Cinco pasos para asegurar su infraestructura de identidad

  • Artículo
  • Tiempo de lectura: 18 minutos

Si está leyendo este documento, es consciente de la importancia de la seguridad. Es probable que ya tenga la responsabilidad de proteger su organización. Si necesita convencer a otros de la importancia de la seguridad, hágales leer el último informe de inteligencia de seguridad de Microsoft.

Este documento le ayudará a conseguir una posición más segura gracias a las funcionalidades de Azure Active Directory; para ello, deberá usar una lista de comprobación de cinco pasos para proteger su organización contra los ciberataques.

Esta lista de comprobación le ayudará a implementar rápidamente las acciones críticas recomendadas para proteger su organización de inmediato; en ella se explica cómo:

  • Reforzar las credenciales.
  • Reducir el área de la superficie de ataque.
  • Automatizar la respuesta frente a amenazas.
  • Usar Cloud Intelligence.
  • Habilitar el autoservicio del usuario final.

Asegúrese de realizar un seguimiento de las características y los pasos que se han completado al leer esta lista de comprobación.

Nota

Muchas de las recomendaciones de este documento solo son válidas para aquellas aplicaciones que estén configuradas para usar Azure Active Directory como proveedor de identidades. La configuración de aplicaciones para el inicio de sesión único garantiza las ventajas que ofrecen las políticas de credenciales, la detección de amenazas, la auditoría, el registro y otras características que se agregan a esas aplicaciones. Administración de aplicaciones de Azure AD es la base sobre la que se establecen todas estas recomendaciones.

Las recomendaciones de este documento se basan en las especificaciones de la puntuación de seguridad de identidades, una valoración automatizada de la configuración de seguridad de las identidades de su inquilino de Azure AD. Las organizaciones pueden usar la página Puntuación de seguridad de identidad del portal de Azure AD para detectar deficiencias en la configuración de seguridad actual y garantizar que se siguen las prácticas recomendadas por Microsoft para la seguridad. Si se implementan todas las recomendaciones de la página Puntuación segura, la puntuación aumentará y se podrá hacer un seguimiento del progreso. Asimismo, esto ayudará a comparar la implementación con la de otras organizaciones de tamaño similar o con el conjunto del sector.

Puntuación segura de identidad

Nota

Muchas de las características que se describen aquí requieren una suscripción de Azure AD Premium, mientras que otras son gratuitas. Revise nuestras secciones Precios de Azure Active Directory y Lista de comprobación de implementación de Azure AD para más información.

Antes de empezar: proteja sus cuentas con privilegios con MFA

Antes de comenzar a trabajar con esta lista de comprobación, asegúrese de que no se encontrará con problemas mientras lo hace. En primer lugar, necesita proteger sus cuentas con privilegios.

Los atacantes que tomen el control de cuentas con privilegios pueden producir enormes daños, por lo que es fundamental proteger estas cuentas primero. Habilite y solicite que todos los administradores de la organización usen el servicio Azure AD Multi-Factor Authentication (MFA) mediante la Valores predeterminados de Azure AD o Acceso condicional. Si no ha implementado MFA, ¡hágalo ahora! Es importantísimo.

¿Todo listo? Comencemos con la lista de comprobación.

Paso 1: Refuerce sus credenciales

La mayoría de infracciones de seguridad que sufren las empresas se originan con una cuenta que se ha visto comprometida con uno de los diversos métodos existentes, como por ejemplo, los ataques de difusión de contraseña, la reproducción de infracciones de seguridad o la suplantación de identidad (phishing). Obtenga más información acerca de este tipo de ataques en este vídeo (45 minutos):

Asegúrese de que la organización use un método de autenticación sólida

Dada la frecuencia de las contraseñas que se adivinan, se suplantan, se roban con malware o se reutilizan, es fundamental fortalecer la contraseña con algún tipo de credencial sólida: obtenga más información sobre Azure AD Multi-Factor Authentication.

Para habilitar con facilidad el nivel básico de seguridad de identidad, puede usar la habilitación de un solo clic con Valores predeterminados de seguridad de Azure AD. Los valores predeterminados de seguridad imponen Azure AD MFA para todos los usuarios de un inquilino y bloquean los inicios de sesión de los protocolos heredados en todo el inquilino.

Comience a prohibir las contraseñas que sufren ataques con más frecuencia y olvídese de la complejidad y las reglas de expiración tradicionales.

Muchas organizaciones usan la complejidad tradicional (por ejemplo, el uso de caracteres especiales, números, mayúsculas y minúsculas), así como reglas de expiración de contraseñas. La investigación de Microsoft ha demostrado que estas políticas hacen que los usuarios elijan contraseñas que son más fáciles de adivinar.

La característica de contraseña dinámica prohibida de Azure AD utiliza el comportamiento actual del atacante para evitar que los usuarios establezcan contraseñas que puedan adivinarse fácilmente. Esta funcionalidad está siempre activada cuando se crean usuarios en la nube, pero ahora también está disponible en las organizaciones híbridas cuando implementan la protección con contraseña de Azure AD para Windows Server Active Directory. La protección con contraseña de Azure AD impide que los usuarios puedan elegir estas contraseñas comunes y se puede ampliar para que bloquee también las contraseñas que contengan las palabras clave personalizadas que se especifiquen. Por ejemplo, puede impedir que los usuarios elijan contraseñas que contengan nombres de productos de la compañía o el nombre de un equipo deportivo local.

Microsoft recomienda adoptar la directiva moderna de contraseñas basada en las directrices del NIST que se describe a continuación:

  1. Solicitar contraseñas que tengan al menos 8 caracteres. Que sean más largas no quiere decir que sean mejores, ya que hacen que los usuarios elijan contraseñas predecibles, guarden las contraseñas en archivos o las acaben apuntando.
  2. Deshabilitar las reglas de expiración, que solo consiguen que los usuarios elijan contraseñas fáciles de adivinar, como Spring2019!
  3. Deshabilitar los requisitos de composición de caracteres y evitar que los usuarios elijan contraseñas comúnmente atacadas, ya que solo se consigue que los usuarios elijan sustituciones de caracteres predecibles en las contraseñas.

Si crea identidades directamente en Azure AD, puede usar PowerShell para evitar que las contraseñas de los usuarios expiren. Las organizaciones híbridas deben implementar estas directivas utilizando la configuración de la directiva de grupo de dominio o Windows PowerShell.

Protéjase contra la filtración de credenciales y mejore la resistencia contra las interrupciones

Si la organización utiliza una solución de identidad híbrida con federación o autenticación de paso a través, debe habilitar la sincronización de hash de contraseñas por estos dos motivos:

  • El informe Usuarios con credenciales filtradas de la administración de Azure AD le advierte sobre los pares de nombre de usuario y contraseña que se expusieron en la "web oscura". Se filtra un volumen increíble de contraseñas a través del phishing, el malware y la reutilización de contraseñas en sitios de terceros que luego se vulneran. Cuando Microsoft encuentre estas credenciales filtradas, le indicará en este informe si coinciden con las credenciales de la organización; sin embargo, para ello, debe habilitar la sincronización del hash de contraseñas o contar con identidades solo en la nube.
  • Si se produce una interrupción en el entorno local (por ejemplo, si sufre un ataque de ransomware), podrá cambiar a la autenticación en la nube mediante la sincronización del hash de contraseñas. Este método de autenticación de copias de seguridad le permitirá continuar accediendo a las aplicaciones configuradas, gracias a la autenticación con Azure Active Directory, incluyendo Microsoft 365. En este caso, el personal de TI no necesitará recurrir a las cuentas de correo electrónico personales para compartir los datos hasta que la interrupción del entorno local se resuelva.

Obtenga más información sobre el funcionamiento de la sincronización del hash de contraseñas.

Nota

Si habilita la sincronización de hash de contraseñas y usa Azure AD Domain Services, los hash de Kerberos (AES 256) y, opcionalmente, de NTLM (RC4, sin valor "salt") se cifrarán y sincronizarán con Azure AD.

Implementación del bloqueo inteligente de la extranet de AD FS

Las organizaciones que configuran aplicaciones para que se autentiquen directamente en Azure AD se benefician del bloqueo inteligente de Azure AD . Si usa AD FS en Windows Server 2012 R2, implemente la protección de bloqueo de extranet de AD FS. Si usa AD FS en Windows Server 2016, implemente el bloqueo inteligente de extranet. El bloqueo inteligente de extranet de AD FS le protege contra ataques de fuerza bruta que se dirigen a AD FS, a la vez que evitan que los usuarios sean bloqueados en Active Directory.

Aproveche las credenciales intrínsecamente seguras y fáciles de usar

Gracias a Windows Hello, puede reemplazar las contraseñas mediante una autenticación sólida en dos fases en su PC y en dispositivos móviles. Este método de autenticación consiste en un nuevo tipo de credencial de usuario que está asociado de forma segura a un dispositivo y utiliza datos biométricos o un PIN.

Paso 2: reduzca su superficie de ataque

Dado el amplio número de contraseñas que se ven en riesgo, es fundamental minimizar la superficie de ataque en su organización. Eliminar el uso de los protocolos más antiguos y menos seguros, limitar los puntos de entrada de acceso y ejercer un mayor control del acceso administrativo a los recursos puede ayudarle a reducir el área de superficie de ataque.

Bloquear la autenticación heredada

Las aplicaciones que usan sus propios métodos heredados para autenticarse con Azure AD y acceder a los datos de la empresa, representan otro riesgo para las organizaciones. Varios ejemplos de aplicaciones que usan autenticación heredada son clientes POP3, IMAP4 o SMTP. Las aplicaciones de autenticación heredada se autentican en nombre del usuario e impiden que Azure AD realice evaluaciones de seguridad avanzadas. Por ello, la autenticación alternativa y moderna reducirá los riesgos de seguridad, ya que admite la autenticación multifactor y el acceso condicional. Le recomendamos que realice las siguientes tres acciones:

  1. Bloquee la autenticación heredada si usa AD FS.
  2. Configure SharePoint Online y Exchange Online para que usen una autenticación moderna.
  3. Si tiene Azure AD Premium, use directivas de acceso condicional para bloquear la autenticación heredada. De lo contrario, use valores predeterminados de seguridad de Azure AD.

Bloquear los puntos de entrada de autenticación no válidos

Al usar los recursos de vulneración de seguridad, debe reducir el impacto de las credenciales de usuario comprometidas cuando se produce un ataque. Teniendo en cuenta cada aplicación del entorno, considere los casos de uso válidos: qué grupos, qué redes, qué dispositivos y qué más elementos están autorizados y, a continuación, bloquee el resto. Mediante el acceso condicional de Azure AD, puede controlar la manera en que los usuarios autorizados acceden a aplicaciones y recursos, en función de las condiciones específicas que defina.

Es importante comprender las distintas experiencias de consentimiento de la aplicación de Azure AD, los tipos de permisos y consentimiento, y sus implicaciones en la postura de seguridad de la organización. De forma predeterminada, todos los usuarios de Azure AD pueden conceder acceso a los datos de su organización a las aplicaciones que utilizan la Plataforma de identidad de Microsoft. Aunque permitir que los usuarios den su consentimiento por su cuenta les permite adquirir fácilmente aplicaciones útiles que se integran con Microsoft 365, Azure y otros servicios, puede representar un riesgo si no se utiliza y supervisa con precaución.

Microsoft recomienda restringir el consentimiento del usuario para permitir el consentimiento de los usuarios finales solo para las aplicaciones de publicadores comprobados y únicamente para los permisos que usted seleccione. Si el consentimiento del usuario final está restringido, se seguirán respetando las concesiones de consentimiento anteriores, pero todas las operaciones de consentimiento futuras tendrá que realizarlas un administrador. En casos restringidos, los usuarios pueden solicitar el consentimiento del administrador a través de un flujo de trabajo de solicitud de consentimiento del administrador integrado o a través de sus propios procesos de soporte técnico. Antes de restringir el consentimiento del usuario final, use nuestras recomendaciones para planear este cambio en su organización. En el caso de las aplicaciones a las que desea permitir el acceso a todos los usuarios, considere la posibilidad de conceder consentimiento en nombre de todos los usuarios y asegúrese de que los usuarios que todavía no hayan dado su consentimiento de forma individual podrán acceder a la aplicación. Si no quiere que estas aplicaciones estén disponibles para todos los usuarios en todos los escenarios, use la asignación de aplicación y el acceso condicional para restringir el acceso de los usuarios a aplicaciones específicas.

Asegúrese de que los usuarios pueden solicitar la aprobación del administrador para las nuevas aplicaciones a fin de reducir la fricción del usuario, minimizar el volumen de soporte técnico y evitar que los usuarios se registren en las aplicaciones con credenciales que no sean de Azure AD. Una vez que haya regulado las operaciones de consentimiento, los administradores deben auditar los permisos de la aplicación y consentidos con regularidad.

Implementar Azure AD Privileged Identity Management

Otro efecto de la "suposición de vulneración de seguridad", es la necesidad de minimizar la probabilidad de que una cuenta en riesgo pueda funcionar con un rol con privilegios.

Azure AD Privileged Identity Management (PIM) le permitirá minimizar los privilegios de la cuenta gracias a que podrá:

  • Identificar y administrar los usuarios asignados a roles administrativos.
  • Detectar los roles de privilegios excesivos o que no se usan, y que debe eliminar.
  • Establecer reglas para asegurarse de que los roles con privilegios estén protegidos mediante la autenticación multifactor.
  • Establecer reglas para asegurarse de que los roles con privilegios se otorguen solo el tiempo suficiente para realizar la tarea con privilegios.

Habilite Azure AD PIM, consulte a qué usuarios se les asignaron roles administrativos y elimine las cuentas innecesarias de esos roles. En cuanto a los usuarios con privilegios restantes, cambie su estado de "permanentes" a "válidos". Finalmente, establezca las directivas apropiadas para asegurarse de que, cuando necesiten obtener acceso a esos roles con privilegios, puedan hacerlo de forma segura con el control de cambios necesario.

Como parte del proceso de implementación de la cuenta con privilegios, siga los procedimientos recomendados para crear al menos dos cuentas de emergencia y así asegurarse de que aún tiene acceso a Azure AD si se bloquea su cuenta.

Paso 3: automatizar la respuesta a amenazas

Azure Active Directory tiene varias funcionalidades que interceptan ataques automáticamente, y que le permiten eliminar la latencia entre la detección y la respuesta. Puede reducir los costos y riesgos a la vez que reduce el tiempo que usan los delincuentes para integrarse en su entorno. Estos son los pasos concretos que puede tomar.

Implementar la directiva de seguridad de riesgo de usuario con Azure AD Identity Protection

El riesgo de usuario indica la probabilidad de que la identidad de un usuario se haya visto comprometida, y se calcula en función de las detecciones de riesgo de usuario que están asociadas con la identidad del usuario. Una directiva de riesgo de usuario es una directiva de acceso condicional que evalúa el nivel de riesgo para un usuario o grupo de usuarios específico. Según el nivel de riesgo (bajo, medio o alto), se puede configurar la directiva para que bloquee el acceso o solicite un cambio de contraseña segura mediante la autenticación multifactor. Microsoft le recomienda exigir un cambio de contraseña seguro a aquellos usuarios de alto riesgo.

Captura de pantalla que muestra Usuarios marcados en riesgo, con un usuario seleccionado.

Implementar la directiva de riesgo de inicio de sesión con Azure AD Identity Protection

El riesgo de inicio de sesión es la probabilidad de que alguien que no sea el propietario de la cuenta intente iniciar sesión mediante su identidad. Una directiva de riesgo de inicio de sesión es una directiva de acceso condicional que evalúa el nivel de riesgo para un usuario o grupo de usuarios específico. En función del nivel de riesgo (alto / medio / bajo), se puede configurar una política para bloquear el acceso o forzar la autenticación multifactor. Asegúrese de forzar la autenticación multifactor en inicios de sesión de riesgo medio o superior.

Iniciar sesión desde direcciones IP anónimas

Paso 4: Uso de Cloud Intelligence

La auditoría, el registro de eventos y las alertas relacionados con la seguridad son componentes importantes en una estrategia de protección de datos eficaz. Los registros e informes de seguridad proporcionan un registro electrónico de actividades sospechosas y le ayudan a detectar patrones que puedan indicar un acceso externo a la red, así como ataques internos. Puede usar la auditoría para supervisar la actividad del usuario y el cumplimiento normativo de documentos, realizar análisis forenses y mucho más. Además, las alertas le proporcionarán notificaciones acerca de eventos de seguridad.

Supervisar Azure AD

Las características y los servicios de Microsoft Azure proporcionan opciones de seguridad de registro y auditoría que le ayudarán a identificar carencias en las directivas y mecanismos de seguridad, y a resolver esas carencias para evitar infracciones. Puede usar el registro y auditoría de Azure y usar los informes de actividades de la auditoría en el portal de Azure Active Directory.

Supervisar Azure AD Connect Health en entornos híbridos

En Supervisión de AD FS mediante Azure AD Connect Health, obtendrá más información sobre los posibles problemas y la visibilidad de los ataques en la infraestructura de AD FS. Azure AD Connect Health proporciona alertas con detalles, pasos de resolución y enlaces a documentación relacionada y, además, analiza el uso de varias métricas relacionadas con el tráfico de autenticación y supervisa y crea informes de rendimiento.

Azure AD Connect Health

Supervisar eventos de Azure AD Identity Protection

Azure AD Identity Protection es una herramienta de supervisión, notificación y generación de informes que se puede usar para detectar posibles vulnerabilidades que afecten a las identidades de una organización. Descubre detecciones de riesgo, como credenciales filtradas, viajes imposibles e inicios de sesión desde dispositivos infectados, direcciones IP anónimas, direcciones IP asociadas con la actividad sospechosa y ubicaciones desconocidas. Habilite las alertas de notificación para recibir correos electrónicos de usuarios en riesgo o un correo electrónico semanal de resumen.

Azure AD Identity Protection dispone de dos informes importantes que debe supervisar a diario:

  1. Los informes de inicios de sesión de riesgo ponen de manifiesto las actividades de inicio de sesión de los usuarios que deben investigarse, ya que es posible que el inicio de sesión no lo haya realizado el propietario legítimo.
  2. Los informes de riesgo de usuarios ponen de manifiesto las cuentas de usuario que podrían haberse visto comprometidas; por ejemplo, las cuentas en las que se ha detectado una filtración de credenciales o donde el usuario ha iniciado sesión desde una ubicación diferente, lo que indicaría que se ha producido un viaje que no es posible.

Captura de pantalla que muestra el panel Azure A D Identity Protection con los usuarios y sus niveles de riesgo.

Aplicaciones de auditoría y permisos consentidos

Es posible que los usuarios sean víctimas de un engaño y sean conducidos a aplicaciones o sitios web comprometidos que podrían obtener acceso a la información de perfil y los datos del usuario, como el correo electrónico. Un individuo malintencionado podría usar los permisos consentidos que ha recibido para cifrar el contenido del buzón y pedir un rescate para recuperar los datos. Los administradores deben revisar y auditar los permisos proporcionados por los usuarios o deshabilitar la capacidad de los usuarios de dar su consentimiento de forma predeterminada.

Además de auditar los permisos proporcionados por los usuarios, puede encontrar aplicaciones de OAuth peligrosas o no deseadas en entornos Premium.

Paso 5: habilitar la autoayuda del usuario final

En la medida de lo posible, querrá equilibrar la seguridad con la productividad. Teniendo en cuenta que está preparando el camino para conseguir asentar las bases de un sistema de seguridad a largo plazo, puede limar las asperezas en su organización al dar más autoridad a sus usuarios a la vez que se mantiene en guardia.

Implementar el restablecimiento de contraseña de autoservicio

El autoservicio de restablecimiento de contraseña (SSPR) de Azure AD ofrece a los administradores de TI un medio simple para permitir a los usuarios restablecer o desbloquear sus contraseñas o cuentas sin la intervención del departamento de soporte técnico o del administrador. El sistema incluye informes detallados del seguimiento de los usuarios que restablecen sus contraseñas, además de notificaciones de alerta de posibles abusos o usos indebidos.

Implementar el acceso a grupos y aplicaciones de autoservicio

Azure AD ofrece la posibilidad de que los usuarios que no sean administradores administren el acceso a los recursos mediante grupos de seguridad, grupos de Microsoft 365, roles de aplicación y catálogos de paquetes de acceso. La administración de grupos de autoservicio permite a los propietarios de grupos administrar sus propios grupos, sin necesidad de tener asignado un rol como administrador. Los usuarios también pueden crear y administrar grupos de Microsoft 365 sin depender de los administradores para administrar sus solicitudes y los grupos no usados expiran automáticamente. La administración de derechos de Azure AD habilita la delegación y visibilidad, con flujos de trabajo de solicitud de acceso completos y la expiración automática. Puede delegar a los usuarios que no son administradores la capacidad de configurar sus propios paquetes de acceso para grupos, equipos, aplicaciones y sitios de SharePoint Online de su propiedad, con directivas personalizadas para quien se necesita aprobar el acceso, incluido el establecimiento, como aprobadores, de los administradores de los empleados y los patrocinadores socios comerciales.

Implementar revisiones de acceso de Azure AD

Gracias a las revisiones de acceso de Azure AD, puede administrar la pertenencia a paquete de acceso y grupos, obtener acceso a las aplicaciones de la empresa y asignar funciones con privilegios para asegurarse de mantener un estándar de seguridad. La supervisión habitual por parte de los usuarios, los propietarios de recursos y otros revisores garantiza que los usuarios no conservan el acceso durante períodos de tiempo prolongados cuando ya no lo necesitan.

Resumen

Existen muchos aspectos en una infraestructura de identidad segura, pero esta lista de comprobación de cinco pasos le ayudará a lograr rápidamente una infraestructura de identidad segura:

  • Reforzar las credenciales.
  • Reducir el área de la superficie de ataque.
  • Automatizar la respuesta frente a amenazas.
  • Usar Cloud Intelligence.
  • Habilitar un método de seguridad para el usuario final que sea más predecible y completo, y que cuente con autoayuda.

Le agradecemos todo el esfuerzo que ha dedicado en mejorar la seguridad de la identidad, y esperamos que este documento sea una hoja de ruta útil para conseguir mejorar la seguridad de su organización.

Pasos siguientes

Si necesita ayuda para planificar e implementar las recomendaciones, consulte los planes de implementación del proyecto de Azure AD para obtener ayuda.

Si está seguro de que se han completado todos estos pasos, use la puntuación de seguridad de la identidad de Microsoft, que le permitirá mantenerse al día con los últimos procedimientos recomendados y las amenazas de seguridad.