PAM y los Piratas de Silicon Valley

Róbate 5 minutos de tranquilidad, ponte cómoda o cómodo con tu taza de café favorita, dale a Oh Girl de los Chi-Lites y disfruta con PAM y los Piratas de Silicon Valley.

Historia de PAM: De los primeros hackers a las soluciones actuales

Conocí a los Piratas de Silicon Valley cuando me forjaba en el noble arte del administrador de sistemas en modo hombre orquesta para una empresa familiar. Mi jefe era una buena persona, amante del surf y con mucha iniciativa, no paraba en toda la semana entre clientes, reuniones, congresos, era un maldito nervio inquieto y yo quería ser como él. Me sentaba con un par de ex Beatles y sufría cuando se ponían a berrear Coldplay, se encargaban de desarrollar los proyectos y normalmente trabajábamos cada uno a lo nuestro en medio de muchas risas. Hoy son respetables emprendedores, de una empresa que no consigo de pronunciar.

Formábamos un grupo joven y divertido, las diseñadoras gráficas siempre estaban de bueno humor y con ellas conocí por primera vez el amor a Apple. Hasta entonces solo había visto ordenadores feos y grises, pero sin esperarlo me di de bruces con el famoso iMAC G3 del prestigioso Jonathan Ive, os recomiendo leer su historia. Por la tarde me escapaba en tren a estudiar el grado de Telecomunicaciones en el centro de Barcelona. Un día uno de los profesores en la clase de CISCO preparando el CCNA nos habló de los Piratas de Silicon Valley…

Antes que empezaran a aparecer los primeros unicornios por Silicon Valley (Startups que consiguen una capitalización de 1.000 millones de dólares), Capitán Crunch pirateaba centralitas telefónicas gracias a un silbato ligeramente modificado que regalaban en los cereales generando un tono de 2600 Hz que permitía acceder al modo operador. Con sus famosas cajas azules podías llamar de forma gratuita y sin restricciones a cualquier lugar del mundo. Crunch no dudó en llamar a Nixon para comentar la escasez de papel higiénico en los Ángeles o al Papa Pablo VI en compañía de Jobs y Wozniak. Fue uno de los primeros Hackers de la informática moderna.

Quién iba a decir que aquel sucio y rápido sistema operativo QDOS (Quick and Dirty Operating System) de Tim Paterson se convertiría en uno de los botines más grandes de la historia de Silicon Valley. Gates en una reunión épica con la todopoderosa IBM, consiguió no solo vender un sistema operativo que no tenía (pero que sabía dónde buscarlo) sino también añadir la famosa cláusula que le permitía licenciar el sistema operativo a otros fabricantes. Ese fue el nacimiento de PC-DOS para el secreto “project chess” de IBM y el de MS-DOS que popularizaría Microsoft.

Aquella compra de apenas 50.000$ por QDOS rivalizaría con el asalto a la GUI por parte de Jobs. La primera interfaz gráfica de usuario (GUI) gestionada con ratón fue descubierta en una visita al Xerox Parc e incorporada en el Lisa, más tarde fue vilmente copiada en Windows 1 por Gates y Allen. Así empezó todo amigo, Amiga y Atari.

Dicen que sin los ocho traidores Silicon Valley no sería lo que es ahora, en 1956 William Shockley ganó el Nobel de física al inventar los transistores, pero un año más tarde 8 empleados hartos del genio fundaron la Fairchild Semiconductor Corp, empresa de corto recorrido, pero precursora de la conocida Intel. En medio de la segunda guerra mundial, esa unión entre gobierno, universidades y talento fueron los ingredientes del gazpacho para crear lo que el periodista Don Hiefler definiría en los 70 y que hoy es conocido en todo el mundo.

Introducción a PAM y su importancia en la seguridad moderna

Desde que el rock & roll volara el castillo, la seguridad ha dejado de ser perimetral y las identidades se han convertido en el tesoro más ansiado de todo pirata informático o mejor dicho delincuente. Estoy seguro de que, si digo Hacker, Chema Alonso me daría un buen gorrazo, porque amigos ser Hacker es otra cosa.

La primera vez que me hablaron de una herramienta PAM pensé en que no se habían roto mucho los cuernos con el nombre y luego ya cuando escuche el PIM de Microsoft mis manos se movían solas a son de PIM PAM Toma Lacasitos…

Empezaremos por aclarar algunos conceptos… PIM, PAM, IAM, IGA, RBAC, ARBAC… IAM gestiona los accesos e identidades de los usuarios no privilegiados manteniendo el ciclo de vida, IGA es un término para definir herramientas de gobierno que te facilitan esa gestión, RBAC es una estrategia de permisos basado en roles, ARBAC es similar pero basado en atributos de usuario. Privilege Identity Management (PIM) de Azure es parte de la estrategia de Zero Trust y permite que las cuentas privilegiadas obtengan los permisos justo en el momento (JIT) de hacer las operaciones.

¿Qué es PAM? Definición y componentes esenciales

Priviledge Access Management o PAM para los amigos, es una solución normalizada en la industria que te permite proteger las identidades privilegiadas. Toda PAM que se precie debe contar con las siguientes características principales:

• Gestor de contraseñas: Protege las identidades privilegiadas almacenando las contraseñas en repositorios cifrados.

• Gestor de conexiones: Asegura el acceso a sistemas mediante protocolos seguros.

• Tareas de descubrimiento: Detecta y gestiona cuentas privilegiadas desconocidas.

• Registro y auditoría de sesiones: Monitorea y graba las actividades realizadas durante las sesiones privilegiadas.

• Sistemas de autenticación: Utiliza métodos como MFA (Multi-Factor Authentication) para asegurar el acceso.

• Flujos de aprobación y validación: Implementa procesos para la autorización de accesos.

• Integración con sistemas de ticketing: Facilita la gestión de accesos mediante la integración con herramientas de gestión de incidencias.

• Escalabilidad y alta disponibilidad: Garantiza que el sistema PAM pueda crecer con la organización y esté siempre disponible.

Aplicaciones prácticas de PAM en la industria

PAM se ha convertido en una herramienta indispensable en diversas industrias debido a su capacidad para mejorar la seguridad y el cumplimiento normativo. A continuación, se presentan algunas aplicaciones prácticas:

• Sector financiero: Las instituciones financieras utilizan PAM para proteger los datos sensibles de clientes y transacciones. Las soluciones PAM permiten un control riguroso sobre quién tiene acceso a qué datos y cuándo.

• Salud: En hospitales y clínicas, PAM protege los registros de pacientes y asegura que solo el personal autorizado pueda acceder a información confidencial.

• Telecomunicaciones: Las empresas de telecomunicaciones implementan PAM para gestionar el acceso a sus infraestructuras críticas y protegerse contra ataques cibernéticos.

• Gobierno: Las agencias gubernamentales utilizan PAM para proteger datos sensibles y asegurar el cumplimiento de normativas de seguridad.

Beneficios de implementar PAM en tu organización

La implementación de PAM ofrece numerosos beneficios que mejoran la seguridad y la eficiencia operativa de una organización. Algunos de estos beneficios incluyen:

• Mejora de la seguridad: PAM reduce el riesgo de accesos no autorizados a cuentas privilegiadas, protegiendo datos sensibles y sistemas críticos.

• Cumplimiento normativo: Ayuda a cumplir con normativas de seguridad y auditoría, como ISO 27001 y RGPD, proporcionando registros detallados de accesos y actividades.

• Reducción de riesgos: Al limitar el acceso a cuentas privilegiadas, PAM disminuye la posibilidad de errores humanos y acciones malintencionadas.

• Eficiencia operativa: Automatiza tareas de gestión de accesos, liberando tiempo para que el personal de IT se enfoque en otras prioridades.

Desafíos y consideraciones al adoptar PAM

Hay varios aspectos para tener en cuenta, pero en una implementación PAM tenemos por un lado la gestión de las contraseñas donde es importante definir las políticas y por otro la gestión de las conexiones donde deberás implementar las reglas sobre los protocolos. Normalmente los fabricantes comercializan módulos independientes y puedes adquirirlos por separado.

Para introducir un chisme de estos en tu organización necesitas armarte de paciencia, la primera reacción de los usuarios no suele ser positiva, si te pones en su lugar, pasarán de tener identidades con las que podían hacer de todo, a tener un estricto control que dificultara un poco su día a día. En ese sentido, es primordial hacer mucha pedagogía porque la adopción por parte de los usuarios es fundamental.

Otro cambio importante, en función de cómo lo implementes, será que los usuarios podrían pasar de tener cuentas personales a cuentas compartidas y en ese punto, suelen perder algunas personalizaciones en escritorios o consolas. En algunos sistemas tendrás que pensar en cómo integrar y compartir MFA.

Una herramienta PAM tiene una identidad (usuario) que te permite acceder al portal y otra identidad (cuenta de servicio) diferente que realiza la conexión y administra los sistemas. Deberás establecer políticas de RBAC y configurar permisos para ambos tipos de cuentas. El modelo de delegación de permisos es muy importante y si lo haces bien, sólo tendrás que hacerlo una vez. Tócala otra vez SAM.

Una buena estrategia de implantación se basa en organizar la integración por departamentos o aplicaciones e ir modelando y migrando del sistema de seguridad que estés utilizando al nuevo sistema PAM. Puedes configurar trabajos de descubrimiento desatendidos en base a reglas pre-establecidas. Todo y que son opciones muy interesantes, hay que ir con mucho cuidado con los sistemas críticos que ya estén en producción. Puedes integrar en lotes o dejar las integraciones desatendidas para sistemas de nueva creación (nuevos proyectos, etc…).

Puedes integrar la herramienta PAM con tu sistema de ticketing, en este aspecto, por ejemplo, One Identity tiene una API que se puede invocar desde aplicaciones y que te permite conectar entre otras con el famoso Service Now. Por ejemplo si tus técnicos tienen que trabajar por una incidencia, el sistema puede validar si realmente existe esa incidencia. También podrás aplicar restricciones, textos informativos, etc…

En grandes compañías existen multitud de sistemas diferentes a integrar con PAM, Active Directory, servidores Windows, Linux, Entra ID, RACF, sistemas de almacenamientos, servidores en DMZ, equipos de comunicaciones, Clouds públicos, etc… Para cada sistema deberás elegir la estrategia de identidad privilegiada para gestionarlas desde tu PAM.

Un sistema tan crítico debe tener un plan de recuperación y de alta disponibilidad, esto es algo que se irá repitiendo en muchos artículos. Muchas veces nos centramos en la propia herramienta, pero las dependencias de estas también deben estar incluidas en los planes. Un mapa de servicios te ayudará en el modelado.

Establecer circuitos de aprobación y disponer de registros para auditorias es algo que también debes preparar si juegas en primera división. Los hombres de negro de Matrix no perdonan una en las temidas auditorías.

Los VAULTS o repositorios digitales cifrados para almacenar las contraseñas requieren una estrategia y enfoque propios. Si sólo almacenas las contraseñas en VAULTS te faltará una parte importante dado que algunas las necesitarás en los planes de recuperación y posiblemente debas plantearte tenerlas almacenadas en ubicaciones físicas seguras aisladas de cualquier tipo de sistema informático.

Otro tema para tener en cuenta es el historial de las contraseñas en VAULTS, en sistemas complejos, actualizar las contraseñas de las cuentas de servicio no es tarea fácil, hay veces que se cambian y los sistemas dejan de funcionar por alguna configuración olvidada. En ese punto, mantener un histórico de los cambios de contraseñas te ayudará en tareas de rollback.

Por último, te diré que una herramienta PAM no se administra sola, tendrás que pensar en mantener un equipo de trabajo de confianza en la que su tarea principal sea velar por la salud y mejoras de la herramienta.

Conclusión: La evolución de la seguridad con PAM

Existen diferentes fabricantes que ofrecen soluciones PAM integrando más o menos características, revisando datos de Gartner del año pasado destacaría a CyberArk, One Identity, BeyondTrust y Delinea. Últimamente me he peleado bastante con Safeguard de One Identity. Es una empresa que recomiendo, tienen otros servicios interesantes como Active Roles para Active Directory, Identity Manager su IGA o incluso servicios de autenticación Cloud al estilo Okta.

Este tipo de herramientas son de mucha ayuda a la hora de implementar normativas de seguridad como ISO 27001, RGPD, C3PO o DORA que solicitan específicamente la implementación de un fuerte control, transparencia y registro de auditoría de los usuarios privilegiados y de sus sesiones. Cuidado, si no te has dado cuenta, una normativa tiene nombre de robot. Si no lo conoces, igual tenemos suerte y eres un trekkie.

Seguramente podrás elegir utilizar una solución PAM Cloud (SaaS) u OnPremise (físico o virtual). Dependiendo de tu organización y del nivel de maduración a la nube en la que te encuentres, es mejor optar por una u otra o incluso por opciones híbridas. Si necesitas una implementación rápida y tienes poco personal de IT, las opciones SaaS te evitan la tediosa parte de la configuración de la infraestructura.

En otros artículos profundizaré en aspectos más técnicos de una implementación PAM o realizaré comparativas entre diferentes proveedores. Pero antes de todo me apetecía darle un enfoque más genérico apto para todo tipo de público.

Espero que este artículo te haya podido servir. Un saludo y hasta la próxima publicación!

Imagen de stock público (startupstockphotos.com)