El concepto de autenticación multifactor (MFA) requiere que los usuarios proporcionen varias formas de identificación antes de acceder a sistemas. Algo que tienes, algo que sabes, algo que eres.
Es un paso vital, ya que las contraseñas por sí solas siguen siendo susceptibles a ataques.
La implementación de MFA se logra integrándola en tu proceso de autenticación, utilizando opciones como tokens de hardware o datos biométricos como factores de autenticación secundarios. Es MUY importante contar con una estrategia global. No implementes una solución MFA para O365, otra para Windows, otra para la VPN y otra para la APP.
Las contraseñas de un solo uso basadas en el tiempo (TOTP por sus siglas en inglés) pueden ser una alternativa.
Lo que es importante es una vez más conocer el negocio, y establecer este control de manera correcta, para no generar fatiga en el usuario. Créeme, encontrará maneras de bypasear esto. Imaginas pedirle un MFA a un usuario en Outlook cada vez que actualiza?
3. Adoptar el Principio de Privilegio Mínimo
El principio de privilegio mínimo es fundamental para un enfoque Zero Trust, ya que restringe el acceso de los usuarios a los permisos mínimos necesarios para sus roles. Para aplicar este principio, se deben revisar regularmente los permisos de usuario y ajustarlos en función de los requisitos del trabajo (también conocido como control de acceso basado en roles RBAC), asegurando que los usuarios solo tengan acceso a lo necesario para sus tareas.
Esto se combina con soluciones de monitorización automáticas que examinan continuamente los derechos de acceso y señalan anomalías, así como permisos detallados que permiten personalizar el acceso hasta tareas o proyectos específicos.
Un ejemplo muy sencillo, imagina un técnico HelpDesk con permiso para resetear passwords… Por defecto Azure no deja que un HelpDesk resetee un Global admin… pero si al CEO que es un usuario básico. HelpDesk debería ser un usuario TIER 0 porque es un Shadow Admin…
4. Realizar entrenamiento obligatorio de concienciación
La idea es sencilla, ENTRENAR. Numerosos estudios sugieren que hasta el 88% de las brechas de datos podrían ser causadas por errores humanos. Este tipo de entrenamiento, que puede ser tanto presencial como virtual, tiene como objetivo educar al personal en los principios de la gestión segura de contraseñas, ayudándoles a reconocer intentos de phishing y comprender las implicaciones de las políticas de control de acceso.
La famosa capa 8, el humano, sigue siendo un pilar fundamental. Realizar campañas de phishing no es lo mismo que un programa completo de concienciación. Hay que medir la evolución, el impacto de la acción.
5. Cumplimiento normativo
Puedes usar esta guía, o reinventar la tuya propia. Pero lo recomendable es seguir marcos de referencia. Hay infinidad de ellos, grupos de trabajo que han creado unos procedimientos concretos, y te olvides de “pensar”.
Simplemente tienes que adaptar los procesos de cambio a tu organización.
En España tenemos guías ENS, tenemos controles NIST, CIS, Cloud Alliance. Hemos hablado mucho de todo esto, incluso en este blog tenemos varios posts con medidas concretas, que adivina… YO he sacado de algún compliance ¡!!!! Yo no invento nada.
6. Adoptar acceso Passwordless
"Passwordless" se refiere a adoptar un enfoque de autenticación que elimina la necesidad de usar contraseñas tradicionales. En lugar de depender de contraseñas que los usuarios deben recordar y administrar, la autenticación sin contraseña utiliza métodos alternativos más seguros y convenientes, como la autenticación biométrica o el inicio de sesión basado en correo electrónico con códigos únicos.
Este enfoque se adopta debido a que muchas personas encuentran difícil administrar sus contraseñas, lo que aumenta el riesgo de brechas de seguridad relacionadas con credenciales. Al eliminar las contraseñas, se reduce este riesgo.
Sin embargo, la decisión de implementar completamente un sistema sin contraseña depende de cada organización.
Hay organizaciones que no pueden obligar a usar un móvil. Hay otras en las que la biometría ha cargado mucho el N1. Yo he visto como el poder de los usuarios ha conseguido tumbar iniciativas de este tipo, porque “no va la huella”, pero en el gimnasio si… El usuario va a luchar contra el cambio, pero esto es otro tema…
7. Realizar Test de penetración y simulación de adversarios
Tengas muy elaborada la solución, o estés empezando, debes MEDIR. Realizar una prueba real del estado del sistema es un MUST para tomarlo como referencia de mejora. SEA cual SEA tu nivel actual, una auditoría, pentest, simulación o lo que sea es imprescindible.
Me gusta separar estos dos conceptos, ya que un Pentest o auditoría está más orientada a la consecución de objetivos, generalmente un kill chain clásico de ataque, mientras que la simulación de adversarios está más encaminada a mejorar las capacidades de detección y contención.
8. Estrategia de logs
La estrategia de logs regula la manera en que una organización maneja y almacena los registros de actividad (logs) de sus sistemas. La recolección centralizada de logs simplifica la supervisión y auditoría para una respuesta rápida a incidentes y para cumplir con regulaciones.
Se pueden utilizar soluciones de almacenamiento de logs basadas en la nube o en las instalaciones que agreguen logs de diversas fuentes de datos en tiempo real.
Se debe crear una estrategia completa de Data Ware House de logs, teniendo en cuenta normalización, estrategia de almacenamiento frio/caliente, identificar Data Source de valor.
En Inseguros hemos hablado MUCHO de los logs. NO se trata de tener los logs de UN sistema, sino de todo un proceso de mejora constante.
9. Plataforma de IAM correcta
Seleccionar la plataforma IAM adecuada es crucial para una gestión de seguridad efectiva. Necesitarás elegir una que ofrezca cobertura y visibilidad de extremo a extremo a lo largo de todo el viaje de acceso a los activos de tu negocio. De lo contrario, solo obtendrás una fracción de la historia. La implementación también es un factor importante: cuando se trata de control de acceso, no puedes permitirte tiempos de inactividad o errores, por lo que elegir una solución con opciones de implementación e integración rápidas y flexibles es una buena idea.
Mi aproximación siempre es contar con todos los servicios o funcionalidades que tenemos en nuestra plataforma base, y crecer con una solución complementaria SOLO cuando tenemos claro lo que necesitamos y el esfuerzo, tanto económico como de cambio de procesos. Los esfuerzos técnicos no me preocupan…
10. Implementar controles basados en el tiempo
Dependiendo del servicio que queramos proteger, tenemos unas medidas u otras, por ejemplo, si queremos proteger los accesos temporales a máquinas de cómputo podemos recurrir a servicios nativos de Azure como Just In Time.
Si hablamos de sesión, podemos usar varias funcionalidades relacionadas con la protección del token.
Si usas un entorno híbrido, con ad connect en la modalidad Pass Trough ( autentica el entorno on premise) no el Pass The Hash por defecto( autentica el entorno cloud) puedes usar la restricción de tiempo nativa de Windows para aplicar este control al mundo cloud, por ejemplo al O365…
Que una sesión en Office se re-autentique, o que el browser no guarde la sesión, hay varias opciones disponibles. La cuestión es abordar todas las medidas que nos de la plataforma. Si usas gestores IAM externos, contar con estos controles, porque son realmente efectivos.