7 tipos de cuentas privilegiadas en Digital Identity
Durante el trabajo suelo tener que lidiar de una forma u otra con cuentas privilegiadas, son cuentas que se presentan en diferentes formas y que plantean riesgos de seguridad significativos si no se protegen, gestionan y supervisan de forma adecuada.
En esta entrada quería hacer un resumen de aquellas con las que trato habitualmente y que incluyen:
1) Las cuentas administrativas locales
Son cuentas no personales que proporcionan acceso administrativo sólo al host o instancia local. Las cuentas de administración local son utilizadas rutinariamente por el personal IT para realizar el mantenimiento de estaciones de trabajo, servidores, dispositivos de red, bases de datos, mainframes, etc. A menudo, para facilitar su uso, tienen la misma contraseña en toda una plataforma u organización. El uso de una contraseña compartida en miles de hosts convierte a las cuentas administrativas locales en un blanco fácil de usar que las amenazas avanzadas explotan de forma rutinaria.
2) Las cuentas de usuario con privilegios
Son credenciales a las que se han concedido privilegios administrativos en uno o más sistemas. Esta es típicamente una de las formas más comunes de acceso privilegiado a cuentas que se otorga en una red empresarial, permitiendo a los usuarios tener derechos administrativos, por ejemplo, en sus escritorios locales o a través de los sistemas que administran. A menudo estas cuentas tienen contraseñas únicas y complejas. El poder que ejercen a través de los sistemas gestionados hace necesario monitorizar continuamente su uso.
3) Las cuentas administrativas de dominio
Tienen acceso administrativo privilegiado a todas las estaciones de trabajo y servidores del dominio. Aunque estas cuentas son pocas en número, proporcionan el acceso más amplio y robusto a través de la red. Con el control total sobre todos los controladores de dominio y la capacidad de modificar la pertenencia de cada cuenta administrativa dentro del dominio, tener estas credenciales comprometidas es a menudo el peor escenario para cualquier organización.
4) Las cuentas de emergencia
Proporcionan a los usuarios no privilegiados acceso administrativo a sistemas seguros en caso de emergencia y a veces se denominan cuentas «firecall» o «breakglass». Aunque el acceso privilegiado a estas cuentas suele requerir la aprobación de la dirección por razones de seguridad, suele ser un proceso manual ineficaz que suele carecer de auditabilidad.
5) Las cuentas de servicio
Pueden ser cuentas locales privilegiadas o cuentas de dominio que son utilizadas por una aplicación o servicio para interactuar con el sistema operativo. En algunos casos, estas cuentas de servicio tienen privilegios de administración de dominio en función de los requisitos de la aplicación para la que se utilizan. Las cuentas de servicio local pueden interactuar con una variedad de componentes de Windows, lo que dificulta la coordinación de los cambios de contraseña.
6) Las cuentas de Active Directory o de servicios de dominio
Hacen que los cambios de contraseña sean aún más complicados, ya que requieren coordinación entre varios sistemas. Este desafío a menudo lleva a una práctica común de cambiar raramente las contraseñas de las cuentas de servicio, lo que representa un riesgo significativo en toda la empresa.
7) Las cuentas de aplicación
Son cuentas utilizadas por las aplicaciones para acceder a bases de datos, ejecutar trabajos por lotes, scripts o proporcionar acceso a otras aplicaciones. Estas cuentas privilegiadas suelen tener un amplio acceso a la información subyacente de la empresa que reside en aplicaciones y bases de datos. Las contraseñas de estas cuentas suelen estar incrustadas y almacenadas en archivos de texto no cifrados, una vulnerabilidad que se replica en varios servidores para proporcionar una mayor tolerancia a las fallas de las aplicaciones. Esta vulnerabilidad representa un riesgo significativo para una organización porque las aplicaciones a menudo alojan los datos exactos a los que se dirigen los APT.
Y como la cosa va de sietes, de regalo, os dejo este enlace a siete maneras de proteger cuentas privilegiadas.
Espero que os haya gustado, ¡hasta la próxima!
Ingeniero en Informática, Máster en Seguridad de la Información, CISA, CPTP, ISO 27.001 LA y AWS Certified.
He sido galardonado con el premio Microsoft Imagine Cup 2.007 en la categoría Software Design y como Microsoft Active Professional en 2.010. También con el diploma honorífico de la Universidad de Granada y el X premio Granada Joven.
Actualmente trabajo como Cloud & Big Data Security Manager en Accenture, donde soy responsable de proyectos relacionados con la definición y securización de entornos cloud, especializado en Amazon Web Services.
Si quieres saber más o contactar, puedes ver mi perfil en LinkedIn.
- GuardDuty: Un viaje a través del tiempo en AWS Security - 21 noviembre, 2023
- Webinar – Seguridad para familias - 11 enero, 2021
- SecurityInside Live: CISO Day 2020 - 17 septiembre, 2020
Wow, wonderful weblog format! How lengthy have you ever been blogging for?
you made blogging glance easy. The total look of your site
is magnificent, as well as the content! You can see
similar here sklep internetowy