[03/06/2022] Uno de los principales objetivos de los malos es escalar al acceso de cuentas privilegiadas siempre que sea posible. Cuanto más acceso sin restricciones puedan obtener a las cuentas administrativas, de superusuario y de infraestructura, más rienda suelta tendrán para acceder a los almacenes de datos sensibles, manipular los sistemas críticos, obtener tranquilamente carta blanca para hacer lo que quieran con la infraestructura de TI de una organización víctima y hacerlo todo sin ser detectados.
En consecuencia, las organizaciones reconocen que deben tener especial cuidado con la forma en que gestionan y conceden acceso a las cuentas privilegiadas más poderosas de sus entornos. Esto se consigue con las herramientas de gestión de acceso privilegiado (PAM). PAM se utiliza para gestionar las credenciales privilegiadas, delegar el acceso a las mismas, realizar un seguimiento de las sesiones privilegiadas para supervisar los abusos, e informar sobre los patrones de uso tanto para el equipo de riesgos como para los auditores y, en general, controlar la elevación de comandos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Mientras que hace años, PAM era en gran medida una especialidad de nicho reservada a las empresas más grandes, sus funciones se han ampliado mucho más allá de la simple protección de cuentas de administrador y la elaboración de informes. Ahora, PAM se encarga de gestionar el número cada vez mayor de cuentas con acceso privilegiado a al menos alguna parte del ecosistema digital de la empresa. El crecimiento de las cuentas de máquina a máquina para permitir la automatización, las cuentas efímeras en la nube para apoyar las capacidades de DevOps y el aprovisionamiento de la infraestructura bajo demanda, las cuentas de integración y más, han hecho que sea más complicado y más necesario para las empresas implementar PAM.
La siguiente lista incluye algunos de los principales actores del mercado. El hilo conductor entre la mayoría de ellos tiende a ser su triple capacidad para custodiar, proteger y rotar las credenciales privilegiadas; su capacidad para imponer el mínimo privilegio en las cuentas basándose en filtros de control granulares que pueden incluir todo, desde la ubicación geográfica hasta la hora del día en que se solicita el acceso; y la capacidad para gestionar los secretos que incluyen no solo las contraseñas sino también las claves SSH, los certificados, los tokens y otras credenciales.
BeyondTrust
BeyondTrust, un actor de PAM bien establecido, ofrece múltiples opciones para la gestión de cuentas y sesiones privilegiadas (PASM) a través de sus productos Password Safe y Privileged Remote Access, el último de los cuales ha ganado especial tracción entre las empresas medianas y pequeñas, así como los casos de uso de acceso remoto que han crecido enormemente en los últimos años. También ofrece soporte de gestión de secretos a través de su software DevOps Secrets Safe y aplica políticas granulares de mínimos privilegios y otras funcionalidades de gestión de elevación y delegación de privilegios (PEDM) a través de su Endpoint Privileged Management que funciona en Windows y Mac, así como en Unix y Linux a través de su tecnología Active Directory Bridge.
BeyondTrust está fuertemente vinculada al mundo del cumplimiento y la auditoría, y uno de sus grandes diferenciadores es su capacidad de generación de informes y visualización, según los analistas de Gartner. Los clientes pueden incorporar análisis avanzados a través del paquete analítico complementario BeyondInsight de la empresa. Este paquete también proporciona capacidades de descubrimiento de cuentas, según los analistas.
Ahora también participa en el campo de la gestión de derechos de la infraestructura en la nube (CIEM) -una rama natural de PAM- a través de su nueva tecnología Cloud Privilege Broker, que gestiona los derechos en entornos multicloud.
Un punto en el que los analistas sí advierten a los clientes es en la debilidad de la empresa en cuanto a integraciones, tanto externas como incluso dentro de algunas de las funcionalidades de sus productos que se solapan.
CyberArk
CyberArk es otro de los pilares de la mayoría de las listas de compradores cuando contemplan la compra de PAM. "CyberArk sigue siendo la mayor marca de PAM, con una larga trayectoria en este sector, un amplio alcance geográfico y la mayor cuota de mercado de PAM", según los analistas de Gartner. "La mayoría de los clientes de Gartner que investigan productos PAM incluyen a CyberArk en su lista de proveedores a evaluar".
Su pan de cada día está en su producto CyberArk Privileged Access Manager, que puede desplegarse en las instalaciones o como un servicio a través de Privilege Cloud, y que maneja la funcionalidad principal de PASM para los clientes. Junto a él está su Cyberark Endpoint Manager (EPM), que proporciona PEDM y CyberArk Vendor Management, que gestiona el acceso remoto a cuentas privilegiadas para terceros.
En el 2017, la empresa adquirió Conjur Secrets Manager para abordar el mercado de DevOps para la gestión de secretos en aplicaciones, servicios y dispositivos, y el control de acceso basado en roles en entornos de desarrollo y despliegue. Ha integrado esas capacidades en su cartera, pero también mantiene Conjur como una marca independiente.
Esto marca el impulso general de la empresa en los últimos años para ampliar su huella en todo el espacio de la identidad. Siempre ha sido conocida por su fuerte integración con proveedores de identidad tangenciales, pero también está creando una funcionalidad en expansión dentro de la empresa y a través de adquisiciones. Fue uno de los primeros proveedores de PAM en entrar en la lucha por el CIEM y proporciona una funcionalidad CIEM madura, incluida la puntuación de riesgo de la exposición a los permisos, a través de su Cloud Entitlements Manager, adecuado para entornos a gran escala y multi-nube. Y su compra de Idaptive en el 2020, llevó al despliegue de la autenticación de inicio de sesión único (SSO) de la fuerza de trabajo y la autenticación de múltiples factores (MFA) de punto final, las características de gestión de la identidad del cliente, las opciones sin contraseña y las capacidades de autoservicio para la gestión de cuentas.
Delinea
Delinea es la unión de dos empresas consolidadas en el mercado de PAM, Thycotic y Centrify. Las dos empresas fueron adquiridas y fusionadas el año pasado por la empresa de capital riesgo TPG Capital y se rebautizaron en febrero con el nuevo nombre. Por separado, cada base de productos tiene la distinción de ser juzgada en esa categoría de liderazgo "arriba y a la derecha" del mercado PAM por analistas de la talla de Gartner y KuppingerCole.
Thycotic era más conocido por las capacidades de bóveda y rotación de contraseñas de su producto Secret Server, y por atender a las empresas más pequeñas con una funcionalidad más racionalizada y lista para usar. Centrify era más conocida por servir a las grandes empresas con la funcionalidad de puente de Active Directory (AD) de su plataforma SaaS Cloud Suite, que reúne el control de acceso y la gestión de cuentas administrativas de sistemas dispares en las instalaciones y en la nube, incluidos los entornos Linux y Unix, en el conocido entorno AD.
La empresa todavía se encuentra en esa fase intermedia de integración de productos que se produce al unir empresas con conjuntos de características que se solapan. Muchos de los productos, como Secret Server y DevOps Secrets Vault del lado de Thycotic y los módulos de la plataforma Cloud Suite del lado de Centrify, todavía pueden adquirirse y recibir soporte por separado. Delinea parece estar comprometida con la unificación de las ofertas. El pasado mes de octubre, la compañía puso en marcha una integración entre las capacidades de gestión de cuentas privilegiadas y sesiones de Secret Server y con las otras partes de la plataforma Cloud Suite y los ejecutivos prometen más avances en los próximos meses
Hashicorp
Hashicorp es un jugador de nicho en el espacio PAM, con su oferta no lo suficientemente amplia como para hacer la gestión de extremo a extremo de acceso privilegiado. Sin embargo, se está haciendo un nombre en el espacio de DevOps por sus capacidades de bóveda de contraseñas seguras, que está diseñada para integrarse en el desarrollo de aplicaciones y en las herramientas de gestión de entrega en las que viven los equipos de DevOps.
"Mientras que otros proveedores de PAM están ofreciendo capacidades similares para adaptarse a DevOps, HashiCorp ofrece un buen comienzo para las organizaciones que buscan incorporar PAM dentro de los procesos de desarrollo y despliegue de aplicaciones", explicó el analista de KuppingerCole, Paul Fisher, en un reciente informe de KuppingerCole sobre el mercado de PAM.
ManageEngine
ManageEngine es otro actor de PAM-lite con funcionalidades especializadas para las empresas que buscan facilitar la gestión de cuentas privilegiadas. Su plataforma PAM360 se centra firmemente en la gestión de claves SSH y certificados SSL, y los analistas señalan que su capacidad para añadir funciones personalizadas en la gestión de usuarios es una ventaja. El producto proporciona algunos patrones de comportamiento de los usuarios para buscar conductas de riesgo e informes de cumplimiento.
Uno de sus puntos de venta está en sus integraciones, tanto con su propia suite interna de productos (ManageEngine es parte de ZOHO Corp) como con la externa. Para la gestión del flujo de trabajo de tareas comunes, como el alta y la baja de las cuentas, está estrechamente vinculado con la automatización de procesos robóticos de Automation Anywhere y con actores de ITSM como ServiceDesk Plus y ServiceNow.
"En una cuestión más fundamental de PAM, PAM360 ofrece una fuerte integración SIEM con Splunk, SumoLogic y Log360. DevOps está cubierto hasta cierto punto con integraciones para Jenkins, Ansible, Chef y Puppet", escribió Fisher.
Donde Gartner considera que tiene carencias es en la gestión de la elevación y delegación de privilegios. Dejó a ManageEngine fuera de su último Cuadrante Mágico de PAM por no cumplir con los requisitos mínimos para PEDM, para lo cual Gartner excluye el monitoreo de sesiones como única vía para lograr la capacidad, "porque el punto de control es menos confiable". PAM360 es muy importante en la gestión de sesiones y en los controles de monitorización de sesiones, y esto lo deja fuera de la carrera según la vara de medir de Gartner.
One Identity
One Identity, un proveedor de PAM completo y maduro, reúne su funcionalidad de cuentas privilegiadas en su base de productos One Identity Safeguard, que se compone de tres módulos. Safeguard for Privileged Passwords gestiona el acceso basado en roles y automatiza los flujos de trabajo para el aprovisionamiento y la administración de la autenticación. Safeguard for Privileged Sessions gestiona el control, la supervisión y el registro de las sesiones privilegiadas, incluida la alerta en tiempo real de actividades sospechosas y la elaboración de sólidos informes de apoyo a la auditoría y el cumplimiento. Safeguard for Privileged Analytics, que ofrece un análisis profundo de las actividades de las cuentas privilegiadas. Según Gartner, es en este último punto donde la empresa realmente brilla.
"One Identity Safeguard for Privileged Analytics se distingue de otras soluciones por utilizar el aprendizaje automático para analizar no solo los intentos de acceso privilegiado, sino también la actividad completa de la sesión, incluidos los comandos", escribieron los analistas de Gartner. "El análisis biométrico de comportamiento pasivo puede detectar el uso no autorizado a través de la dinámica de las pulsaciones de teclas".
One Identity está tratando de ampliar su atractivo general de IAM a través de la actividad de fusiones y adquisiciones. El año pasado adquirió OneLogin, un proveedor ligero de IDaaS para organizaciones más pequeñas. Los analistas de Forrester dicen que el acuerdo da a One Identity un pie en el mercado más amplio de IDaaS, y una oportunidad de diferenciarse de los proveedores en ese espacio de mercado que no tienen capacidades nativas de administración de gobierno de identidad (IGA) de PAM. Todavía es pronto tras el acuerdo, por lo que queda por ver lo bien que la empresa puede integrar la tecnología de OneLogin y cruzar los puntos fuertes de cada parte.
WALLIX
Con sede en Francia, WALLIX es un actor en alza en el mercado de las PAM. El producto WALLIX Bastion se compone de cinco módulos: Session Manager, Password Manager, Access Manager, Privilege Elevation and Delegation Manager y Application to Application Password Manager. También trabaja en conjunto con las capacidades de gestión de privilegios de punto final del otro producto principal de la compañía, WALLIX BestSafe.
Considerado como un Challenger en el Cuadrante Mágico de Gartner, WALLIX Bastion recibe altas calificaciones por parte de los analistas de esa firma por sus funciones de gestión y registro de sesiones, su facilidad de implementación y su precio competitivo. Donde Gartner le da una puntuación baja es en las funciones de rotación de credenciales y descubrimiento de cuentas. Por su parte, KuppingerCole ha hecho comentarios elogiosos sobre su creciente conjunto de funciones.
"Al basarse en sus capacidades existentes para la gestión de contraseñas y la gestión de sesiones privilegiadas (PSM) y añadir un EPM mejorado, AAPM y un mejor soporte de DevOps, WALLIX tiene ahora un nivel altamente competitivo de capacidades PAM que debería ser considerado seriamente por los compradores de todas las organizaciones", escribió Fisher.
Basado en el artículo de Ericka Chickowski (CSO) y editado por CIO Perú
Puede ver también: