En el panorama digital actual, el perímetro de seguridad tradicional se ha disuelto, convirtiendo la identidad en la nueva línea de defensa. A medida que las organizaciones adoptan cada vez más servicios en la nube y modelos de trabajo remoto, gestionar y proteger las identidades se ha vuelto primordial. Las prácticas eficaces de gestión de identidades y accesos (IAM) son esenciales para que los departamentos de TI se protejan contra ataques cibernéticos, intentos de phishing y amenazas de ransomware. Al implementar estrategias sólidas de IAM, las organizaciones pueden garantizar que solo las personas autorizadas tengan acceso a los recursos críticos, mitigando así los posibles riesgos de seguridad. Profundicemos en las cosas más importantes en las que debemos centrarnos, todas las cuales están alineadas con los principios fundamentales de confianza cero. Verificar explícitamente Uno de los principales impulsores que impulsan la adopción continua de la tecnología en la nube es la incomparable facilidad de acceso a los recursos desde cualquier lugar, desde cualquier dispositivo y en cualquier momento del día. Sin embargo, en términos prácticos, sería miope permitir este nivel de acceso indiscutible sin verificar que las solicitudes de acceso las realiza la persona correcta. Después de todo, todavía vivimos en una época en la que los nombres de usuario y las contraseñas suelen escribirse cerca de los dispositivos en los que se utilizan. Los equipos de seguridad de TI deben contar con mecanismos sólidos para verificar explícitamente estas solicitudes de acceso, de modo que se pueda confiar en permitir el acceso, especialmente desde ubicaciones de red no reconocidas. Algunos ejemplos de cómo esto podría verse en la práctica serían el uso de métodos sólidos de autenticación multifactor (MFA) para proteger las solicitudes. Los métodos sólidos incluyen aprobar una solicitud de acceso a través de una notificación en la aplicación de autenticación elegida en un dispositivo inteligente (que ya usa datos biométricos para desbloquearse) o mediante el uso de un mensaje de coincidencia de números para que el solicitante deba ingresar manualmente la «respuesta» correcta en su aplicación antes. se concede el acceso. Estos métodos ayudan a eludir algunas de las crecientes técnicas que los atacantes están utilizando para intentar eludir las indicaciones de MFA: a saber, el intercambio de simulación y la fatiga de MFA. La aparición de estas técnicas de ataque centradas en MFA demuestra que los atacantes siempre intentarán ir un paso por delante de las características de seguridad emergentes. Sin embargo, MFA no es la solución definitiva cuando se trata de seguridad de identidad. Es simplemente el primer obstáculo que los equipos de seguridad deben poner entre un atacante y su objetivo de comprometer un entorno. Cuantos más obstáculos haya, más probabilidades habrá de que un atacante se dé por vencido y se desplace hacia un objetivo más fácil. La MFA disuadirá a la mayoría de los atacantes, pero no a todos. El análisis del comportamiento de usuarios y entidades (UEBA) es otra técnica moderna que puede proporcionar una capa adicional de seguridad. Independientemente de si un atacante ha logrado superar el obstáculo de MFA que ha encontrado, UEBA monitorea constantemente las diferentes métricas que se generan cuando un usuario interactúa con la plataforma en la nube. A cualquier desviación de lo que se considera normal para ese usuario se le asigna una puntuación de riesgo y, si se detectan suficientes anomalías, puede obligar al usuario a restablecer la contraseña o incluso bloquear la cuenta por completo hasta que el equipo de seguridad esté satisfecho de que la cuenta no se ha recuperado. No ha sido comprometido. Estas técnicas demuestran una pequeña parte de lo que se puede hacer para reforzar la plataforma IAM y hacerla más resistente a los ataques centrados en la identidad. A donde esto inevitablemente se dirigirá en el futuro será a la protección contra el uso de deepfakes generados por IA. La tecnología de inteligencia artificial también se está volviendo más accesible para todos, ¡esto también incluye a los malos actores! El uso de funciones en Microsoft Entra como Verified ID, incluida la necesidad de realizar escaneos biomiméticos en tiempo real para demostrar la autenticidad, será algo común pronto, lo que garantizará que cuando alguien reciba esa llamada del director financiero al final de la tarde del viernes para aprobar facturas enormes para el pago. , pueden tener la confianza de que están hablando con su director financiero y no con una videollamada generada por IA. Utilice principios de acceso con privilegios mínimos A medida que las organizaciones crecen y evolucionan, también lo hacen los permisos y privilegios que se proporcionan para que la tecnología funcione. Con el tiempo, las identidades pueden acumular enormes cantidades de permisos diferentes a la carta para realizar tareas muy específicas. Si estos permisos no se ajustan periódicamente, puede significar que algunas identidades pueden tener enormes cantidades de poder sobre el entorno de TI. Cubramos algunos conceptos que ayudan a mitigar este riesgo. El control de acceso basado en roles (RBAC) es una forma de proporcionar consistentemente permisos y privilegios preasignados para adaptarse a un rol o tarea específica. Estos roles predefinidos facilitan el suministro de la cantidad correcta de derechos para la tarea en cuestión. Las plataformas en la nube como Microsoft 365 y Azure vienen con muchas funciones listas para usar, pero también permiten funciones personalizadas que se adaptan a las necesidades de cualquier organización. Se recomienda utilizar roles RBAC tanto como sea posible, y esto se aplica doblemente al implementar la siguiente técnica. El acceso justo a tiempo (JIT) lleva a RBAC un paso más allá. En lugar de tener identidades con permisos y privilegios elevados las 24 horas del día, el acceso JIT otorga derechos elevados de forma temporal. Microsoft Privileged Identity Management es un ejemplo de una herramienta JIT y permite que las identidades apropiadas actualicen temporalmente sus permisos a una función RBAC predeterminada y puede incluir controles y equilibrios adicionales como aprobaciones, forzar una aprobación de MFA, notificaciones por correo electrónico u opciones de personalización durante cuánto tiempo. las personas pueden obtener acceso a ciertos permisos. En última instancia, esto significa que si esas cuentas con acceso a privilegios superiores se ven comprometidas, no significa necesariamente que el mal actor podrá explotar esos permisos. Además de utilizar técnicas y tecnologías modernas de IAM para mantener los derechos y permisos en el tamaño adecuado, también es importante garantizar que existan procesos implementados para garantizar buenas prácticas de higiene de la identidad. Esto puede presentarse de muchas formas, pero si nos centramos en las soluciones de Microsoft Entra, podemos destacar dos herramientas específicas que pueden ayudar a que estos procesos funcionen mejor que un esfuerzo manual. En primer lugar, las revisiones de acceso se pueden utilizar para comprobar periódicamente las identidades en un entorno y proporcionar una indicación de quién ha estado utilizando sus derechos elevados o no. Esto deja a los propietarios de servicios con el poder de tomar decisiones sobre quién debe permanecer o no en los grupos de permisos. Esta también es una forma fantástica de auditar a los colaboradores externos que han sido invitados a su inquilino a través de Entra B2B. Los paquetes de acceso son otra forma de mantener estandarizada la habilitación de permisos. Las aplicaciones, grupos, servicios en la nube y más se pueden agrupar en un solo paquete; por ejemplo, ‘Contabilidad de nivel de entrada’ puede ser un paquete creado que otorga acceso al software de nómina, acceso de espectador a múltiples sitios de SharePoint y a un equipo de Microsoft. Una vez que esa persona sea eliminada del paquete de acceso, por ejemplo, si cambiara de departamento o fuera ascendida, eliminarla de este paquete de acceso único eliminará todo el acceso asociado al paquete de servicios. Esto significa que es menos probable que se acumulen permisos estancados en una identidad determinada. Asuma una infracción Incluso con las mejores herramientas de seguridad disponibles, las organizaciones nunca son 100 % inmunes a los ataques. Enfrentar esta realidad es una parte clave de una estrategia de seguridad exitosa. Es importante asumir siempre que es posible una infracción y aumentar su resiliencia para que responder a los ataques no sea una experiencia desalentadora. Se pueden introducir un par de conceptos para ayudar aquí. En primer lugar, es importante adoptar la idea de autenticación continua. En lugar de adoptar la mentalidad de «El usuario X ha realizado con éxito una solicitud MFA, por lo tanto, le concederé todo el acceso que solicitó», parece complementar algunos de los conceptos ya tratados en este artículo, pero como se destacó anteriormente, los atacantes Siempre intentaremos ir un paso por delante de las herramientas de seguridad, por lo que es vital que se pongan límites al acceso, incluso si el usuario parece estar haciendo todo correctamente. Nada hace esto mejor que alterar la frecuencia de inicio de sesión a la que estarán sujetos los usuarios, especialmente si acceden al contenido desde fuera de los límites de la red de la organización. Sin embargo, tenga en cuenta que se debe lograr un equilibrio importante entre aplicar prácticas de seguridad sólidas y afectar la experiencia del usuario, lo que genera frustración. Los controles de acceso adaptativos también se pueden utilizar para galvanizar la toma de decisiones sobre solicitudes de acceso. Por ejemplo, si el Usuario X inicia sesión desde su dispositivo registrado, dentro de los límites de la red de la organización, en una plataforma SaaS que usa todos los días, eso representa un riesgo mínimo. Aquí se debe conceder el acceso en la mayoría de los casos. Sin embargo, tome al Usuario Y, que inicia sesión desde una dirección IP externa que es una plataforma VPN anónima reconocida, en un dispositivo no registrado, y busca descargar cantidades masivas de información desde SharePoint. Esta podría ser una solicitud legítima, pero también podría ser una señal de compromiso de identidad, y los controles adaptativos en tiempo real, como las políticas de inicio de sesión o de riesgo en Entra ID Protection, pueden ayudar a mantener los recursos mejor protegidos en estos escenarios. En resumen, implementar un modelo de seguridad de confianza cero centrado en IAM es esencial para combatir los ciberataques, el phishing y el ransomware. Al adoptar principios como verificar explícitamente, privilegios mínimos y asumir violaciones, las organizaciones pueden reducir significativamente el riesgo de acceso no autorizado y movimiento lateral dentro de sus redes. Tecnologías como MFA, acceso JIT y UEBA desempeñan un papel crucial en el cumplimiento de estos principios. Además, las tecnologías de monitoreo continuo, análisis de identidad y engaño ayudan a detectar y responder a posibles infracciones rápidamente, lo que garantiza una postura de seguridad sólida y resiliente. Ricky Simpson es director de soluciones de Estados Unidos en Quorum Cyber, un proveedor de servicios de ciberseguridad con sede en Escocia. Se dirigió a Estados Unidos a principios de 2023 después de haber pasado varios años trabajando en funciones de nube, seguridad y cumplimiento en la sede de Microsoft en Edimburgo. Tiene una licenciatura en informática de la Universidad Robert Gordon en Aberdeen.