Uso del acceso justo a tiempo (JIT) para reducir el riesgo de seguridad en la nube
Los privilegios excesivos son un dolor de cabeza continuo para los profesionales de la seguridad. A medida que más organizaciones migran activos a la nube, los usuarios con permisos excesivos pueden ampliar el radio de explosión de un ataque, dejando a las organizaciones expuestas a todo tipo de actividad maliciosa.
Los entornos de nube dependen de la identidad como perímetro de seguridad, y las identidades se están multiplicando y haciendo de la “expansión de la identidad” un serio desafío. Los usuarios suelen tener múltiples identidades que abarcan muchos recursos y dispositivos, mientras que las identidades de las máquinas (utilizadas por aplicaciones, dispositivos conectados y otros servicios) están creciendo a un ritmo acelerado.
Esto se convierte en un problema si un atacante logra comprometer una identidad , lo que le permite afianzarse en el entorno y explotar esos privilegios para moverse lateralmente por todo el entorno de la nube, o incluso escalar permisos para causar aún más daño en muchos otros activos y recursos.
Una forma de abordar la gran superficie de ataque y los riesgos innecesarios en la nube es implementar el acceso privilegiado justo a tiempo (JIT). Este enfoque limita la cantidad de tiempo que se concede acceso privilegiado a una identidad antes de que se revoque. Incluso si un atacante compromete las credenciales, es posible que solo tenga acceso privilegiado temporalmente o que no tenga acceso en absoluto. Este es un mecanismo de defensa crítico.
En pocas palabras, JIT otorga acceso privilegiado sólo temporalmente y lo revoca una vez que se completa la tarea relacionada. JIT se basa en un marco de privilegios mínimos para incluir un factor de tiempo, de modo que los usuarios sólo tengan acceso a los recursos que necesitan para llevar a cabo sus funciones, y sólo mientras las realizan. Dicho esto, los privilegios excesivos deberían, por defecto, eliminarse siempre que sea posible.
“Adecuar el tamaño de los permisos” se ha convertido en una palabra de moda para los profesionales de la seguridad, pero es un desafío. Aplicar manualmente el tipo de gestión granular de permisos necesaria para una buena seguridad en la nube (ir y venir tratando de determinar qué privilegios se requieren y cuáles son las escalaciones mínimas que pueden hacer el trabajo) puede consumir mucho tiempo y ser frustrante tanto para los usuarios como para los usuarios. equipos de seguridad.
Las organizaciones tienen motivos para preocuparse. Las credenciales pueden ser el eslabón débil de cualquier red. El informe más reciente señaló que el uso de credenciales robadas ha aumentado alrededor del 30% en los últimos cinco años. Dado que una gran parte de las infracciones se remontan al robo y abuso de credenciales, limitar el alcance potencial del compromiso de la cuenta tendrá un efecto enorme en la mejora de la seguridad.
Cómo implementar el acceso JIT
La implementación del acceso JIT comienza con la obtención de una visión clara de quiénes son los usuarios, qué privilegios tienen y qué privilegios necesitan, incluso si son identidades humanas y de máquina. ¿Es el usuario un ingeniero o desarrollador, un administrador o personal de seguridad?
El trabajo no puede detenerse mientras un usuario espera ser validado. Aquí es donde la automatización puede proporcionar un sistema viable para otorgar privilegios temporales y revocarlos cuando ya no sean necesarios.
Algunas prácticas recomendadas pueden ayudar a los equipos de seguridad a implementar JIT automatizado:
- Un portal de autoservicio: el personal de seguridad tiene mala reputación como creadores de fricciones entre los usuarios, por lo que cualquier herramienta que pueda facilitar los flujos de trabajo es algo bueno. Un portal de autoservicio puede reducir la fricción al permitir a los usuarios solicitar privilegios elevados y realizar un seguimiento del proceso de aprobación. Esto reduce los retrasos y las solicitudes que pasan desapercibidas, al tiempo que permite la gestión automatizada de permisos, lo que a su vez reduce la superficie de ataque de la nube y genera un seguimiento de auditoría para monitorear la actividad.
- Automatizar políticas para solicitudes de bajo riesgo: las solicitudes simples que involucran actividades de bajo riesgo, como el trabajo en entornos que no son de producción, se pueden automatizar con políticas que aprueban solicitudes por un tiempo limitado y sin intervención humana.
- Defina propietarios para cada paso del proceso: la automatización no debería equivaler a renunciar al control de los procesos comerciales. Es necesario monitorearlo para garantizar que no se produzcan acciones no deseadas. A cada paso del proceso (revisar solicitudes, monitorear la implementación y revocar privilegios) se le debe asignar un propietario y las solicitudes más complejas y sensibles deben ser revisadas y aprobadas por un humano, cuando sea necesario.
Al implementar JIT, los equipos de seguridad pueden acercarse a lograr un modelo de privilegios mínimos e implementar seguridad de confianza cero. La automatización puede hacer esto posible al acelerar el proceso de otorgar y revocar permisos según sea necesario, sin crear más trabajo para los equipos de seguridad que ya están al límite, ni fricciones para los usuarios que afecten su agilidad y eficiencia.
Fuente: HelpNet Security