Ir al contenido principal

Uso controlado de privilegios administrativos

Los procesos y herramientas utilizados para rastrear, controlar, prevenir y corregir el uso, la asignación y la configuración de privilegios administrativos en computadoras, redes y aplicaciones.


¿Por qué es importante este control?

El uso indebido de privilegios administrativos es un método principal para que los atacantes se propaguen dentro de una empresa objetivo. Dos técnicas de ataque muy comunes aprovechan los privilegios administrativos no controlados. En el primero, el usuario de una estación de trabajo ejecutándose como usuario privilegiado es engañado para abrir un archivo adjunto de un correo electrónico malicioso, descargar y abrir un archivo de un sitio web malicioso o simplemente navegar a un sitio web que alberga contenido del atacante que puede explotar automáticamente los navegadores. El archivo o exploit contiene un código ejecutable que se ejecuta automáticamente en la máquina de la víctima o engaña al usuario para que ejecute el contenido del atacante. Si la cuenta del usuario de la víctima tiene privilegios administrativos, el atacante puede controlar completamente la máquina de la víctima e instalar keyloggers, sniffers y software de control remoto para buscar contraseñas administrativas y otros datos confidenciales. Ataques similares ocurren con el correo electrónico. Un administrador inadvertidamente abre un correo electrónico que contiene un archivo adjunto infectado y esto se utiliza para obtener un punto de pivote dentro de la red que se usa para atacar a otros sistemas.


La segunda técnica común utilizada por los atacantes es la elevación de privilegios al adivinar o descifrar una contraseña de un usuario administrativo para obtener acceso a una máquina objetivo. Si los privilegios administrativos son distribuidos de manera amplia y descuidada, o idénticos a las contraseñas utilizadas en sistemas menos críticos, al atacante le resulta mucho más fácil obtener el control total de los sistemas, porque hay muchas más cuentas que pueden actuar como un medio para que los atacantes comprometan los privilegios administrativos.


Subcontrol Tipo de activo Función de seguridad Control Descripción
4.1 Usuarios Detectar Mantener un inventario de cuentas administrativas Use herramientas automatizadas para inventariar todas las cuentas administrativas, incluidas las cuentas de dominio y locales, para garantizar que solo las personas autorizadas tengan privilegios elevados.
4.2 Usuarios Proteger Asegurar el uso de cuentas administrativas dedicadas Asegúrese de que todos los usuarios con acceso a la cuenta administrativa utilicen una cuenta dedicada o secundaria para actividades elevadas. Esta cuenta solo se debe usar para actividades administrativas y no para la navegación por Internet, correo electrónico o actividades similares.
4.4 Usuarios Proteger Usar contraseñas únicas Cuando no está soportada la autenticación multifactor (como el administrador local, root o cuentas de servicio), las cuentas usarán contraseñas que son únicas de ese sistema.
4.5 Usuarios Proteger Usar autenticación multifactor para todo acceso administrativo Utilice autenticación de multifactor y canales encriptados para todos los accesos de cuentas administrativas.
4.6 Usuarios Proteger Usar máquinas dedicadas para toda tarea administrativa Asegúrese de que los administradores utilicen una máquina dedicada para todas las tareas administrativas o tareas que requieren acceso administrativo. Esta máquina debe estar en un segmento de red diferente al principal de la organización y no se le permitirá el acceso a Internet. Esta máquina no se usará para leer correos electrónicos, manipular documentos o navegar en Internet.
4.7 Usuarios Proteger Limitar el acceso a herramientas de scripts Limite el acceso a las herramientas de scripting (como Microsoft PowerShell y Python) solo a usuarios administrativos o de desarrollo que necesiten acceder a esas funcionalidades.
4.8 Usuarios Detectar Registrar y alertar cambios de miembros en grupos administrativos Configure los sistemas para que generen una entrada de registro y una alerta cuando se agregue o elimine una cuenta a cualquier grupo que tenga asignados privilegios administrativos.
4.9 Usuarios Detectar Registrar y alertar los inicios de sesión fallidos a cuentas administrativas Configure los sistemas para generar una entrada de registro y una alerta de inicios de sesión fallidos en una cuenta administrativa.

Procedimiento y herramientas

Las funciones integradas del sistema operativo pueden extraer listas de cuentas con privilegios de superusuario, tanto localmente en sistemas individuales como en controladores de dominio en general. Para verificar que los usuarios con cuentas con privilegios altos no usen dichas cuentas para la navegación web diaria y la lectura de correos electrónicos, el personal de seguridad debe recopilar periódicamente una lista de procesos en ejecución para determinar si los navegadores o lectores de correo electrónico se están ejecutando con privilegios elevados. Esta recopilación de información se puede programar, con scripts de shell cortos que buscan una docena o más de navegadores diferentes, lectores de correo electrónico y programas de edición de documentos que se ejecutan con privilegios elevados en las máquinas. Algunas actividades legítimas de administración del sistema pueden requerir la ejecución de dichos programas a corto plazo, pero el uso a largo plazo o frecuente de dichos programas con privilegios administrativos podría indicar que un administrador no se está adhiriendo a este Control.


Para hacer cumplir el requisito de contraseñas seguras, se pueden configurar una longitud mínima de contraseñas mediante las características integradas del sistema operativo para evitar que los usuarios elijan contraseñas cortas. Para aplicar la complejidad de la contraseña (que requiere que las contraseñas sean una cadena de caracteres pseudoaleatorios), se pueden aplicar las configuraciones integradas del sistema operativo o herramientas de terceros de cumplimiento de complejidad de contraseñas. La robustez y la gestión de la contraseña (por ejemplo, la frecuencia del cambio) se deben considerar en un contexto de sistema y ciclo de vida. Una guía de referencia es: The NIST Digital Identity Guidelines (https://pages.nist.gov/800-63-3/)

Comentarios

Entradas más populares de este blog

Introducción a los CIS controls

Introducción CIS Controls es un conjunto de acciones priorizadas que colectivamente forman un conjunto de mejores prácticas de defensa que mitigan los ataques más comunes contra sistemas y redes. Los Controles CIS son desarrollados por una comunidad de expertos en TI que aplican su experiencia de primera mano como defensores cibernéticos para crear estas mejores prácticas de seguridad aceptadas globalmente. Los expertos que desarrollan los Controles CIS provienen de una amplia gama de sectores que incluyen retail, fabricación, salud, educación, gobierno, defensa y otros. Estamos en un punto fascinante en la evolución de lo que ahora llamamos defensa cibernética. Pérdidas masivas de datos, robo de propiedad intelectual, violaciones de tarjetas de crédito, robo de identidad, amenazas a nuestra privacidad, denegación de servicio: se han convertido en una forma de vida para todos nosotros en el ciberespacio. Y, como defensores, tenemos acceso a una extraordinaria

Equipos Mikrotik [parte 2]

Gama Media En esta gama tenemos equipos con una fortaleza suficiente para una gran mayoría de soluciones para redes de casi 200 puntos de red. A continuación, veremos algunos modelos Routers Mikrotik de gama media: RB2011UiAS-2HnD-IN Este Router viene equipado con AP de 2.4Ghz, mas 10 puertos ethernet que de estos 5 son puertos Gibabit y los otros 5 son 10/100 asi también viene 1 puerto SFP, tiene un procesador de 600MHz con ram de 128MB, este equipo viene de fabrica con una licencia de RouterOS L5 con un costo que ronda desde los $2500 a los $3200. Si bien este equipo te ofrece la característica de tener un WiFi en tu router principal si de lo contrario no quisieras esta modalidad esta la opción de este equipo que no tiene el AP integrado que el modelo es RB2011UiAS-RM que los costos son similares si estas en una corporación donde ya se tenga bien definido tu red WiFi no es necesario comprar el RB2011UiAS-2HnD-IN ya que con este puedes cumplir con los requerimientos nece

Inventario de Software autorizados y no autorizados

Gestione activamente todo software en la red (inventario, seguimiento y corrección), de tal manera que solo software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación y ejecución. ¿Por qué es importante este control? Los atacantes escanean continuamente a las organizaciones objetivo en busca de versiones vulnerables de software que pueden explotarse de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar exploits d