Skip to content

Vendor Access Management

¿por qué deberías implantar la Gestión de Acceso con Privilegios para Proveedores (VPAM)?

¿Qué responsable de TI no ha tenido que abrir nunca un acceso a sus sistemas críticos para uno de sus proveedores?

Te enfrentas a menudo a conexiones de proveedores o prestadores de servicios encargados de realizar operaciones de implantación, mantenimiento o corrección de parte de tu sistema de información. Puede ser en tu centro de datos o en los servicios en la nube que ya estés utilizando para tus aplicaciones empresariales o de ofimática. Estos accesos pueden implicar a varias docenas de proveedores diferentes, en algunos casos a cientos.

Por lo tanto, varias docenas de personas tienen cuentas con privilegios, en condiciones que tú no controlas, lo que es crítico para la seguridad de tu sistema de información (SI). Además, no tienes la certeza de que la persona con acceso a dichas cuentas con privilegios siga trabajando para tu proveedor.

Estas cuentas pueden ser un verdadero talón de Aquiles para la seguridad de tu SI, como demuestra el último estudio CESIN – Opinionway de enero de 2022, que destaca que uno de cada cinco ataques pasa por la cadena de suministro.

Estos ataques a la cadena de suministro (IT supplychain) son ataques que se aprovechan de las relaciones que puedas tener con tus proveedores, sus productos o los servicios que operas. En otras palabras, es sin duda más fácil atacar a uno de tus proveedores mal equipados que a tu red protegida por cortafuegos, XDR o cualquier sonda de detección. La multiplicación de las herramientas de seguridad (10 de media) ha empujado a los ciberpiratas hacia otros vectores, como estos ataques indirectos o de rebote. En 2021, por ejemplo, el compromiso de la Sociedad Internacional de Telecomunicaciones Aeronáuticas (SITA), creó un vector de ataque para varias empresas aeronáuticas que trabajan con dicha sociedad, incluidas algunas de la Star Alliance.

Esto sumado al hecho de que en el 100 % de los ataques analizados por Wavestone en 2021, los atacantes estaban en posesión de una cuenta de dominio, es decir, con el mayor nivel de privilegio.

Para protegerte de estos posibles ataques, puedes imponer a tus proveedores un cierto nivel de seguridad de sus sistemas, pero también puedes simplemente no confiarles la custodia de tus cuentas con privilegios.

Y es en este caso cuando una solución de «Gestión de Acceso con Privilegios para Proveedores (VPAM)» puede ser de ayuda.

¿Qué es una solución de Gestión de Acceso con Privilegios para Proveedores (VPAM)?

La VPAM es la combinación de las ventajas de la PAM (Gestión de Acceso con Privilegios) para la gestión de las cuentas con privilegios y del ZTNA (Acceso a la Red de Confianza Cero) para el acceso seguro a los recursos explotados.

Por lo tanto, la PAM permite:

  • La supervisión de las sesiones con privilegios

Es posible saber en todo momento con precisión quién se ha conectado a qué, e incluso saber con exactitud qué acciones se han realizado mediante una grabación de vídeo de las sesiones con privilegios, y así rastrear rápidamente el origen de un cambio sospechoso en un servidor o aplicación.

  • La seguridad de las cuentas con privilegios

Las cuentas con privilegios se introducen automáticamente cuando el proveedor inicia la sesión, por lo que el proveedor no dispone de las credenciales asociadas. Por tanto, no hay riesgo de que los roben a través de la red de tu proveedor.

  • El control de las autorizaciones

Los derechos de acceso a los recursos con privilegios y las condiciones de acceso se proporcionan expresamente a los proveedores de forma individual. Por tanto, es fácil identificar quién tiene los permisos para conectarse a qué y asegurarse de que un proveedor no pueda conectarse en medio de la noche si no es necesario.

  • El acceso «justo a tiempo»

El acceso a los recursos se habilita solo el tiempo necesario y puede protegerse tras un mecanismo de flujo de trabajo aprobado. Esto te brinda un control preciso sobre las autorizaciones de acceso, sin necesidad de manipular tu equipo, que requiere mucho tiempo.

Y, por otro lado, el ZTNA permite:

  • La seguridad del acceso a la red

El proveedor accede únicamente al recurso que necesita sin tener acceso global a la red y solo durante el tiempo de su acción de administración en cumplimiento del principio del mínimo privilegio (Confianza Cero). Esta conexión se establece únicamente en el momento en que se accede al recurso y no puede utilizarse para anular los accesos inicialmente concedidos. Por tanto, la zona de ataque potencial se reduce drásticamente.

  • El MFA

Dado que la identidad del proveedor que desea conectarse está en el centro de las políticas de acceso, es esencial obtener un alto nivel de confianza en esta identidad. Por tanto, es necesario reforzar la autenticación mediante una aplicación móvil o una llave USB FIDO2.

 

Por tanto, la VPAM es el mejor enfoque para limitar los riesgos y evitar que el acceso de tu proveedor habitual se convierta en un incidente de ciberseguridad que ponga en peligro tu negocio.

VPAM, una solución fácil de usar

En la práctica, la VPAM es muy fácil de usar, e incluso puede facilitarle la vida a tu proveedor.

Este último simplemente se conecta a una interfaz web con las credenciales que le hayas proporcionado. Estas credenciales no se usan para ninguna otra cosa en tu SI, solo pueden utilizarse para conectarse a la VPAM. La autenticación se reforzará entonces con un código aleatorio generado por una aplicación móvil, una llave USB física (estándar FIDO2) o un código temporal enviado por correo electrónico.

Una vez completado este paso, el proveedor accede a la lista de servidores y aplicaciones de que dispone. Esta lista se construye de forma dinámica en función de su identidad y de sus condiciones de conexión. Puede que no tengan acceso a los servidores más sensibles si no están en sus instalaciones habituales o si se conectan a horas inusuales.

Y, finalmente, el acceso se realiza con un clic en el servidor adecuado de la lista. La sesión se abre directamente en el navegador, sin tener que instalar nada en el ordenador. Las cuentas de administración se introducen automáticamente al abrir la sesión sin que el proveedor pueda conocerlas. Y tu proveedor podrá empezar a trabajar.

No tiene que instalar nada, no tiene constancia de las cuentas de acceso y no puede conectarse a recursos que no debe.

Por tu parte, cuentas con una alerta de esta conexión, una completa trazabilidad de las acciones realizadas y la serenidad de saber que esta acción no pondrá en peligro la seguridad de tu SI.

¿Cuáles son los beneficios de una solución de Gestión de Acceso con Privilegios para Proveedores?

La VPAM no es un «impuesto» de ciberseguridad, sino que aporta verdaderos beneficios operativos para el día a día del departamento de TI:

  • Acelera y agiliza las conexiones con tus proveedores

Proporcionas acceso de forma rápida y segura, sin tener que crear cuentas en el AD, comprobar los derechos de acceso y cambiar las contraseñas periódicamente.

Tus proveedores obtienen una forma de autonomía en sus conexiones sin necesidad de exigir mucho al departamento de TI.

  • Controla y supervisa las acciones realizadas

Identificas las acciones recurrentes realizadas por tus proveedores para internalizarlas si es posible.

También controlas la coherencia de la facturación de las intervenciones realizadas.

  • Protege tu sistema de información

Evitas que una acción maliciosa o torpe en una aplicación o servidor crítico paralice tu negocio, bloqueando las acciones inesperadas en tiempo real, o recuperando los cambios realizados rápidamente a posteriori.

  • Simplifica el mantenimiento operativo

Sustituyes varias de tus actuales herramientas de acceso para proveedores por una única solución totalmente integrada.

behind the elements

Descubra con Matt y Jonathan en nuestro canal de Youtube las mejores funciones de la plataforma Cyberelements y obtenga información útil sobre temas de ciberseguridad