Integración PAM-ITSM: ¿cuáles son las buenas prácticas que deben aplicarse?
Según Forrester, el 80% de las brechas de seguridad implican credenciales comprometidas de cuentas privilegiadas, y estas pueden tener un gran impacto en el negocio de una empresa. No obstante, el riesgo que suponen estas cuentas se puede mitigar al integrar un sistema de gestión de accesos privilegiados (PAM) con una solución de gestión de servicios de tecnologías de la información (ITSM). Esta integración permite conservar la noción de aprobación para evitar que nadie (incluso las personas autorizadas) se conecte a las máquinas sin motivo y, además, también garantiza la trazabilidad de la gestión de las intervenciones de extremo a extremo. Estos principios de confianza cero (Zero Trust) y menor privilegio, unidos al sistema de gestión de incidentes ITSM, protegen firmemente los activos sensibles de la empresa, cerrando la puerta a los ataques y garantizando el cumplimiento de la normativa en materia de ciberseguridad.
Integración de PAM e ITSM: Gestión de incidencias justo a tiempo (JIT)
La gestión de los accesos privilegiados (PAM) es un subconjunto de la gestión de los accesos y las identidades (IAM) que se centra exclusivamente en la protección de cuentas y accesos privilegiados. Además, PAM forma parte de la estrategia global de ciberseguridad de las organizaciones al controlar, supervisar, proteger y auditar todas las cuentas privilegiadas en los entornos informáticos o industriales. También permite rastrear quién accede a los recursos y cuándo con el objetivo de controlar los niveles de privilegio de los usuarios. Todo esto se realiza a través de tres procesos clave: identificación, autenticación y autorización.
Las herramientas de gestión de servicios de IT (ITSM) son conjuntos de soluciones que integran sistemas de gestión de workflows para gestionar incidentes, solicitudes de servicio y/o cambios de configuración. Este conjunto de herramientas también incluye una base de datos que enumera y garantiza todas las configuraciones desplegadas en los activos de la empresa – CMDB (Configuration Management DataBase).
Por tanto, estas dos soluciones son muy útiles de forma independiente, pero es su estrecha integración lo que eleva el nivel de seguridad global. Por ejemplo, al integrar PAM e ITSM se puede rastrear las acciones en las máquinas concediendo acceso a un objetivo directamente a través de un ticket en modo Just-In-Time o justo a tiempo. Cada vez que un empleado quiera conectarse a un objetivo, este deberá justificar su solicitud de conexión antes de obtener una autorización por un periodo definido. De esta forma, se refuerza y traza de extremo a extremo la seguridad de los accesos.
Integración de PAM e ITSM: Mejor correlación de la información
Si las soluciones PAM acopladas a las soluciones IdaaS pueden gestionar las identidades, los accesos y las contraseñas de las cuentas privilegiadas, ¿cómo realizar el seguimiento de los accesos a los objetivos y los detalles de las intervenciones?
En muchas empresas se observa el aislamiento de las soluciones ITSM y PAM. Por un lado, la herramienta ITSM reconoce el incidente y enumera las solicitudes de intervención o de creación de nuevos servicios y, por otro, la solución PAM se centra en las personas identificadas y autorizadas para trabajar en estas solicitudes.
Su funcionamiento en silo, la falta de integración ITSM/PAM no permite validar y justificar las intervenciones y hace más complejo el análisis posterior al incidente, debido a la falta de trazas y pruebas.
Por lo tanto, todas las solicitudes realizadas en la solución PAM deben estar vinculadas a las que también se registran e integran en la solución ITSM. Gracias a la interacción de estas dos soluciones, todas las solicitudes de intervención son así declaradas y auditables desde el ITSM. Esta política permite utilizar las capacidades de la solución PAM, como WALLIX Bastion PAM4ALL, para rastrear los eventos y autorizar no solo a las personas que van a ejecutar la orden de intervención, sino también a aquellas que han autorizado esta operación, así como la motivación de la misma.
En caso de auditoría a raíz de un incidente, o de conformidad, es posible correlacionar la información relacionada con el evento y las acciones realizadas a través del número de ticket registrado en la herramienta ITSM. En este caso, los auditores podrán vincular una sesión ejecutada y comprender la validez (o no) de la solicitud original.
Para que esta política sea eficaz, se recomienda que tanto PAM como ITSM dispongan de una lista de activos sincronizada.
Coherencia entre ITSM, CMDB y PAM: Una protección adicional
Esta perfecta sincronización entre la base de datos de gestión de la configuración (CMDB) del sistema ITSM y la solución PAM desplegada resulta muy útil durante el análisis posterior al incidente para contar con rastros y pruebas.
También facilita la identificación de accesos fraudulentos a un objetivo, especialmente cuando los actores son subcontratados. Por otro lado, la asignación de la CMDB a los objetivos declarados en la solución PAM añade más protección ya que las sesiones remotas deben incorporar el mismo nivel de control, aprobación, seguimiento y supervisión que las sesiones internas.
Gracias al aprovisionamiento implementado en la solución PAM y vinculado a la CMDB, es posible verificar que un usuario identificado y autorizado está intentando conectarse al objetivo especificado en el ticket que se abrió previamente en el ITSM.
Esta coherencia entre CMDB, ITSM y PAM puede lograrse en diferentes etapas en función del nivel de integración que la empresa desee implementar:
- El primer nivel de integración puede ser entre el sistema de tickets ITSM y el workflow de aprobación PAM4ALL Bastion. En este caso, el objetivo es establecer el vínculo gracias a un script dedicado que puede adaptarse automáticamente a los diferentes tipos de workflows en el lado ITSM. En efecto, como estos pueden ser diferentes si se trata de la resolución de un incidente o de la creación de un servicio, los workflows de aprobación del lado PAM deben tener en cuenta esta diferenciación. Dependiendo de su configuración, las aprobaciones también pueden ser automáticas o manuales, con soporte de autorización dinámica.
- También es posible establecer un segundo nivel de integración estrecha entre la CMDB y PAM a nivel de recursos con llamadas API desde la solución PAM. En este caso, el aprovisionamiento de Bastion puede realizarse conjuntamente con la CMDB. Este nivel de integración añade un nivel de protección adicional, por ejemplo, comprobando que la persona que solicita la aprobación está rellenando un ticket en el lado ITSM que concierne al mismo objetivo al que desea acceder a través del Bastion.
Como acabamos de ver, las soluciones ITSM y PAM son altamente configurables por las empresas, es necesario construir un proyecto de integración en función de los objetivos estratégicos de cada organización: una integración ITSM/PAM estandarizada no existe como tal.
Cada empresa debe enumerar sus necesidades en términos de prioridad, determinar lo que es posible en el marco de su política de ciberseguridad, personalizar su configuración de autorización o prohibición, definir la automatización deseada, adaptar sus workflows de aprobación o delegación de IT y de negocio y, sobre todo, no descuidar la experiencia del usuario.
Por lo tanto, cada integración debe implicar, en sentido ascendente, a los equipos que gestionan el ITSM, a los que gestionan la solución PAM y, a menudo, al equipo devops que trabaja en los scripts.
Integrar tus soluciones PAM e ITSM, una buena práctica
El despliegue de una solución de gestión de accesos privilegiados (PAM) permite una supervisión sólida de los accesos privilegiados a las infraestructuras informáticas críticas. Para reducir el tiempo de análisis e investigación de los equipos de IT y de seguridad, una integración pertinente con una solución ITSM puede facilitar la tarea vinculándola a la gestión de incidentes o a la solicitud de creación de servicios. Se hace posible correlacionar la necesidad de intervención con las propias intervenciones.
De este modo, la visión de una acción es completa, desde la solicitud inicial cuando se crea el ticket en el sistema ITSM, pasando por el flujo de trabajo de aprobación, hasta el informe de tratamiento del incidente y la traza de vídeo proporcionada por la solución PAM: un elemento clave en caso de auditoría y en el contexto del cumplimiento de la normativa.