Es necesario remediar el acceso privilegiado para abordar los hallazgos con el objetivo general de reducir el riesgo. El análisis de la causa raíz es fundamental en la corrección del acceso privilegiado. Es preferible que exista un proceso automatizado para la remediación, sin embargo, no todas las empresas tienen procesos automatizados para realizar la remediación de acceso, ya sea debido a la madurez o el costo de las herramientas para automatizar. Ya sea automatizado o manual, el análisis de la causa raíz es fundamental para garantizar que el riesgo no se repita continuamente. Utilizar las herramientas disponibles para identificar brechas y cerrarlas permanentemente. Por ejemplo, el uso de informes de Change Auditor y Splunk ayuda a mi propio equipo a la hora de realizar el análisis de causa raíz. Cuando mi equipo recibe una lista de usuarios o grupos de Active Directory que no cumplen la normativa, realizamos determinadas actividades como parte de la corrección. Esto es para asegurar que evitamos la interrupción del negocio debido a la eliminación innecesaria de acceso, pero lo más importante es que nos estamos adhiriendo al principio del mínimo privilegio (Least Privilege Principle). Los equipos están ocupados y queremos asegurarnos de que hacemos todo lo posible para obtener los resultados que necesitamos a tiempo.
He aquí un proceso paso a paso que ayuda a mi equipo a lograr el objetivo:
Paso 1: Realizar la diligencia debida
El primer paso es realizar la diligencia debida. Aquí es donde verificamos la violación de acceso con nuestro informe. El equipo valida si, efectivamente existe una violación para estar seguros antes de ponernos en contacto con el usuario o usuarios en cuestión. En este primer paso utilizamos cualquiera de las herramientas de detección disponibles para verificar el acceso.
Paso 2: Iniciar la comunicación
Una vez confirmada la violación del acceso, el siguiente paso es ponerse en contacto con el propietario del grupo de Active Directory o con el usuario o usuarios en cuestión. La cuestión importante que hay que abordar en esta fase es si, el acceso al recurso sigue siendo necesario o no, y si el acceso privilegiado es necesario, de igual manera nos asegurarnos de educar al usuario sobre la protección del acceso al recurso utilizando la gestión de acceso privilegiado.
Paso 3: Análisis de la causa raíz
Aquí es donde el analista realizará un análisis en profundidad de la violación de acceso si el usuario afectado vuelve para obtener más información con respecto a la violación o, a veces, la niega. A continuación, el analista trabaja para encontrar la causa raíz utilizando herramientas como Change Auditor y/o reportes de Splunk. Estas herramientas ayudarán a averiguar qué acceso se concedió, quién lo concedió y cuándo se concedió.
Paso 4: Gestión de solicitudes de servicio
Las herramientas ITSM como ServiceNow facilitan las tareas y los flujos de trabajo asociados a la gestión y disponibilidad de los servicios, satisfacen las solicitudes de servicio y agilizan los servicios.
Una vez que el usuario confirme que el acceso privilegiado sigue siendo necesario, se envía un ticket para reflejar el cambio de acceso con el proceso de aprobación adecuado. Sin embargo, si el usuario confirma que el acceso ya no es necesario entonces se envía un ticket para procesar la eliminación del acceso de manera oportuna.
Paso 5: Probar el acceso
En el caso de los usuarios para los que sí se requiere acceso privilegiado (Administradores, Escritura o Actualización), el siguiente paso es que el usuario pruebe su acceso al servidor o a la base de datos. Este paso es necesario para garantizar que el usuario puede acceder al recurso correcto con los permisos adecuados para realizar el trabajo.
Paso 6: Documentación
El seguimiento del trabajo y el progreso de su equipo es clave para asegurarse de que están cumpliendo los objetivos. Aprovecha cualquier herramienta ágil o de gestión de proyectos que tenga la empresa para hacer un seguimiento y obtener resultados. Hay muchas herramientas de software ágil disponibles en el mercado, como Rally y Jira que te pueden ayudar a seguir el progreso de tus proyectos y mejorar la eficiencia y la transparencia.
Traducido por Saul Zenteno, Vicente Muñoz Milchorena, y Nearshore Cyber.
Acerca del Autor: Maria Rasner trabaja en el Trust Financial Corp como jefa de equipo de PAM en Privileged Access Remediation (Remediación de Acceso Privilegiado) y una de las responsables técnicas de IAM (Identity and Access Management) para el Trust Cloud Security Program. Posee un par de certificaciones relacionadas con el acceso a la identidad del IMI (Identity Management Institute) y un par de certificaciones de seguridad en la nube de Azure y AWS. María es una apasionada de la ciberseguridad y es mentora activa en Women in Technology. También forma parte del Comité Directivo del Asian-American Business Resource Group en Truist. María es un miembro activo en su capítulo local de ISSA y un miembro colaborador en Identity Defined Security Alliance. Le gusta asistir a conferencias sobre ciberseguridad para aprender y compartir. Le gusta viajar al extranjero con su familia y ver series de detectives británicas es una de sus actividades favoritas para relajarse.
