Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/12/2012
Consells per a evitar amenaces de seguretat
Una major conscienciació sobre els possibles riscos per a la seguretat és un pas fonamental per a frustrar atacs malintencionats. No obstant això, amb massa freqüència, les organitzacions públiques i privades es veuen obligades a reconéixer que els riscos potencials de seguretat són encara majors quan un atacant aconseguix obtindre privilegis d’administrador, independentment de si és un atacant extern o una amenaça interna.
Quest Software (ara part de Dell) té un gran coneixement dels problemes a què s'enfronten les organitzacions que no tenen el control i les auditories adequades sobre els accessos d'administració i els comptes de superusuari.
Tal com s’arreplega en un estudi realitzat enguany en la The Experts Conference, conferència anual que reunix professionals de la informàtica de tot el món sota el patrocini conjunt de Quest i Microsoft, la mitat de les organitzacions enquestades van manifestar que el seu principal problema normatiu és garantir la correcta assignació dels privilegis d’accés dels usuaris, incloent-hi els accessos amb privilegis. En el cas de la gestió de comptes amb privilegis, la situació és encara més problemàtica quan els administradors reben “les claus del regne”, a l’obtindre privilegis d’accés anònim compartit als sistemes informàtics crucials. En el sector privat, els errors i carències a l'hora de gestionar els accessos a la informació i l’adequació a les normatives per mitjà de mandats de seguretat poden comportar pèrdues d’ingressos, auditories adverses i un deteriorament generalitzat de la marca. En les institucions governamentals, per la seua banda, la gestió dels drets d’accés planteja situacions d’alt risc, ja que anticipar-se a les possibles amenaces emergents és una qüestió de seguretat nacional. Tant és així, que la gestió dels comptes amb privilegis queda arreplegada en diversos certificats de seguretat, incloent-hi les ISO 27001 i NIST 800-53. Un nou informe elaborat per Enterprise Management Associates per a Quest, destaca els controls d’accessos d'administració incorrectes com “una de les llacunes de seguretat informàtica més indignants en moltes organitzacions.
L’informe, titulat “Per què hauria de replantejar-se la gestió de privilegis d’accés ( i coses que que desconeixeu hauríeu de conéixer)”, examina algunes de les excuses més freqüents que oferixen les companyies a l’hora de justificar els seus descuits. A més l’informe oferix perspectives de gran utilitat sobre com les pràctiques modernes d’administració de comptes amb privilegis (o PAM, per les seues sigles en anglés), i les corresponents solucions tecnològiques poden cobrir eixes carències de seguretat per mitjà d'un control flexible de les polítiques, l’automatització dels fluxos de treball i el registre i seguiment de totes les activitats, a fi d’augmentar la seguretat, complir les normatives i augmentar l’eficiència.
A fi d’ajudar als directors executius a evitar estos riscos de seguretat, tristament tan sovint, Quest oferix tres consells pràctics:
1. Assignar responsabilitats individuals a l’activitat dels superusuaris
Els drets d’administració compartits i mal gestionats no són una simple mala idea; suposen la forma més ràpida i senzilla d’exposar tota una organització a riscos innecessaris, ja que estos comptes de superusuari solen tindre amplis privilegis sobre sistemes operatius, aplicacions, bases de dades, etc. De compartir-se els comptes, qualsevol possible error de seguretat o normativa podrà rastrejar-se a nivell de compte, però no serà possible determinar quin administrador l’ha estat emprant.
Per això, a fi de contindre possibles riscos, convindrà adoptar un plantejament pel qual només oferirem als administradors privilegis d’accés sobre allò que necessiten, quan ho necessiten. Ni més, ni menys. Així, només s’emetrien les credencials que foren necessàries, en el moment en què foren necessàries, acompanyant-les d’un registre auditat de qui les utilitza,qui ha n'aprovat l'ús, per a què s’han utilitzat i com i per què s’han entregat. Una vegada s'hagen utilitzat per al fi per al que estaven previstes, haurà de canviar-se la contrasenya immediatament. La capacitat per a automatitzar i assegurar tot este procés suposa un mitjà eficaç per a gestionar els drets d’administració de tota una organització. De la mateixa manera, les pràctiques PAM són fonamentals a l’hora de garantir la col·laboració correcta entre les agències locals, estatals i federals, i poden suposar la diferència entre una correcta col·laboració i intercanvi d’informació entre totes les esferes del govern, o suposar un col·lapse total de dita col·laboració.
La resta de la notícia ací.