Mejores prácticas para

Autenticación de usuarios
con privilegios PIV

División de seguridad informática

Laboratorio de tecnología de información

División de seguridad cibernética aplicada

Laboratorio de tecnología de información

21 de abril de 2016
 Resumen
La estrategia de ciberseguridad y aplicación Plan (CSIP), publicado por la
oficina de Gestión y presupuesto (OMB) en 30 de octubre de 2015, requiere que
agencias federales utilizan credenciales de verificación de identidad Personal
(PIV) para la autenticación de usuarios con privilegios. Esto reducirá en gran
medida acceso no autorizado a cuentas privilegiadas por los atacantes haciéndose
pasar por el sistema, red, seguridad y los administradores de base de datos, así
como otro personal de tecnologías de la información con privilegios
administrativos. Este documento además explica la necesidad de autenticación de
usuario basada en un PIV multifactorial para tomar el lugar de autentificación
único basado en contraseñas para usuarios con privilegios. También proporciona
las mejores prácticas para las agencias de aplicación de autenticación de PIV
para usuarios privilegiados.
1 La necesidad de fortalecer la autenticación de usuarios con privilegios

AMENAZA

Los atacantes se hacen pasar por personal de tecnologías de la información con privilegios administrativos

OBJETIVO

Obtener acceso no autorizado a los sistemas federales y la información que contienen

COMO LO LOGRAN

Generalmente explotando debilidades conocidas de autenticación de factor único basado en contraseña

REDUCIR EL RIESGO

La aplicación de estrategia de ciberseguridad (CSIP) [1] publicados por la oficina de gerencia y presupuesto
(OMB) que dirige las agencias a la transición a la autenticación multifactorial[1] basada en un PIV de
verificación de identidad Personal para todos los usuarios privilegiados.
 1.1 limitaciones de contraseña-basado simple autentificación
TIPOS DE AMENAZAS

• Adivinar • Craqueo contraseñas • Restablecer

contraseñas
intentar autenticar utilizando las contraseñas
por defecto, palabras de diccionario y otras
contraseñas probables
keylogger
ingeniería social
Correos electrónicos
de phishing y sitios
web fraudulentos de
imitación, redes
sociales, llamadas
telefónicas, etc..;
fuera de línea: contraseñas
• Captura de
contraseñas Recuperar hashs de contraseñas Un atacante puede
a través de: criptográficas, utilizando métodos de análisis interceptar y manipular el
para intentar identificar un carácter de intento legítimo de un
cadena que producirá uno de estos hashs. usuario para restablecer una
contraseña.
Encontrar contraseñas que se han
Acceso escrito sobre papel, estaciones
lógico o Monitoreo del de trabajo, pizarras, etc.
físico a un Tráfico de la red
sistema
Ver un tipo de usuario una
Recuperación de
Recuperación de contraseña ( (i.e., shoulder
contraseñas o hash de las
contraseñas contraseñas que no está surfing);
almacenadas que adecuadamente protegidos
son unencrypted (por ejemplo, sin codificar, acercarte silenciosamente por la espalda y observar
o débilmente cifrado débil, rejugable); detenidamente las teclas, el monitor de nuestro
encriptada objetivo.
 Una contraseña que se utiliza en múltiples sistemas

Lleva a:

El acceso no autorizado a otros sistemas

Y asi puede hacer:

Ataques subsecuentes para escalar privilegios

Viaja a través de la empresa para llegar finalmente a un activo de valor alto

Hay algunos controles disponibles para contrarrestar estas amenazas, pero tienen una limitada eficacia
Por lo que las amenazas en su totalidad contra el solo factor autenticación basada en contraseñas sólo pueden mitigarse un
poco
 Mayoría de los casos de suplantación de usuario de autenticación contraseña solo factor, puede
prevenirse mediante autenticación de múltiples factores.
Un atacante tendría que comprometer dos factores — no sólo una — para tener acceso, tales
como el usuario tiene (tarjeta inteligente) y sea algo que el usuario conoce (una
contraseña o PIN para desbloquear la tarjeta inteligente) o el usuario es (una característica
biométrica para desbloquear la tarjeta inteligente). Publicación especial de NIST (SP) 800-63 [2]
y SP 800-53 [3] reconocen estas diferencias.

En NIST SP 800-63, único factor autenticación de contraseñaae, el nivel más alto de

aseguramiento[4] 2 (LOA-2) mientras que la autenticación de dos factores alcanza LOA-3 y de
LOA-4. Paralelamente, NIST SP 800-53 requiere autenticación de múltiples factores para todos
los sistemas clasificados como moderados o altos.
1.2 Autenticación de factores múltiples utilizando credenciales PIV

Un impostor debe comprometer dos

factores por acceder a la tarjeta PIV y
obtener el correspondiente PIN[5] o
biométrico para desbloquear la tarjeta. La
clave criptográfica que se utiliza para la
autenticación es almacenada en la tarjeta y
protegida por mecanismos de seguridad
internos activos. Como tal, tarjetas PIV son
difíciles de poner en peligro.
1.3 El CSIP y autenticación basada en PIV para usuarios con privilegios
CSIP, "el Sprint de ciberseguridad
dirigido agencias a implementar de
inmediato PIV para [...] 100% de
usuarios con privilegios." [1] la razón de
esta directiva es que "aunque no hay
ningún método único para prevenir
incidentes, se pueden mejorar la gestión
de acceso de cuentas de usuario en
sistemas de información federales podría
reducir drásticamente las
vulnerabilidades actuales.
Cuentas de usuario privilegiado es un objetivo conocido de
actores maliciosos pero puede ser protegidas por una solución de
autenticación existentes, fuerte: credenciales de verificación de
identidad Personal (PIV). Implementación de credenciales PIV
de autenticación fuerte, como se indica en la patria seguridad
Directiva Presidencial 12: política para un estándar común de
identificación federal, Empleados y contratistas (HSPD-
12) y Federal Information Processing Standard (FIPS) 201-2:
verificación de identidad Personal (PIV) de empleados federales y
contratistas, es una rentable y acción inmediata que agencias
deben tomar drásticamente a reducir sus perfiles de riesgo. Las
credenciales PIV [...] reducir el riesgo de fraude de identidad, la
manipulación, la falsificación y la explotación. " [1]
1.4 PIV- de la autenticación y los niveles de aseguramiento

Para alcanzar los requisitos de un determinado nivel de

seguridad, las agencias deben implementar las
garantías especificadas en NIST SP 800-63 [2] para los
siguientes elementos:
• Identidad de la impermeabilización (capítulo 5),[8]
• Fichas (capítulo 6),
• Token y gestión (capítulo 7), de credenciales
• Proceso de autenticación (capítulo 8), y
• Afirmaciones, donde aplicable (capítulo 9).
2 Mejores prácticas para la autenticación de usuario basada en un PIV
con privilegios
• Inventario de cuentas y usuarios con privilegios de todo y luego eliminar todo
innecesario acceso privilegiado (sección 2.1).

• Número dedicado, alta seguridad endpoint artefactos todo privilegiado (sección

2.2).

• Utilice un enfoque basado en riesgo para seleccionar el nivel apropiado de

seguridad para cada sistema (sección 2.3) basado en la criticidad de cada tipo de
acceso privilegiado al sistema. Para acceder a cuentas privilegiadas, el nivel de
seguridad adecuado es LOA-4 o LOA3.

• Seleccione la arquitectura adecuada de autenticación de PIV (sección 2.4). La

selección de la arquitectura para cada sistema debe basarse en el nivel
determinado de seguridad, la viabilidad y el impacto en la funcionalidad del
sistema y en las capacidades del sistema para apoyar la arquitectura de
autenticación de PIV.

o Para aquellos sistemas que no son compatibles con una arquitectura de

autenticación de PIV que proporciona el nivel apropiado de seguridad,
implementar los controles necesarios de Compensadores encontrados NIST
SP 800-53 [3]. Tabla 1 de este documento se enumeran los controles más
probabilidades de ser necesario para complementar la autenticación PIV.

o Para aquellos sistemas que no admiten la autenticación de PIV en todos o no

son compatibles en el nivel apropiado de seguridad, establecer un plan de
acción e hitos (POA y M) para la transición de la tecnología del sistema y
resolver la cuestión dentro de un período de tiempo aceptable determinado
por la Agencia.

• Para minimizar el impacto potencial de una cuenta con privilegios comprometido,

agencias deben automatizar el control de acceso privilegiado y aplicar
monitoreo continuo del acceso privilegiado de todo. [9] frecuente o monitoreo
continuo es especialmente importante para sistemas heredados que no admiten
la autenticación de PIV para usuarios con privilegios en el nivel apropiado de
seguridad.
 2.1 Minimizar acceso privilegiado
1. Quite todos los accesos cuenta con privilegios de usuarios que ya no requieren acceso para realizar sus tareas asignadas (p. ej.,
sistema, red o administración de base de datos).
2. Quite o deshabilite todas las cuentas privilegiadas, incluyendo pagos y cuentas incorporadas, que ya no son necesarias.
3. Quitar excesivo acceso a cuentas privilegiadas de usuarios privilegiados conforme a los principios de privilegio mínimo y separación
de funciones
4. Eliminar todos los permisos innecesarios de cuentas privilegiadas. Esto incluye limitar los comandos, funciones, u otros elementos
pueden realizarse a través de las cuentas privilegiadas.
5. Aplicar una longitud máxima única sesión para el uso de cada cuenta privilegiada. La longitud máxima especificada para cada cuenta
dependerá de la criticidad de las funciones disponibles a través de esa cuenta.
6. Requerir autenticación para una cuenta con privilegios después de un período prolongado de inactividad.
7. Establecer y utilizar un mecanismo para valorar riesgo de acceso de usuario con privilegios para que la Agencia sabe que cuentas
privilegiadas son más riesgosos (para incluir aquellos no protegido con autenticación de PIV), que usuarios privilegiados tienen el
acceso más riesgo, y qué operaciones se pueden realizar con el acceso privilegiado.
8. Registrar y controlar todo el uso de cuentas privilegiadas y alerta cuando se observan actividades anormales o dudosas.
9. Llevar a cabo revisiones automatizadas (por ejemplo, cada 30 días) de acceso de usuario con privilegios conforme a ley, regulación,
políticas y directrices NIST. Esta revisión debe asegurar el cumplimiento con el principio de menos privilegio, y debe actualizarse el
inventario de usuarios y cuenta privilegiado como parte del proceso de examen.
10. Acceso remoto implementar recomienda prácticas tal como se describe en proyecto NIST publicación especial 800-46 revisión 2, Guía
para la empresa de teletrabajo, acceso remoto y traer su de propio aparato (BYOD) seguridad [20], si los activos de alto valor son
2.2 tema dedicado a dispositivos de punto final para uso privilegiado
Un atacante capaz de ganar el control de dispositivo de un usuario con privilegios puede ser
capaces de secuestrar las sesiones de acceso privilegiado y suplantar la identidad de ese
usuario en sistemas críticos. El riesgo de compromiso de estos dispositivos aumenta si se
utilizan para las actividades informáticas generales, como navegación web o correo
electrónico.
Para mitigar ese riesgo, las agencias deben considerar proporcionando a los usuarios
privilegiados con dispositivos de punto final dedicado (ordenadores portátiles, ordenadores
personales, dispositivos móviles, etc.) privilegiada sólo para uso. Estos dispositivos deben ser
endurecidos y asegurados tan fuertemente como sea posible para reducir el riesgo de
compromiso.
Por ejemplo, los sistemas podrían autenticar no sólo el usuario a través de la credencial PIV
pero también autenticar el dispositivo sí mismo. Con la autenticación fuerte dispositivo, acceso
desde dispositivos no podría desalentar a nivel de dispositivo.
 2.3 Enfoque basado en integrar LOA-3 y 4 requisitos de autenticación
privilegiada en un riesgo total-
Este documento recomienda LOA 4 o LOA 3 PIV autenticación para la autenticación de privilegiada.

Los enfoques también promoción el uso continuo y sistemático de credenciales PIV ha previsto HSPD-12. Estos enfoques deben cumplir
NIST SP 800-63 3 LOA requisitos para mitigar las vulnerabilidades relacionadas con las afirmaciones de autenticación.

NIST Special Publication 800-63

Version 1.0.2 Electronic Authentication
Guideline

Recommendations of the National Institute of

Standards and Technology

William E. Burr
Donna F. Dodson

W. Timothy Polk
9. Resumen de requisitos técnicos por nivel
Tabla 4. Resistencia mínima de la contraseña en línea a
Tabla 2. Tokens tipos permitidos en cada nivel de garantía de conjeturar
Tipo de ataque Nivel 1 Nivel 2
Tipo de token Nivel 1 Nivel 2 Nivel 3 Nivel 4
Ataque dirigido: probabilidad máxima
Token criptográfico duro √ √ √ √
de que un atacante adivinar la uno en 210 uno en 214
Dispositivo de contraseña √ √ √
contraseña de un usuario seleccionado (1/1024) (1/16384)
temporal durante la vigencia de la contraseña
Token criptográfico suave √ √ √ con ningún conocimiento a priori que
Contraseñas y PINs √ √ no sea el nombre de usuario
Tabla 3. Protecciones necesarias Ataque no focalizado: min-entropía - 10-bits
Proteger contra Nivel 1 Nivel 2 Nivel 3 Nivel 4 Tabla 5. Tipos de protocolo de autenticación
Adivinanzas en línea √ √ √ √
Replay √ √ √ √ Tipo de protocolo Nivel 1 Nivel 2 Nivel 3 Nivel 4
Clave privada PoP √ √ √ √
Eavesdropper √ √ √
Clave simétrica PoP √ √ √ √
Suplantación de verificador √ √ Tunelizado o cero contraseña de √ √
Man in the middle √ √ conocimiento
Secuestro de sesión √ Contraseña de desafío y respuesta √

Tabla 6. Propiedades adicionales requeridos

Propiedad requerido Nivel 1 Nivel 2 Nivel 3 Nivel 4
Compartir secretos no revelados a √ √ √
terceros verificadores o CSP
Autenticación de múltiples factores √ √
Autenticada de la transferencia de datos √
sensibles
2.4 seleccionar la arquitectura de autenticación apropiado PIV

Para que cada sistema PIV habilitado, las agencias deben implementar la arquitectura que proporciona el más alto
nivel de seguridad posible, dadas las capacidades del sistema.

2.4.1 arquitecturas de verificación directos e indirectos

Directa verificación.
la Relying Party es el verificador. Debido a esto reduce al mínimo el número de componentes, y tener más componentes generalmente
crea vectores de ataque adicional, verificación directa es la arquitectura preferida. La arquitectura de verificación directa proporciona
la Relying Party con LOA 4

Verificación indirecta
el usuario se autentica a un verificador que no la Relying Party, después de que el verificador proporciona a la Relying Party con una
afirmación que se ha verificado la identidad del usuario.

2.4.2 transición Proxy arquitectura

. El proxy se coloca entre el usuario (demandante) y la Relying Party, por lo que sólo es posible obtener un acceso
privilegiado a la Relying Party después de la autenticación al proxy con éxito.
2.5 seleccionar y aplicar otros controles de seguridad necesarios
Nombre y número de Control NIST SP 800-53
AC-1, política de Control de acceso y procedimientos Establecer y mantener políticas y procedimientos de funciones, responsabilidades y otros aspectos de permitir el acceso a través de cuentas privilegiadas
AC-2, gestión de cuentas
AC-3, aplicación de acceso
AC-5, separación de funciones
CA-6, menos privilegio
Intentos fallidos de CA-7, fracasado
AC-11, cierre de sesión
AC-12, terminación de sesión
Acceso remoto AC-17
AU-2, auditar eventos
AU-3, contenido de los registros de auditoría
AU-6, informe de auditoría, análisis y Reporting
AU-12, generación de auditoría
CA-7, continua supervisión
CM-5, las restricciones de acceso para el cambio
IA-1, la identificación y
Política de autenticación y
Procedimientos
Nombre y número de Control NIST SP 800-53
IA-2, la identificación y
Autenticación (organización
Usuarios)
IA-4, gestión de identificador
Aplicabilidad a la autenticación de usuarios con privilegios
Llevar a cabo todos los deberes asociados a la gestión de la cuenta con privilegios, incluyendo creando, que permite, modificar, desactivar y eliminación de cuentas privilegiadas, así como especificar
privilegios de la cuenta.
Monitor cuenta privilegiada todas usar.
Asegúrese de que todas las solicitudes de acceso a cuentas privilegiadas existentes o creación de nuevas cuentas privilegiadas están autorizadas.
También, mejoras de control de AC-2 de interés particular incluyen (3), (4) y (11).
Aplicar lógica de acceso a procesos relacionados con la privilegiada cuenta
gestión. También, se incluyen mejoras de control de AC-3 de particular interés
(2).
Asignarle los privilegios para que ningún usuario con privilegios solo tiene privilegios excesivos para evitar la violación de la separación del principio de deberes.
Ver las instrucciones en sección 2.2 para los detalles para lograr el principio de privilegio mínimo para cuentas privilegiadas. Además, AC-6 control mejoras de interés particular incluyen (1), (2) (3), (5),
(6), (7), (9) y (10).
Límite de fallos consecutivos de autenticación para cuentas privilegiadas.
Bloqueo de un usuario con privilegios de privilegio sesión después de un período de inactividad o a petición del usuario.
Terminar sesión privilegiada de un usuario con privilegios después de un período de inactividad o a petición del usuario.
Restringir que los sistemas se pueden acceder remotamente por usuarios con privilegios y qué acciones pueden realizar los usuarios en cada sistema a través de acceso remoto.
Ver también mejora de control de AC-17 (4).
Asegúrese de que el sistema registra los eventos adecuados relacionados con el uso de la cuenta con privilegios.
Determinar si el sistema de información genera los registros de auditoría.
Registros de auditoría de revisión de cuentas privilegiadas identificar la actividad inusual o inadecuada. Informe dicha actividad al personal apropiado. Ver también mejora de control AU-6 (8).
Generar registros de auditoría de uno o más de cada acción tomada usando una cuenta con privilegios.
Asegurar que todo uso de cuentas privilegiadas se supervisa continuamente para proporcionar la rápida identificación de las amenazas.
Limitar la capacidad de realizar cambios aprobados en sistemas para usuarios con privilegios cualificados y autorizados.
Establecer y mantener políticas y procedimientos relacionados con la identificación y autenticación de usuarios con privilegios.
Aplicabilidad a la autenticación de usuarios con privilegios
Únicamente identificar y autenticar cada usuario privilegiado. Ver también, IA-2 control mejoras (1), (3), (6), (8), (11) y (12).
Administrar identificadores de sistema de información para todos los usuarios privilegiados.
3 Resumen y trabajo colaborativo futuro

Autenticación de usuarios para acceso a cuentas privilegiadas

requiere un alto nivel de seguridad en la identidad del usuario
(LOA-4 o LOA-3, dependiendo de la criticidad de los
privilegiados acceso a la red).

Sistemas permitiendo PIV para acceso de usuario con

privilegios pueden proporcionar este alto nivel de seguridad
de autenticación. Mediante las arquitecturas de autenticación
descritas en este documento, las agencias tienen las
herramientas para mapear sus sistemas a los niveles de
seguridad que requieren e implementan controles adicionales