«Justo a tiempo», una estrategia clave para la seguridad de acceso

La transformación digital de las empresas y la necesidad de acceso remoto a los sistemas de información hacen que el tipo y el número de usuarios privilegiados (administradores, directores de empresa, proveedores, etc.) aumenten constantemente. Por tanto, es esencial reducir y controlar la huella de los accesos privilegiados en el entorno, controlando su alcance (qué autorizaciones se conceden y dónde son aplicables) y duración (cuándo se concede la autorización y por cuánto tiempo). La reducción de los riesgos asociados al abuso del acceso privilegiado, o incluso la eliminación total de los privilegios (Zero Standing Privilege – ZSP), es el principio mismo del Just-In-Time (JIT). Aunque existen varios métodos para aplicarlo, el objetivo principal del JIT es controlar el tiempo de uso del privilegio -o su posible uso indebido- y reducir la superficie de ataque (IoT, entorno multicloud, uso de DevOps, automatización de procesos robóticos, etc.).

Como señala Gartner, para 2025, el 75% de las empresas de ciberseguros exigirán el uso del principio JIT al implantar la Gestión de Accesos Privilegiados (PAM)… ¡así que prepárate cuanto antes con PAM4ALL!

¿Por qué Justo a Tiempo?

La seguridad de acceso Justo a Tiempo (JIT) es una práctica fundamental que ayuda a reducir los privilegios de acceso excesivos y es una herramienta clave para aplicar el Principio del Mínimo Privilegio y el modelo de seguridad de Confianza Cero. JIT concede a los usuarios, procesos, aplicaciones y sistemas derechos y accesos específicos para realizar determinadas tareas durante un periodo de tiempo predefinido.

Como política, la seguridad Just-in-Time pretende minimizar el riesgo de privilegios permanentes para limitar el riesgo y la exposición a posibles ciberataques. Cuando demasiados usuarios tienen demasiados privilegios en todo momento, las posibilidades de robo de credenciales, explotación y escalada para robar secretos, cifrar datos o paralizar sistemas aumentan exponencialmente. Conceder privilegios elevados sólo cuando sea necesario -ni más ni menos- restringe la exposición al mínimo, al tiempo que permite a los usuarios seguir con su trabajo.

El informe de vulnerabilidades de Microsoft de 2021 afirma que la elevación de privilegios fue la categoría de vulnerabilidad nº 1, representando el 44% del total de vulnerabilidades, un aumento de casi el doble con respecto a 2020 (¡sin mencionar que la eliminación de los derechos administrativos de los puntos finales reduciría todas las vulnerabilidades críticas de Microsoft en un 56%!)

Gracias a Just-In-Time, una cuenta privilegiada siempre activa puede reducirse muy fácilmente de un estado permanentemente activo a sólo unos minutos. Si este enfoque se aplica a todas las cuentas, los riesgos se reducirán con extrema rapidez. Sin embargo, el JIT no sólo protegerá tus cuentas gracias al factor tiempo, sino que también mitigará los vectores de ataque que utilizan técnicas como el movimiento lateral, impidiendo que los actores maliciosos avancen y eleven sus privilegios en la red.

Las políticas de seguridad Justo a Tiempo (JIT) ayudan a las empresas a:

  • Mejorar su postura general de ciberseguridad
  • Eliminar los privilegios excesivos y promulgar la Cero privilegios permanentes política
  • Agiliza y automatiza los procesos de escalada de privilegios
  • Gestionar usuarios privilegiados humanos y mecánicos
  • Permite el acceso remoto seguro a activos sensibles
  • Facilitar la seguridad sin afectar a la productividad

¿Cómo funciona el JIT?

El objetivo de la seguridad Justo a Tiempo es asignar automáticamente los privilegios que necesita un usuario sobre la marcha y abordar los 3 factores principales de acceso: ubicación, tiempo y acciones. ¿Desde dónde intenta acceder el usuario? ¿Está autorizado el usuario a trabajar durante este periodo de tiempo, y durante cuánto tiempo necesitará acceso? ¿Qué intenta hacer exactamente el usuario con su acceso?

Tomemos el ejemplo de Alice, una subcontratista de ACME que necesita acceder al sistema informático de la empresa para realizar tareas de mantenimiento en algunos de sus servidores clave. Gracias al principio Just-In-Time, Alice podrá crear un ticket que, tras ser aprobado por el departamento informático, le dará acceso exclusivo a la máquina concreta en la que necesita trabajar, y a ninguna otra, durante un periodo determinado y en unas condiciones predefinidas.

En el caso de Alice, la seguridad JIT permite elevar sus privilegios en condiciones predefinidas para garantizar la seguridad robusta de ACME:

  • Acceso sólo durante el horario laboral normal
  • Acceso a activos sensibles sólo para tareas específicas
  • Elevación de los privilegios de la aplicación sin elevar toda la sesión del usuario
  • Acceso remoto seguro para empleados y proveedores externos

Hay muchas reglas y desencadenantes de ECI contextuales en función de los usos y características de las cuentas privilegiadas basadas en derechos, flujos de trabajo de aprobación y autenticación multifactor. En cada caso, es importante preguntarse qué normas rigen el uso de un acceso ECI y qué condiciones deben cumplirse para su revocación.

¿Cómo implantar el JIT?

El primer paso sería auditar todos los privilegios de acceso de los usuarios, en toda la empresa, para determinar el alcance y la magnitud del problema. ¿Cuántos usuarios hay? ¿Cuáles son sus perfiles y a qué aplicaciones y sistemas suelen solicitar acceso? ¿Cuántas cuentas de usuario están inactivas y cuántos privilegios elevados se utilizan poco o nunca?

En función de las respuestas, el siguiente paso será establecer una política interna para definir los requisitos que deben cumplir los usuarios si quieren acceder a los sistemas objetivo: ¿Durante cuánto tiempo debe concederse el acceso? ¿A qué funciones y equipos? ¿Y en qué condiciones?

También tendrás que recuperar el control sobre todas las contraseñas y credenciales de los sistemas objetivo. Centralizar la gestión y la rotación de las contraseñas de las aplicaciones y los activos informáticos es fundamental para garantizar una gestión integral de riesgos y vulnerabilidades.

Ya podemos decir que estás totalmente preparado para adoptar la política de seguridad «Just-In-Time», ¡sólo queda implantar la solución WALLIX PAM4ALL!

WALLIX PAM4ALL ofrece una respuesta concreta a los problemas que plantean las cuentas siempre activas. PAM4ALL es la solución unificada de gestión de privilegios y accesos que te permite asegurar, controlar y gestionar todos los accesos de usuarios (ya sean humanos o máquinas, desde administradores informáticos a empleados o subcontratistas), sentando las bases de una arquitectura de Confianza Cero basada en:

  • MFA o Autenticación Multifactor, que neutraliza los riesgos asociados a las credenciales comprometidas utilizando una amplia gama de mecanismos.
  • Gestión de acceso remoto para proveedores, empleados o mantenedores de terceros, aplicando permisos granulares a las personas que acceden a los servicios digitales sensibles de la empresa.
  • Gestión de sesiones para aumentar la supervisión de la seguridad y controlar el «qué, cómo y cuándo» de las personas internas y externas que acceden a activos empresariales críticos.
  • Gestión de contraseñas con la seguridad y rotación de contraseñas y claves, así como la eliminación de contraseñas duras. PAM4ALL también permite separar las estaciones de trabajo de las cuentas dedicadas a la administración de los usuarios de una empresa (silo) y protege las credenciales de acceso y las contraseñas de Active Directory.
  • Gestión de mínimos privilegios para eliminar los derechos de administración local de las estaciones de trabajo, a fin de conceder los privilegios adecuados al usuario adecuado en el momento oportuno, bloquear los movimientos laterales y detener la propagación de malware.

Con PAM4ALL, los usuarios, como los administradores informáticos con acceso a cuentas, ya no tienen privilegios ilimitados. Los usuarios humanos y las máquinas pueden solicitar una elevación temporal de privilegios cuando necesiten realizar tareas ocasionales o ejecutar comandos que requieran privilegios. Los activadores, la gestión de privilegios y las reglas de revocación, así como los métodos de aplicación del JIT, están bajo el control de TI, que puede adaptar el uso del JIT según sus criterios de política de seguridad.

WALLIX PAM4ALL protege a todos los usuarios, incluso fuera del equipo informático, ya que los puntos finales son una fuente constante de vulnerabilidades. La gestión de Mínimos Privilegios permite a los usuarios elevar los privilegios de forma dinámica y transparente para una aplicación o proceso específico, sin tener que elevar los privilegios de sesión o de usuario. Con PAM4ALL, se concede el acceso y se permite la elevación de privilegios «Justo a tiempo», es decir, en el momento en que un usuario necesita realizar una tarea específica (ejecutar un programa, instalar software de confianza), al tiempo que se bloquean las operaciones de codificación no autorizadas o los intentos de elevación de privilegios.

Para saber más sobre la seguridad Just-in-Time, mira nuestro webinar:

Póngase en contacto con nosotros

Contenidos relacionados

Recursos relacionados