Seguridad

10 medidas que si o si debes implementar para proteger la identidad

 Estimados amigos de Inseguros !!!

Cuando hablo con las organizaciones, de distinto nivel de madurez, debo ofrecer distintas recomendaciones, está claro que no es lo mismo una pyme que un Ibex35. Pero si hay algo común en todas, es que el objetivo de todo el camino de la ciberseguridad es proteger la identidad. Ya sabes, no me vale que tu clave sea mega fuerte, si corres el riesgo de que si comprometo esa clave, estés bendido. Debemos ahondar en esto, te guste o no.

Sabes cuantas empresas me encuentro, de TODO TIPO, con TODO TIPO de soluciones de toda gama, y que aún tienen MUCHOS usuarios que no cambian clave. No me refiero a “servicios” me refiero a que no han conseguido una política robusta de autenticación. O las que no consiguen poner el MFA porque el usuario/directivo manda… Si en tu empresa no puedes virar hacia todo esto vas mal. Pon las excusas que quieras, o pon un firewall más alto…

A donde voy, aquí te dejo unas cuantas ideas para proteger tu IAM ( Identidad y Acceso). Te recomiendo avanzar en las que puedas, y lo primero, exprimir al máximo lo que te da tu infra. y luego buscar un partner/producto/servicio para cubrir nuevas necesidases. NO te guíes por un producto como marco de referencia.

10 Medidas para mejorar tu IAM


1. Implementar un Enfoque Zero Trust 

El enfoque Zero Trust en seguridad es un modelo que rechaza la idea de confianza implícita dentro de las redes y requiere verificación continua de usuarios y dispositivos. ¿Esto qué quiere decir? Que no pienses que “dentro” es distinto que “fuera”. Este enfoque es crucial porque minimiza el riesgo de acceso no autorizado, especialmente en un panorama de amenazas tan cambiante. 
Hoy tenemos un tipo de ataque, pero mañana tenemos otro. Para implementar el enfoque de Zero Trust, comienza por segmentar tu red, requerir autenticación multifactor para todo acceso y aplicar controles estrictos de acceso basados en los roles de usuario y procesos de empresa. También podrías implementar políticas contextuales, como permitir solo ciertos tipos de acceso desde determinadas ubicaciones o dispositivos, para una capa de seguridad adicional. 
Conocer la empresa, los procesos, las necesidades, y meterlo en la coctelera para proporcionar este enfoque.
El otro día poníamos un video de cómo proteger el acceso a MsGraph en Azure: Bloqueando TODO y habilitando sólo lo que necesito. Esto es Zero Trust 

2. Utilizar Autenticación Multifactor (MFA) 
El concepto de autenticación multifactor (MFA) requiere que los usuarios proporcionen varias formas de identificación antes de acceder a sistemas. Algo que tienes, algo que sabes, algo que eres.
Es un paso vital, ya que las contraseñas por sí solas siguen siendo susceptibles a ataques. 
La implementación de MFA se logra integrándola en tu proceso de autenticación, utilizando opciones como tokens de hardware o datos biométricos como factores de autenticación secundarios. Es MUY importante contar con una estrategia global. No implementes una solución MFA para O365, otra para Windows, otra para la VPN y otra para la APP. 
Las contraseñas de un solo uso basadas en el tiempo (TOTP por sus siglas en inglés) pueden ser una alternativa.
Lo que es importante es una vez más conocer el negocio, y establecer este control de manera correcta, para no generar fatiga en el usuario. Créeme, encontrará maneras de bypasear esto. Imaginas pedirle un MFA a un usuario en Outlook cada vez que actualiza? 

3. Adoptar el Principio de Privilegio Mínimo 
El principio de privilegio mínimo es fundamental para un enfoque Zero Trust, ya que restringe el acceso de los usuarios a los permisos mínimos necesarios para sus roles. Para aplicar este principio, se deben revisar regularmente los permisos de usuario y ajustarlos en función de los requisitos del trabajo (también conocido como control de acceso basado en roles RBAC), asegurando que los usuarios solo tengan acceso a lo necesario para sus tareas. 
Esto se combina con soluciones de monitorización automáticas que examinan continuamente los derechos de acceso y señalan anomalías, así como permisos detallados que permiten personalizar el acceso hasta tareas o proyectos específicos. 
Un ejemplo muy sencillo, imagina un técnico HelpDesk con permiso para resetear passwords… Por defecto Azure no deja que un HelpDesk resetee un Global admin… pero si al CEO que es un usuario básico. HelpDesk debería ser un usuario TIER 0 porque es un Shadow Admin…
4. Realizar entrenamiento obligatorio de concienciación 
La idea es sencilla, ENTRENAR. Numerosos estudios sugieren que hasta el 88% de las brechas de datos podrían ser causadas por errores humanos. Este tipo de entrenamiento, que puede ser tanto presencial como virtual, tiene como objetivo educar al personal en los principios de la gestión segura de contraseñas, ayudándoles a reconocer intentos de phishing y comprender las implicaciones de las políticas de control de acceso. 
La famosa capa 8, el humano, sigue siendo un pilar fundamental. Realizar campañas de phishing no es lo mismo que un programa completo de concienciación. Hay que medir la evolución, el impacto de la acción. 
5. Cumplimiento normativo 
Puedes usar esta guía, o reinventar la tuya propia. Pero lo recomendable es seguir marcos de referencia. Hay infinidad de ellos, grupos de trabajo que han creado unos procedimientos concretos, y te olvides de “pensar”.
Simplemente tienes que adaptar los procesos de cambio a tu organización. 
En España tenemos guías ENS, tenemos controles NIST, CIS, Cloud Alliance. Hemos hablado mucho de todo esto, incluso en este blog tenemos varios posts con medidas concretas, que adivina… YO he sacado de algún compliance ¡!!!! Yo no invento nada. 
6. Adoptar acceso Passwordless 
“Passwordless” se refiere a adoptar un enfoque de autenticación que elimina la necesidad de usar contraseñas tradicionales. En lugar de depender de contraseñas que los usuarios deben recordar y administrar, la autenticación sin contraseña utiliza métodos alternativos más seguros y convenientes, como la autenticación biométrica o el inicio de sesión basado en correo electrónico con códigos únicos.
Este enfoque se adopta debido a que muchas personas encuentran difícil administrar sus contraseñas, lo que aumenta el riesgo de brechas de seguridad relacionadas con credenciales. Al eliminar las contraseñas, se reduce este riesgo. 
Sin embargo, la decisión de implementar completamente un sistema sin contraseña depende de cada organización.
Hay organizaciones que no pueden obligar a usar un móvil. Hay otras en las que la biometría ha cargado mucho el N1. Yo he visto como el poder de los usuarios ha conseguido tumbar iniciativas de este tipo, porque “no va la huella”, pero en el gimnasio si… El usuario va a luchar contra el cambio, pero esto es otro tema… 
7. Realizar Test de penetración y simulación de adversarios 
Tengas muy elaborada la solución, o estés empezando, debes MEDIR. Realizar una prueba real del estado del sistema es un MUST para tomarlo como referencia de mejora. SEA cual SEA tu nivel actual, una auditoría, pentest, simulación o lo que sea es imprescindible. 
Me gusta separar estos dos conceptos, ya que un Pentest o auditoría está más orientada a la consecución de objetivos, generalmente un kill chain clásico de ataque, mientras que la simulación de adversarios está más encaminada a mejorar las capacidades de detección y contención. 
8. Estrategia de logs 
La estrategia de logs regula la manera en que una organización maneja y almacena los registros de actividad (logs) de sus sistemas. La recolección centralizada de logs simplifica la supervisión y auditoría para una respuesta rápida a incidentes y para cumplir con regulaciones.
Se pueden utilizar soluciones de almacenamiento de logs basadas en la nube o en las instalaciones que agreguen logs de diversas fuentes de datos en tiempo real. 
Se debe crear una estrategia completa de Data Ware House de logs, teniendo en cuenta normalización, estrategia de almacenamiento frio/caliente, identificar Data Source de valor.
En Inseguros hemos hablado MUCHO de los logs. NO se trata de tener los logs de UN sistema, sino de todo un proceso de mejora constante. 
9. Plataforma de IAM correcta 
Seleccionar la plataforma IAM adecuada es crucial para una gestión de seguridad efectiva. Necesitarás elegir una que ofrezca cobertura y visibilidad de extremo a extremo a lo largo de todo el viaje de acceso a los activos de tu negocio. De lo contrario, solo obtendrás una fracción de la historia. La implementación también es un factor importante: cuando se trata de control de acceso, no puedes permitirte tiempos de inactividad o errores, por lo que elegir una solución con opciones de implementación e integración rápidas y flexibles es una buena idea. 
 Mi aproximación siempre es contar con todos los servicios o funcionalidades que tenemos en nuestra plataforma base, y crecer con una solución complementaria SOLO cuando tenemos claro lo que necesitamos y el esfuerzo, tanto económico como de cambio de procesos. Los esfuerzos técnicos no me preocupan… 
10. Implementar controles basados en el tiempo
Dependiendo del servicio que queramos proteger, tenemos unas medidas u otras, por ejemplo, si queremos proteger los accesos temporales a máquinas de cómputo podemos recurrir a servicios nativos de Azure como Just In Time.
Si hablamos de sesión, podemos usar varias funcionalidades relacionadas con la protección del token.
Si usas un entorno híbrido, con ad connect en la modalidad Pass Trough ( autentica el entorno on premise) no el Pass The Hash por defecto( autentica el entorno cloud) puedes usar la restricción de tiempo nativa de Windows para aplicar este control al mundo cloud, por ejemplo al O365… 
Que una sesión en Office se re-autentique, o que el browser no guarde la sesión, hay varias opciones disponibles. La cuestión es abordar todas las medidas que nos de la plataforma. Si usas gestores IAM externos, contar con estos controles, porque son realmente efectivos.
Seguro que coincides conmigo, más o menos, pero la cuestión es ponerlo en marcha 🙂
Si necesitas ayuda con este proceso a nivel consultoría, o quieres crecer en la ciberseguridad Azure con nuestros cursos, tu mismo.
Cuenta con un humilde murciano para lo que necesites.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.