Seguridad de la información: tres pilares de la seguridad cibernética y los vectores de ataque

News 2023-08-19 04:16:35 views: null

Morey Haber, CTO y CISO de BeyondTrust ( líder en el Cuadrante de Gartner para la gestión de acceso privilegiado durante cuatro años consecutivos ), es coautor de tres libros de una sola vez:

  • " Vectores de Ataque de Identidad ": Desde la perspectiva de la identidad , investigar vectores de ataque y diseñar soluciones IAM (identity and access management).

  • " Vectores de ataque privilegiados ": Desde la perspectiva de los permisos , examinar los vectores de ataque y diseñar una solución PAM (Gestión de acceso privilegiado).

  • " Vectores de ataque de activos ": desde la perspectiva de los activos , examinar los vectores de ataque y diseñar soluciones de gestión de vulnerabilidades .

Curiosamente, el autor cree que estos tres libros solo construyen los tres pilares de la seguridad de la red : 1) Identidad; 2) Autoridad; 3) Activos . Solo sobre la base de una sólida estructura de trípode se puede construir una sólida base de seguridad.

El recordatorio más importante: la integración/integración de los tres pilares es crítica . Una buena solución de seguridad debe ser propicia para la integración de los tres pilares. Por el contrario, si una solución de seguridad no opera en estos tres pilares y no facilita la interoperabilidad y la integración de datos en los tres pilares, entonces es una solución aislada.

Para una serie de libros que explican sistemáticamente su marco de seguridad y soluciones específicas , el autor, naturalmente, no quiere perderse. Después de revisar la versión en inglés de casi mil páginas, espero recomendarla a todos.

Actualmente, la versión china de "Identity Attack Vectores" estará disponible en agosto de 2022. ¡Me gustaría agradecer al traductor por donar el libro! Se informa que los otros dos también están en proceso de traducción.

Este artículo intenta reflejar los vectores de ataque y las defensas de la identidad y los permisos desde la perspectiva de los principales expertos en IAM y PAM del mundo .

¡ Ver es el rey ! Las islas apestan . ¿Estás creando "ver" o estás creando "islas"? ¿Puedes ver vulnerabilidades, identidades y permisos, todo al mismo tiempo ?

Palabras clave: IAM (Gestión de Identidad y Acceso), PAM (Gestión de Acceso Privilegiado);

Tabla de contenido

1. Tres pilares de la ciberseguridad

2. Vectores de ataque para movimiento lateral

3. Vectores de ataque de identidad en la cadena Cyber ​​​​Kill

4. Del 4A tradicional al 5A moderno

1) Las 5 A de IAM (Administración de Acceso a la Identidad)

2) ¿Por qué no hay cuenta (Account)?

3) ¿Por qué hay más gestión (Administración)?

4) ¿Por qué más análisis ?

5. De IAM (Gestión de Acceso a la Identidad) a PAM (Gestión de Acceso Privilegiado)

6. Perspectivas y percepciones

01Tres pilares de la seguridad de la red

Según los autores: A un nivel macro, si agrupa todas las soluciones de seguridad, encontrará que cada una cae en una de tres agrupaciones lógicas. Estas tres agrupaciones lógicas forman los tres pilares de la ciberseguridad. Como se muestra abajo:

Figura 1 - Tres pilares de la ciberseguridad 

Tres pilares:

  1. Identidad (Identidad) : proteger la identidad, la cuenta y las credenciales del usuario del acceso indebido;

  2. Privilegio : protección de derechos y privilegios , y control de acceso de identidades o cuentas ;

  3. Activo : la protección de los recursos utilizados por una identidad (ya sea directamente o como un servicio) ;

Una buena solución de seguridad debe cubrir los tres pilares simultáneamente, y la integración/integración de estos tres pilares es crucial . Por lo tanto, una buena solución de seguridad debe conducir a la integración/integración de los tres pilares.

Una solución de seguridad no puede contrarrestar eficazmente las amenazas modernas si solo puede operar de forma aislada , no es compatible con otras soluciones y no puede interoperar con los tres pilares:

  • Un ejemplo sería una solución antivirus aislada : si bien puede informar la infección de un activo, sería imposible determinar qué identidad (cuenta o usuario) o privilegios usó el malware para infiltrarse en el activo objetivo. Porque no puede compartir y obtener la información de identidad del usuario y el contexto de identidad.

  • Otro ejemplo es una solución de gestión de vulnerabilidad aislada: aunque la información de vulnerabilidad del activo se puede escanear, la información de la cuenta y del grupo de usuarios que pueden acceder al activo no se puede encontrar , por lo que no puede ayudar a determinar mejor la prioridad de los parches y no puede ayudar a administrar. identidades vector de ataque.

Para decirlo de manera más dura: si un proveedor de seguridad no opera en estos tres pilares y no tiene una estrategia de integración/consolidación que facilite la interoperabilidad y el intercambio de datos en los tres pilares , entonces es una solución de un solo punto/isla . Utilice este esquema con precaución.

¿Por qué 3 pilares en lugar de 4 o 5? El autor explicó: ¡porque el taburete de 3 patas no temblará!

El autor ha escrito un libro separado para cada uno de los tres pilares:

  1. " Identidad de vectores de ataque": La versión china ha sido publicada . Este artículo se cita principalmente del libro. Este libro comienza más desde la perspectiva de la identidad , examina los vectores de ataque y diseña soluciones de IAM .

  2. " Vectores de ataque privilegiados ": la versión china aún está en proceso de preparación y está por publicarse . El libro comienza más desde la perspectiva de los permisos , examina los vectores de ataque y diseña soluciones PAM .

  3. " Vectores de ataque de activos ": la versión china aún está en proceso de compilación y está por publicarse . Este libro se centra en la gestión de la vulnerabilidad de los activos . He aquí por qué es importante: la gestión de vulnerabilidades es la base de la seguridad. La identidad también es difícil de proteger cuando el propio activo puede ser explotado .

02 Vectores de Ataque para Movimiento Lateral

Los vectores de ataque se pueden dividir generalmente en dos categorías: 1) vectores de ataque de activos ; 2) vectores de ataque de permisos . Estas dos categorías corresponden exactamente a los dos libros del autor: Vectores de ataque de activos y Vectores de ataque privilegiados.

  • Métodos/vectores de ataque de activos : generalmente a través de vulnerabilidades y fallas de configuración . El enfoque defensivo son las mejores prácticas tradicionales de ciberseguridad, como la gestión de vulnerabilidades, la gestión de parches, la gestión de la configuración, etc. Toda organización debería hacerlo bien en esta área, pero en realidad no es así.

  • Métodos/vectores de ataque privilegiados : por lo general, alguna forma de acceso remoto privilegiado , utilizando técnicas que incluyen adivinación de contraseñas, ataque de diccionario, descifrado de fuerza bruta, pass-the-hash, restablecimiento de contraseña, credenciales predeterminadas, credenciales de puerta trasera, credenciales compartidas, etc. El método de defensa es un modelo de confianza cero y administración de acceso de privilegios justo a tiempo (JIT) .

Vale la pena señalar que los modelos de seguridad modernos, como la confianza cero (definida estrictamente), la identidad instantánea y la gestión de acceso privilegiado se utilizan principalmente para mitigar los vectores de ataque de permisos , no los vectores de ataque de activos .

El movimiento lateral es el principal vector de ataque de amenazas modernas como ransomware, bots, gusanos y otro malware.

El movimiento lateral se refiere a la capacidad de moverse de un recurso a otro y saltar continuamente entre esos recursos. Los llamados " recursos " no solo se refieren a activos (como computadoras, sistemas operativos, aplicaciones, contenedores, máquinas virtuales, etc.), sino que también incluyen cuentas e identidades (como se muestra en la primera columna de la tabla a continuación).

Tomando como ejemplo el ataque de movimiento lateral , en la siguiente tabla se muestran ejemplos de los dos tipos de vectores de ataque:

Tabla 2 - Vectores de ataque en técnicas de movimiento lateral

Solo los vectores de ataque de los dos pilares se mencionan arriba, ¿qué pasa con el vector de ataque del tercer pilar (identidad)? Lo presentaremos en la siguiente subsección.

03

Vectores de ataque de identidad en la cadena Cyber ​​Kill

Tome la conocida cadena cibernética como ejemplo para ver cómo se manifiestan los vectores de ataque de identidad. Seguimos las cuatro etapas de la cadena de muerte (los vectores de ataque de identidad están marcados en azul ):

Figura 3 - Vectores de ataque de identidad en la fase de reconocimiento

Figura 4 - Vectores de ataque de identidad en la fase de intrusión

Figura 5 - Vectores de ataque de identidad en la fase de explotación

Figura 6 - Vectores de ataque de identidad en la etapa de exfiltración

A juzgar por las cuatro etapas anteriores de la cadena de ataque, los ataques de identidad se centran en dos de ellas: la etapa de intrusión y la etapa de explotación. Durante estas dos fases, los ataques de identidad tienen dos objetivos principales: la escalada de privilegios y el movimiento lateral.

Por lo tanto, se puede concluir que la esencia del vector de ataque de identidad es construir una cadena de ataques de privilegios para lograr una escalada de privilegios y un movimiento lateral. Como se muestra en el pequeño círculo azul punteado en la siguiente figura :

Figura 7 - Cadena de ataques de permisos

04Del 4A tradicional al 5A moderno

1) Las 5 A de IAM (Administración de Acceso a la Identidad)

Figura 8: Las cinco A de la gestión de la identidad

El nuevo 5A de IAM se refiere a Autenticación, Autorización, Administración , Auditoría y Análisis .

El 4A tradicional se refiere a autenticación (Authentication), autorización (Authorization), cuenta (Cuenta), auditoría (Audit).

Los puntos en común entre el nuevo 5A y el antiguo 4A son: autenticación, autorización y auditoría. Por no hablar de la auditoría. El libro ofrece las siguientes fórmulas concisas para la autenticación y autorización:

  • autenticación = inicio de sesión + clave (contraseña);

  • Autorización = privilegio (privilegio) + autenticación;

La diferencia entre el nuevo 5A y el antiguo 4A es: menos cuenta (Account), pero más gestión (Administración) y análisis (Analytics). Esta pieza involucra el concepto del nuevo 5A y el antiguo 4A , por lo que vale la pena explicarlo.

2) ¿Por qué no hay cuenta (Account)?

El autor cree que esto está relacionado con el énfasis del autor en la "identidad" y el debilitamiento de la "cuenta" .

Aquí está la diferencia entre identidad y cuenta y usuario :

  • Las cuentas son representaciones electrónicas de identidades ;

  • Una identidad puede corresponder a múltiples cuentas ;

  • Una identidad solo puede corresponder a un usuario ;

Desde una perspectiva de seguridad de identidad, las identidades son más importantes que las cuentas . Pero la identidad solo puede funcionar a través de cuentas, y las cuentas son la manifestación de la identidad. Si la cuenta realmente puede jugar el valor de la identidad depende de si la cuenta se puede asignar a la identidad.

Por lo tanto, la asociación entre cuentas e identidades es crucial . Las cuentas que no se pueden vincular a las identidades son vectores de ataque para las identidades. Un ejemplo de esto son las " cuentas huérfanas " comunes en las empresas, es decir, aquellas cuentas que no están asociadas a usuarios conocidos. También existen cuentas de servicios compartidos que utilizan las aplicaciones para acceder a las bases de datos Si no se pueden asociar con identidades de usuarios reales, no hay forma de saber quién ha accedido a sus datos (consulte "¿ Quién movió sus datos? "). Uno de los objetivos principales del gobierno de identidad moderno es asociar cuentas con usuarios reales (identidades) y eliminar las cuentas huérfanas tanto como sea posible.

Por lo tanto, en el 4A tradicional, aunque hay un sistema de cuentas, no se puede asignar a la identidad en muchos casos. Esta es la razón por la cual el 4A tradicional es solo para la seguridad de la cuenta , mientras que el 5A moderno es para la seguridad de la identidad .

Esto incluso implica un problema filosófico similar: se pueden dar cuentas a todos los sujetos de la red , pero las identidades solo se pueden dar a humanos o robots de software . Es decir, si un sujeto de red (aplicación, dispositivo de red, etc.) recibe una identidad depende de si se hace pasar por una persona. Solo aquellos que quieren imitar a las personas (como los robots de entrega urgente ) necesitan una identidad, de lo contrario solo necesitan dar una cuenta. Es decir, los dispositivos y aplicaciones de red comunes solo necesitan asignar cuentas. La asignación excesiva de identidades complicará el problema y conducirá a un vector de ataque más grande (porque el vector de ataque de identidad es más grande que el vector de ataque de cuenta ).

Alguna vez imaginamos que en la próxima era de Internet de todo, las identidades digitales deberían asignarse a todo lo conectado a Internet (dispositivos de Internet de las cosas). Después de leer este libro, inevitablemente tendrá un gran signo de interrogación. Porque no es tan simple como pensábamos antes.

3) ¿Por qué hay más gestión (Administración)?

Gestión aquí significa gestión de configuración y control de gobierno sobre cualquier cambio en la autenticación, autorización, auditoría.

Después de 25 años en el espacio IAM , miramos hacia atrás y pensamos: cuánto ha cambiado y cuánto no. Encontrará que: Las tecnologías de autenticación (Authentication) y autorización (Authorization) han experimentado demasiados cambios y la gestión (Administración) siempre ha sido un requisito relativamente estable (y no se ha hecho bien). Por lo tanto, es necesario separar la gestión de la autenticación y la autorización para formar una A separada.

Tal vez le pregunte sobre Identity Governance , y Identity Governance solo cubre las tres A de Administración , Auditoría y Análisis .

4) ¿Por qué más análisis ?

El análisis se refiere a la recopilación y el procesamiento continuos de datos de configuración, asignación y uso relacionados con la identidad para obtener información operativa y de seguridad .

El análisis de identidad avanzado admite un enfoque de gobernanza más inteligente y predictivo. Mediante el uso de técnicas de aprendizaje automático (ML) e inteligencia artificial (IA), las herramientas de análisis de identidad pueden proporcionar información crítica de análisis de grupos de pares que puede ayudar a ampliar las capacidades de gestión y auditoría de identidad y hacerlas más dinámicas y receptivas.

El 4A tradicional carece de análisis . Con los avances en el aprendizaje automático (ML) y la inteligencia artificial (IA), ahora se pueden descubrir y procesar grandes cantidades de datos operativos para revelar información oculta e indicadores procesables mucho más allá de lo que los motores tradicionales basados ​​en reglas pueden lograr Ability .

05 De IAM a PAM

diferencias de campo . IAM (Administración de identidad y acceso) se centra más en la identidad ; PAM (gestión de acceso privilegiado) se centra más en los permisos . Los dos se ocupan respectivamente de las necesidades de seguridad de los dos pilares (es decir, el pilar de identidad y el pilar de autoridad).

diferencias funcionales . La siguiente figura muestra la composición funcional de IAM y PAM:

Figura 9 - Componentes de IAM y PAM

diferencias de usuario . Los privilegios son una autoridad superior a la autoridad ordinaria. Hay dos clasificaciones básicas de usuarios: usuarios estándar (con derechos normales) y administradores (con privilegios , que se dividen a su vez en administradores locales y administradores de dominio ). Por lo general, también se agregan usuarios invitados (con privilegios más bajos que los usuarios estándar) .

Una división más detallada de los usuarios. Tomemos como ejemplo una organización con un entorno de fabricación. El ámbito de usuario de IAM y PAM se muestra en la siguiente figura:

Figura 10 - Comparación de categorías entre IAM y PAM

diferencia de recursos . La perspectiva de los permisos es, por un lado, a nivel de macrousuario (que es en lo que se enfoca IAM), y por otro lado a nivel de microrrecursos ( que es en lo que se enfoca PAM). Ver los permisos como parte de la aplicación a nivel de recursos es miope. Los privilegios también deben integrarse en todos los niveles del recurso , es decir, sistemas operativos, sistemas de archivos, aplicaciones, bases de datos, hipervisores, plataformas de administración de la nube e incluso en la red por segmento, para contrarrestar los ataques de privilegios de alto nivel.

diferencia de visibilidad . IAM puede responder "¿Quién tiene acceso a qué?" Sin embargo, para una visibilidad completa del usuario, PAM aborda las preguntas restantes: "¿Esapropiado este acceso?" y "¿Se está utilizando correctamente este acceso?" Dicho esto, PAM puede proporcionarmás visibilidadyauditoría más profunda.

Muchas veces, IAM agregará un usuario a un sistema o grupo de aplicaciones , pero no proporcionará detalles sobre el acceso que tienen los miembros de ese grupo, ni proporcionará acceso a registros de sesión detallados o registro de teclas recopilados durante la capacidad de sesiones privilegiadas. PAM puede ampliar estas capacidades. Así, PAM amplía la visibilidad de las soluciones IAM .

Nota especial: En otro libro del mismo autor, "Vectores de ataque privilegiados", se explica sistemáticamente el PAM. El equipo de traducción de "Vectores de ataque de identidad" también está en proceso de traducirlo. Se espera que la versión traducida esté disponible en un futuro próximo.

06 Perspectivas y percepciones

En el capítulo final del libro, los autores dan los principios clave de la gestión de acceso a la identidad (IAM):

  1. Piense en identidades en lugar de cuentas . Un usuario de una organización suele tener varias cuentas y varios permisos para cada cuenta. Si una empresa enfoca su programa IAM solo en la administración a nivel de cuenta (en lugar de a nivel de identidad) , nunca obtendrá la visibilidad holística necesaria para comprender correctamente quién tiene acceso a qué . Comprender la relación de tres vías entre las identidades y sus cuentas , entre las cuentas y sus permisos , y entre los permisos y los datos/información que protegen es clave. Solo al centralizar los datos relevantes en torno a las identidades (en lugar de las cuentas), las empresas pueden desarrollar la vista y la visibilidad correctas.

  2. ¡ Ver es el rey ! Las islas apestan . Con la tendencia de la nube, las cosas, los dispositivos móviles y las megatendencias, la visibilidad centralizada de un solo punto se convierte en la clave para la seguridad organizacional. Sólo entonces pueden verse sus identidades y datos de acceso en toda la empresa .

  3. Se requiere gobierno de identidad de ciclo de vida completo . Al incorporar políticas y controles a lo largo del ciclo de vida de la identidad, las organizaciones pueden lograr una mayor automatización, un cumplimiento continuo y un riesgo de seguridad reducido.

  4. Integre IAM con la implementación de PAM . PAM complementa el esquema IAM, agregando una capa de control y auditoría para cuentas "privilegiadas".

  5. Adopte un enfoque predictivo . Aplique activamente tecnologías de aprendizaje automático e inteligencia artificial para permitir decisiones de acceso más inteligentes e informadas.

  6. Implementar el privilegio mínimo .

  7. ¡ La experiencia del usuario es lo primero ! Las tecnologías de administración de derechos y gobierno de identidades deben contribuir a una mejor experiencia de usuario, si no es que las personas de negocios las rechacen por su valor de seguridad.

Supongo que te gusta

Origin blog.csdn.net/philip502/article/details/127227712
Recomendado
Clasificación
Diario
Más
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)

Code World

© 2018 codetd.com