ACLs insuficientes en recursos compartidos y servicios de red
Este artículo forma parte de una serie en la que analizamos una reciente Asesoría de Ciberseguridad Conjunta NSA/CISA sobre los principales problemas de ciberseguridad identificados durante los ejercicios de equipo rojo/azul llevados a cabo por estas organizaciones. En este artículo, encontrará una visión más profunda del problema específico, con escenarios del mundo real en los que es aplicable, así como estrategias de mitigación que pueden adoptarse para limitarlo o superarlo. Se amplía así la información proporcionada por el informe NSA/CISA.
-
Las listas de control de acceso (ACL) son fundamentales para definir los permisos de acceso a recursos compartidos y servicios de red. Sin embargo, como informan la Agencia de Seguridad Nacional (NSA) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), las ACL insuficientes o mal configuradas son un error de ciberseguridad muy extendido. Este artículo profundiza en el papel fundamental de las ACL, sus retos habituales y las estrategias para reforzar la seguridad mediante una gestión eficaz de las ACL.
Comprender el papel de las ACL en la ciberseguridad
Las ACL son esenciales para mantener la integridad y confidencialidad de los datos. Unas ACL mal gestionadas pueden dar lugar a accesos no autorizados y violaciones de datos, lo que las convierte en objetivos prioritarios para los actores maliciosos.
Las ACLs pueden ser tan granulares o de alto nivel como sea necesario - especificando usuarios individuales o grupos enteros de usuarios. Esto resulta útil para un control detallado o para facilitar la administración de las ACL a nivel organizativo. A menudo reflejan, de alguna manera, la estructura organizativa (los departamentos o equipos corresponderán a grupos específicos, por ejemplo).
El aspecto administrativo de las ACL
La gestión de las ACL supone un esfuerzo administrativo considerable. Por ejemplo, modificar las ACL para que reflejen los cambios en los requisitos de acceso puede ser un proceso complejo, que requiere actualizaciones manuales o sistemas automatizados. Esta sobrecarga puede conducir a veces a un acceso excesivamente permisivo en aras de la conveniencia, creando potenciales vulnerabilidades de seguridad.
Riesgos y errores de configuración en el mundo real
- Acceso no autorizado a datos: Los atacantes aprovechan las debilidades de ACL para acceder a datos confidenciales en unidades compartidas, utilizando herramientas como la enumeración de recursos compartidos o malware personalizado.
- Amenazas de ransomware: Los autores de ransomware emplean herramientas de exploración de vulnerabilidades para identificar y explotar recursos compartidos de acceso abierto.
- Conveniencia sobre seguridad: Los permisos demasiado amplios debidos a la comodidad administrativa pueden provocar brechas de seguridad involuntarias.
- Eliminación inadecuada del acceso: A menudo, los sistemas son más eficientes a la hora de conceder que de revocar el acceso, lo que deja riesgos potenciales para la seguridad cuando los usuarios abandonan una organización.
Buenas prácticas para una gestión eficaz de ACL
- Modelo de mínimo privilegio: Implemente ACL basadas en el principio de mínimo privilegio, concediendo sólo el acceso necesario.
- Auditorías y actualizaciones periódicas: Revise y actualice continuamente las ACL para adaptarlas a la evolución de las funciones y necesidades de la organización. Busque información crítica almacenada en recursos compartidos accesibles, como credenciales u otra información privilegiada.
- Supervisión exhaustiva: Mantenga registros detallados para detectar e investigar eficazmente los incidentes de seguridad. Evite las excepciones (por ejemplo, registre los cambios administrativos) en las ACL.
- Gestión automatizada de ACL: Utilice software o herramientas de gestión de ACL para minimizar los errores humanos y agilizar los procesos.
- Gestión centralizada de ACL: Además de la automatización, la gestión de ACL debe estar centralizada para facilitar la gestión de permisos y accesos en un único lugar, en lugar de repartirse entre varios sistemas.
- Reglas basadas en grupos: Gestione ACL basadas en grupos de usuarios para simplificar la administración y garantizar un control de acceso coherente.
- Documentación exhaustiva: Mantenga registros detallados de las reglas ACL, incluyendo su propósito, fecha de creación y autor para facilitar su gestión y revisión.
- Facilidad de integración de las ACL existentes con sistemas de terceros: Los nuevos sistemas que proporcionan recursos compartidos deben integrarse con la menor fricción posible en la infraestructura existente, en lugar de requerir personalización o escenarios de casos especiales. Este requisito provocará menos fallos en el perfil de seguridad de la organización.
- Hacer hincapié en una sólida cultura de seguridad: Más que otras configuraciones erróneas, las ACL son vulnerables a los atajos de conveniencia, ya que éstos se originan sobre todo dentro del equipo de TI. Debe exigirse formación y revisiones periódicas.
Reflexiones finales
La gestión adecuada de las ACL es fundamental en una estrategia de ciberseguridad sólida. Las organizaciones deben permanecer vigilantes a la hora de establecer, revisar y actualizar las ACL, asegurándose de que mitigan eficazmente el acceso no autorizado y las violaciones de datos.