Temas técnicos

¿Qué es el principio del menor privilegio?

Ilustración de elementos informáticos centrada en una bombilla

Visión general

El mínimo privilegio es un principio fundamental de la seguridad de confianza cero, con la filosofía básica de conceder sólo el acceso necesario. Aunque inicialmente se discutió como parte de una estrategia de seguridad de red, aplicar la seguridad de confianza cero a la capa de aplicación para los recursos consumibles (aplicaciones, servicios, datos, etc.) es mucho más eficaz. Este enfoque permite vincular políticas específicas de acceso a los recursos a las personas y programas que acceden a ellos.

Principio del menor privilegio

¿Qué tipos de amenazas se abordan mejor mediante la seguridad de mínimos privilegios?

El acceso con mínimos privilegios es una estrategia de seguridad centrada en garantizar que las identidades, las personas y los procesos reciban el nivel mínimo de permisos necesarios para ser productivos o, en el caso del acceso programático, funcionales. En su introducción 800-12R1 a la seguridad de la información, el NIST (Instituto Nacional de Estándares y Tecnología) señala las preocupaciones comunes que aborda el mínimo privilegio: 

  • Malevolent insider: Este tipo de amenaza es a menudo difícil de detectar, con actividades dañinas que fácilmente pasan meses o años desapercibidas. Los malos actores internos pueden ser contratistas, empleados e incluso administradores y todos los niveles de gestión. El mínimo privilegio es un enfoque de seguridad primordial para limitar la gama de daños o abusos que pueden infligir a una organización.
  • Colusión malévola: Esto puede ocurrir cuando dos o más actores maliciosos coordinan actividades malévolas. Este tipo de explotación suele provocar muchos más daños de los que normalmente puede causar un solo individuo. Esta es la razón por la que los reguladores y las organizaciones utilizan la separación de funciones (SoD) para protegerse contra este tipo de abuso. La SoD requiere que más de una persona complete una tarea. Aunque suele pensarse en el contexto de los servicios financieros, esos mismos principios protegen contra distintas formas de fraude, sabotaje, robo o uso indebido de información sensible.
  • Insider negligente: Se trata de actores que, aunque no tienen malas intenciones, cometen errores que exponen a sus organizaciones a riesgos. Los comportamientos negligentes incluyen errores de configuración que inadvertidamente cierran servicios digitales importantes o exponen información sensible a la red. Este tipo de incidentes se publican habitualmente en los medios de comunicación. 
  • Información privilegiada comprometida: Es cuando las credenciales de una persona con acceso a información privilegiada se han visto comprometidas de algún modo, normalmente a través de phishing. Cuanto más amplio sea el acceso a una cuenta, mayor será el daño potencial para la organización. Esta es la razón por la que los ejecutivos están cada vez más en el punto de mira (whaling).

¿Cuáles son las principales causas de la filtración de privilegios?

La acumulación de privilegios se produce cuando un usuario acumula derechos más allá de lo que justifica su función dentro de la organización. Suele ocurrir gradualmente con el tiempo, y a menudo afecta a organizaciones que necesitan proteger su información regulada o sensible. Cuando las personas cambian de función, los permisos suelen concederse rápidamente para que la gente sea productiva, pero como las responsabilidades pueden prolongarse, los derechos anteriores suelen mantenerse. Los tipos de recursos en los que es necesario evaluar el mínimo privilegio incluyen: 

En algún momento, el equipo directivo se da cuenta de que necesita controlar el acceso privilegiado a sus servicios centrales y a la información sensible. Priorizan y patrocinan a los equipos de seguridad para que unan fuerzas con los propietarios de la información y formen equipos de tigres de acceso privilegiado. Se ponen en marcha los proyectos y se definen los objetivos. Con su entorno de gobierno de identidades recién diseñado que automatiza las solicitudes y aprobaciones de acceso, el mantenimiento del mismo pasa a manos de operaciones. Con demasiada frecuencia, este tipo de enfoque no es continuo, pero incluso con las solicitudes y aprobaciones automatizadas, el aumento de privilegios sigue siendo un riesgo potencial.

A menudo, la proliferación de privilegios se produce cuando la dinámica empresarial diverge de las políticas de gobierno definidas. Los flujos de trabajo de permisos tienden a expandirse a medida que las organizaciones se transforman y las responsabilidades cambian. Algunas de las fuentes más comunes de acumulación de privilegios son: 

  • Autorizaciones: Los aprobadores, que son preferiblemente los propietarios de la información, no evalúan con precisión las solicitudes de permisos. Los aprobadores, muy ocupados, pueden no tomarse el tiempo necesario para comprender con precisión quién es el usuario solicitante y cuáles son sus necesidades.
  • Proceso de revisión inadecuado: Esto incluye la falta de revisiones periódicas o las realizadas por personas que no están preparadas para examinar o evaluar adecuadamente la idoneidad de las solicitudes de acceso. 
  • Usuarios de alto riesgo: Hay algunos usuarios para los que es muy posible que acumulen un nivel de derechos a lo largo del tiempo que suponga un riesgo inaceptable para la organización. Esto ocurre cuando el usuario asume temporalmente varios proyectos y funciones que requieren derechos para su desempeño y esos derechos se conservan posteriormente. 

El aumento de privilegios es casi inevitable a medida que las organizaciones se adaptan o responden a las diversas dinámicas que se les imponen. Pero viola un principio clave de confianza cero diseñado para proteger a las organizaciones de extraños, y es un factor que contribuye a los grandes costes de las infracciones que siguen creciendo en prácticamente todos los sectores.


Cómo controlar la filtración de privilegios

Uno de los aspectos más difíciles de la protección contra la filtración de privilegios es que suele producirse a lo largo del tiempo, mientras los revisores, que son responsables de muchas cosas, están centrados en otras. No es observable en un momento dado, sino que debe contemplarse a lo largo de un periodo de tiempo relativamente largo. Teniendo en cuenta la forma sutil en que una cuenta puede pasar a un nivel de riesgo inaceptable sin ser detectada, el grado en que plantea un problema de seguridad depende del volumen de usuarios, el número de cambios que éstos realizan y la sensibilidad de la información que se protege. Es un reto de seguridad que no puede resolverse con una hoja de cálculo.

Preservar la separación de funciones

La separación de funciones y otras políticas corporativas diseñadas para cumplir la normativa se traducen bien en normas de gobernanza, pero los criterios de riesgo son más subjetivos. He aquí los más comunes:

  • Demasiadas organizaciones carecen de procesos de cancelación de permisos. En su lugar, estas organizaciones confían en herramientas básicas de gestión de cuentas de plataforma. Normalmente, su control de permisos se limita a desactivar las cuentas que abandonan la organización. La gestión de riesgos no es una prioridad para estas organizaciones.  
  • No es infrecuente que determinadas personas de la organización que asumen diferentes funciones a lo largo del tiempo sean las principales candidatas a la acumulación de privilegios. Los casos de uso comunes incluyen la presentación de informes de línea de puntos, la contribución en diferentes equipos de tigres y la participación en una variedad de proyectos en diferentes departamentos. Aunque hay fuerzas de productividad manifiestas en juego cuando se asignan derechos a este personal, las consideraciones de seguridad a menudo se silencian. Las ocasiones para eliminar permisos suelen ser dispersas, pero el miedo a interrumpir a un usuario con permiso es una razón frecuente para no hacerlo.
  • Los roles sobregeneralizados pueden ser otro agente de la fluencia de privilegios. Aquí se trata menos de conceder permisos a las solicitudes apropiadas, sino más bien de la sobreexpansión o la generalización de los roles utilizados para asignarlos. Los roles eficaces son los que están correctamente delimitados, cada uno de ellos con el nivel de permisos adecuado. Es frecuente la tentación de subdefinir y generalizar los roles utilizados para aplicar los permisos. 

Protegerse contra los riesgos

Es bastante difícil para los revisores identificar los permisos que se desvían con el tiempo. Este tipo de evaluaciones puede facilitarse con un análisis automatizado de los cambios a lo largo del tiempo. Los revisores pueden entonces acceder a esa información en un panel o informe. Aunque no es factible evaluar a todos los usuarios de una organización, sí es posible revisar e investigar eficazmente a la docena de usuarios que plantean el mayor riesgo.

Otros tipos de alertas e informes de riesgo autogenerados se derivan del análisis de los recursos gobernados. A los recursos que contienen información sensible y que no se revisan periódicamente se les asigna una puntuación de riesgo más alta. Para todas estas alertas, la innovación de gobernanza dominante hoy en día es la identificación y resaltado de áreas de riesgo en todo el entorno.


¿Cómo encaja el privilegio mínimo en la confianza cero?

El acceso con mínimos privilegios es uno de los componentes básicos de una arquitectura de confianza cero. Esto significa conceder solo el acceso necesario, con los permisos mínimos y durante el menor tiempo posible.

Otros componentes de confianza cero son:

  • Microsegmentación: Dividir el entorno en zonas de seguridad más pequeñas para limitar el alcance del acceso. Mantener controles de seguridad separados para cada compartimento del entorno (requiere una gestión distribuida de estos controles).
  • Autenticación multifactor (AMF): Exigir dos o más factores de verificación para acceder a un recurso; requerir una mayor garantía de identidad basada en el estado de riesgo actual.
  • Control y supervisión de la API: Garantizar un control adecuado tanto a nivel programático como de interacción con el usuario. Controle cuántos dispositivos y/o API diferentes intentan acceder a los recursos.
  • Adaptable: Consciente del contexto, evaluación continua del riesgo: permite la detección precoz de amenazas y una respuesta rápida. Responde dinámicamente al estado actual en el contexto del entorno actual y la actividad pasada.

 


Notas a pie de página