Home Blog Productos Autor Contacto

El problema de seguridad y la protección de identidades en Microsoft 365 y Azure

azure ciberseguridad defender xdr entra microsoft 365 seguridad Jun 02, 2024
El problema de seguridad y la protección de identidades en Microsoft 365 y Azure

Como vimos en un artículo anterior, el nuevo perímetro de seguridad va más allá de la red de la organización y gira en torno a la identidad de usuarios y dispositivos.

El problema de seguridad que esto presenta es que al migrar a la nube, en este caso Microsoft 365 aunque aplicaría a cualquier otro proveedor, es que de forma predeterminada la organización queda expuesta a un montón de situaciones nuevas o potenciadas por la nueva realidad y muchas cuestiones no son analizadas o quedan sin respuesta ya sea por falta de información, tiempo o presupuesto.

Teniendo en cuenta que los usuarios podrían acceder desde cualquier lugar y ya no existiría un perímetro de seguridad tradicional, es fundamental proteger las identidades, los dispositivos desde los que se conectan y los recursos en cuestión. Esto no se encuentra cubierto en Microsoft 365 de forma predeterminada y requiere de acciones adicionales.

Protección de identidades

Entra ID (Azure AD) proporciona múltiples herramientas y configuraciones para asegurar que solo los usuarios autorizados accedan a los recursos de la organización, para esto se cuenta con múltiples opciones, siendo quizás la primera y más básica la habilitación de multi-factor (MFA) para la autenticación de usuarios, esto implica que ya no sería suficiente con conocer la contraseña de un usuario sino que también hay que tener acceso a un segundo factor de autenticación, en general una app en el teléfono (Authenticator).

En relación con esto Microsoft hizo un análisis del tema y encuentra que la habilitación de MFA puede evitar 99,9% de los ataques asociados al compromiso de cuentas de usuario.

Muchos de los incidentes de seguridad comienzan con una cuenta comprometida, eventualmente el atacante podría escalar privilegios y así avanzar en el ataque.

Esto no es algo que se note de forma inmediata, de hecho se estima que los atacantes pasan en promedio varios meses dentro de la red antes de ser detectados por la organización. Teniendo en cuenta que esto sucede dentro del perímetro de seguridad tradicional, cómo pensar que se sabe lo que sucede afuera?

La opción de MFA se encuentra incluida en el licenciamiento más básico pero las opciones más avanzadas y que ofrecen la mayor flexibilidad se encuentran en Entra ID Premium (Azure AD Premium) que puede ser adquirido de forma independiente o dentro de un paquete como por ejemplo con Enterprise Mobility + Security EMS E3 / E5 o Microsoft 365 E3 / E5.

En este sentido, una de las ventajas de Entra ID Premium es la posibilidad de utilizar el acceso condicional. Esto permite configurar políticas que determinan el acceso y su modalidad basándose en factores (señales) como el usuario, la ubicación, el uso de dispositivos administrados y las aplicaciones a las que se accede entre otras posibilidades. Dependiendo de estos factores, se puede requerir el uso de MFA solo en casos específicos o tomar algún otro tipo de decisión. 

Acceso Condicional

Las políticas de Conditional Access se basan en declaraciones condicionales simples del tipo "if-then" (si se da "tal cosa", entonces hacer "algo"). Por ejemplo, si un usuario quiere acceder a un recurso, entonces debe completar una acción determinada (ej: MFA), también se podría bloquear el acceso o aplicar otros controles basados en el contexto de la solicitud. Al crear una política de Conditional Access se determina qué señales usar a través de asignaciones, esto controla quién, qué, dónde y cuándo se debería aplicar la política. Estas asignaciones usan logicamente un AND, es decir que si hay más de una condición configurada, todas deben cumplirse para aplicar la política. Por otro lado también tenemos control sobre a quién se debe incluir o excluir de la aplicación de una política, como usuarios, grupos o miembros de roles específicos. 

Otro caso común sería el bloquear o habilitar el acceso solo desde IPs específicas, rangos o incluso países, por ejemplo si la conexión viene desde Rusia o China bloquear el acceso directamente. Claro que esto también podría bloquear un acceso legítimo, en su momento recuerdo varias situaciones durante el mundial de Qatar.

Entra ID Premium viene en 2 planes y en particular en cuanto al acceso condicional el Plan 2 agrega la posibilidad del uso del riesgo como condición adicional.

Entra ID Identity Protection (Azure AD Identity Protection)

Microsoft Entra ID Identity Protection ayuda a las organizaciones a detectar, investigar y mitigar riesgos basados en identidades. Estos riesgos pueden integrarse en herramientas como Conditional Access para tomar decisiones de acceso más informadas.

Identity Protection proporciona detección automatizada de riesgos y medidas de respuesta para mitigación. Detecta actividades sospechosas, como inicios de sesión desde ubicaciones anómalas o dispositivos desconocidos. Durante cada inicio de sesión, Identity Protection realiza un análisis y genera un nivel de riesgo de sesión que indica la probabilidad de que el inicio de sesión esté de algún modo comprometido. Basado en este nivel de riesgo, se aplican políticas para proteger al usuario y la organización. 

Tipos de Riesgos

  • Riesgo de Inicio de Sesión (Risky Sign-in): La probabilidad de que una solicitud de autenticación no esté autorizada por el propietario de la identidad.
  • Riesgo de Usuario (User Risk): La probabilidad de que una identidad o cuenta esté comprometida.

Estos tipos de riesgos pueden ser integrados en las políticas de acceso condicional de la organización para tomar decisiones de acceso basadas en estos factores.

En complemento a esto Identity Protection genera informes para investigación y toma de decisiones:

  • Inicios de Sesión Riesgosos: Se reporta un inicio de sesión riesgoso cuando hay una o más detecciones de riesgo para ese inicio de sesión.
  • Usuarios Riesgosos: Un usuario riesgoso se reporta cuando el usuario tiene uno o más inicios de sesión riesgosos o una o más detecciones de riesgo.

En cuanto a la remediación, tenemos automática mediante la integración con políticas de acceso condicional, por ejemplo requiriendo MFA y un reset de contraseña, de darse de forma exitosa el riesgo se considera remediado. Por otro lado puede también manejarse de forma manual, revisando los informes y tomando acciones manuales.

Microsoft Defender for Identity integra señales de riesgo para mejorar la protección de identidades híbridas proporcionando una capa adicional de seguridad y análisis de amenazas. Este tema cuenta con un artículo dedicado más adelante en esta serie.

Privileged Identity Management (PIM) 

En general, los ataques pueden dirigirse a cualquier tipo de usuario, independientemente de si cuenta con privilegios administrativos o no. En algún punto, es probable que el atacante intente escalar privilegios.

Para mitigar el riesgo asociado a la escalación de privilegios, es fundamental reducir el uso de cuentas administrativas y gestionar roles privilegiados mediante ventanas de tiempo y procesos de aprobación. Privileged Identity Management (PIM) es la solución en Azure diseñada para este propósito.

PIM es un servicio de Microsoft Entra ID que permite gestionar, controlar y monitorear el acceso a recursos como Microsoft Entra (Azure) y otros servicios de Microsoft como Microsoft 365 o Intune. PIM mitiga los riesgos de permisos de acceso excesivos, innecesarios, requiriendo justificación para el uso de roles privilegiados y aplicando autenticación multifactor para su activación. Esta característica se encuentra incluida en la licencia de Entra ID P2.

Características Principales de PIM

  • Acceso Just-in-Time: Proporciona acceso privilegiado solo cuando es necesario.
  • Límite Temporal: Asigna fechas de inicio y fin para indicar cuándo un usuario puede acceder a los recursos.
  • Basado en Aprobaciones: Requiere aprobación específica para activar privilegios.
  • Visibilidad: Envía notificaciones cuando se activan roles privilegiados.
  • Auditable: Permite acceder a un historial completo de acceso.

PIM reduce la probabilidad de que un usuario malintencionado obtenga acceso al reducir el número de personas con privilegios y limitando temporalmente los mismos. Esto otorga mayor control y visibilidad sobre los accesos privilegiados, ayudando a prevenir el uso indebido y protegiendo los activos críticos de la organización.

En la siguiente imagen se detalla el flujo de aprobación con PIM:

 

Mejores Prácticas para la protección de identidades

  • Implementar MFA para todos los usuarios: Fundamental que todos los usuarios, no solo los administradores, utilicen MFA para aumentar la seguridad de las cuentas (tener en consideración el impacto en cuentas de servicio).
  • Configurar políticas de acceso condicional basadas en el riesgo: De contar con el licenciamiento necesario tener en cuenta la evaluación del riesgo de la sesión.
  • Utilizar Privileged Identity Management (PIM): Implementar PIM para gestionar de forma efectiva el acceso privilegiado. Esto proporciona acceso just-in-time y basado en la aprobación, limitando el tiempo y la exposición de privilegios elevados lo que reduce significativamente el riesgo de abuso de cuentas con acceso privilegiado y mejora la auditoría y la visibilidad de estos accesos.
  • Monitorear y revisar los reportes regularmente: Revisar los reportes de actividad y las alertas para detectar y responder a actividades sospechosas de manera proactiva. Estos reportes proporcionan visibilidad sobre quién ha iniciado sesión, desde dónde y con qué frecuencia.
  • Educar a los usuarios sobre buenas prácticas de seguridad: Capacitar a los usuarios de tal forma que comprendan la importancia de la seguridad de las identidades y cómo proteger sus cuentas.

El uso de Identity Protection, Conditional Access y PIM ayuda a las organizaciones a reducir significativamente el riesgo de accesos no autorizados y proteger recursos críticos de manera más efectiva. En el caso de entornos híbridos esto debe ser complementado también con Microsoft Defender for Identity como vemos más adelante en esta serie de artículos. La implementación de estos servicios con Entra ID es fundamental para cualquier organización que busque mejorar su postura de seguridad y aplicar los principios de Zero Trust. 

En el próximo artículo profundizamos en el tema de Zero Trust y su aplicación con Microsoft 365.

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.