maduras con más cuentas que gestionar pueden realizar una revisión trimestral. Revoca cualquier exceso de privilegios que descubras, y cierra o desprovee todas las cuentas inactivas.
Estas prácticas recomendadas te ayudarán a proteger tus cuentas, datos y activos privilegiados para cumplir los requisitos de conformidad y mejorar la seguridad operativa sin interrumpir el flujo de trabajo de los usuarios.
Para Terminar…
El principio del mínimo privilegio ayuda a las organizaciones a cumplir con la tríada de la CIA: confidencialidad, integridad y disponibilidad, centrándose en el segundo concepto del trío. Mantente seguro más adelante aplicando el principio de mínimo privilegio ahora.
Si te ha gustado este artículo, deja un comentario a continuación. Estaremos encantados de leer tus pensamientos.
