Administración

La administración es la práctica de supervisar, mantener y operar sistemas de tecnología de la información (IT) para cumplir los niveles de servicio que la empresa requiere. La administración introduce algunos de los riesgos de seguridad de mayor impacto, ya que realizar estas tareas requiere un acceso privilegiado a un conjunto muy amplio de estos sistemas y aplicaciones. Los atacantes saben que obtener acceso a una cuenta con privilegios administrativos puede obtener acceso a la mayoría o a todos los datos a los que se dirigirían, lo que hace que la seguridad de la administración sea una de las áreas de seguridad más críticas.

Como ejemplo, Microsoft realiza importantes inversiones en protección y formación de administradores para nuestros sistemas en la nube y sistemas de TI:

La estrategia básica recomendada de Microsoft para privilegios administrativos es usar los controles disponibles para reducir el riesgo

Reducir la exposición al riesgo (ámbito y tiempo) – El principio de privilegio mínimo se logra mejor con controles modernos que proporcionan privilegios a petición. Esto ayuda a limitar el riesgo limitando la exposición de privilegios administrativos mediante:

• Ámbito: Acceso suficiente (JEA) solo proporciona los privilegios necesarios para la operación administrativa necesaria (frente a tener privilegios directos e inmediatos para muchos o todos los sistemas a la vez, lo que casi nunca es necesario).

• Hora:los enfoques just in time (JIT) proporcionan los privilegios necesarios, ya que son necesarios.

• Mitigar los riesgos restantes: use una combinación de controles preventivos y detectives para reducir riesgos como aislar cuentas de administrador de los riesgos más comunes de suplantación de identidad (phishing) y exploración web general, simplificar y optimizar su flujo de trabajo, aumentar la garantía de las decisiones de autenticación e identificar las anomalías del comportamiento de línea base normal que se pueden bloquear o investigar.

Microsoft ha capturado y documentado procedimientos recomendados para proteger cuentas administrativas y ha publicado hojas de ruta prioritarias para proteger el acceso con privilegios que se pueden usar como referencias para priorizar mitigaciones para cuentas con acceso privilegiado.

• Hoja de ruta de acceso con privilegios (SPA) para administradores de Active Directory local

• Instrucciones para proteger a los administradores de Azure Active Directory

Minimizar el número de administradores de impacto crítico

Conceder el menor número de cuentas a privilegios que puedan tener un impacto empresarial crítico

Cada cuenta de administrador representa una superficie de ataque potencial a la que un atacante puede dirigirse, por lo que minimizar el número de cuentas con ese privilegio ayuda a limitar el riesgo global de la organización. La experiencia nos ha enseñado que la pertenencia a estos grupos privilegiados crece de forma natural con el tiempo a medida que las personas cambian de roles si la pertenencia no está activamente limitada y administrada.

Se recomienda un enfoque que reduzca este riesgo de superficie de ataque al tiempo que garantiza la continuidad empresarial en caso de que le suceda algo a un administrador:

• Asignar al menos dos cuentas al grupo privilegiado para la continuidad empresarial

• Cuando se requieren dos o más cuentas, proporcione una justificación para cada miembro, incluidos los dos originales

• Revisar periódicamente la & justificación de pertenencia a cada miembro del grupo

Cuentas administradas para administradores

Asegúrese de que todos los administradores de impacto crítico están administrados por el directorio empresarial para seguir la aplicación de directivas de la organización.

Las cuentas de consumidores, como las cuentas de Microsoft como @Hotmail.com, @live.com, @outlook.com, no ofrecen visibilidad y control de seguridad suficientes para garantizar que se sigan las directivas de la organización y los requisitos normativos. Como las implementaciones de Azure a menudo se inician de forma pequeña e informal antes de convertirse en inquilinos administrados por la empresa, algunas cuentas de consumidores permanecen como cuentas administrativas mucho después, por ejemplo, los administradores de proyectos originales de Azure, la creación de puntos ciegos y los posibles riesgos.

Cuentas separadas para administradores

Asegúrese de que todos los administradores de impacto crítico tienen una cuenta independiente para las tareas administrativas (frente a la cuenta que usan para el correo electrónico, la exploración web y otras tareas de productividad).

Los ataques de suplantación de identidad (phishing) y explorador web representan los vectores de ataque más comunes para poner en peligro las cuentas, incluidas las cuentas administrativas.

Cree una cuenta administrativa independiente para todos los usuarios que tengan un rol que requiera privilegios críticos. Para estas cuentas administrativas, bloquee herramientas de productividad como Office 365 correo electrónico (quitar licencia). Si es posible, bloquee la exploración web arbitraria (con controles de proxy y/o de aplicación) mientras permite excepciones para la exploración en azure portal y otros sitios necesarios para las tareas administrativas.

Sin acceso permanente / Privilegios de Just in Time

Evite proporcionar acceso permanente "permanente" para las cuentas de impacto crítico

Los privilegios permanentes aumentan el riesgo empresarial al aumentar el tiempo que un atacante puede usar la cuenta para hacer daño. Los privilegios temporales obligan a los atacantes dirigidos a una cuenta a trabajar en las horas limitadas en las que el administrador ya está usando la cuenta o a iniciar la elevación de privilegios (lo que aumenta sus posibilidades de ser detectados y eliminados del entorno).

Conceda privilegios necesarios solo según sea necesario con uno de estos métodos:

• Just in Time - Habilitar Azure AD Privileged Identity Management (PROXX) o una solución de terceros para requerir seguir un flujo de trabajo de aprobación para obtener privilegios para cuentas de impacto crítico

• Romper el cristal: Para las cuentas que rara vez se usan, siga un proceso de acceso de emergencia para obtener acceso a las cuentas. Esto es preferible para privilegios que tienen poca necesidad de uso operativo normal, como los miembros de cuentas de administrador global.

Cuentas de acceso de emergencia o "Break Glass"

Asegurarse de que tiene un mecanismo para obtener acceso administrativo en caso de emergencia

Aunque es raro, a veces se presentan circunstancias extremas en las que todos los medios normales de acceso administrativo no están disponibles.

Se recomienda seguir las instrucciones de Administración de cuentas administrativas de acceso de emergencia en Azure AD y asegurarse de que las operaciones de seguridad supervisan estas cuentas cuidadosamente.

Seguridad de la estación de trabajo de administrador

Garantizar que los administradores de impacto crítico usan una estación de trabajo con protección y supervisión de seguridad elevadas

Los vectores de ataque que usan la exploración y el correo electrónico como la suplantación de identidad (phishing) son baratos y comunes. Aislar a los administradores de impacto crítico de estos riesgos disminuirá significativamente el riesgo de un incidente importante en el que una de estas cuentas esté en peligro y se utilice para dañar materialmente su empresa o misión.

Elegir el nivel de seguridad de la estación de trabajo de administrador en función de las opciones disponibles en https://aka.ms/securedworkstation

• Dispositivo de productividad altamente seguro (estación de trabajo de seguridad mejorada o estación de trabajo especializada)
  Puede iniciar este viaje de seguridad para administradores de impacto crítico al proporcionarles una estación de trabajo de mayor seguridad que aún permite tareas generales de exploración y productividad. Usar este paso como paso provisional ayuda a facilitar la transición a estaciones de trabajo totalmente aisladas tanto para los administradores de impacto crítico como para el personal de TI que admite a estos usuarios y sus estaciones de trabajo.

• Estación de trabajo de acceso con privilegios (estación de trabajo especializada o estación de trabajo protegida)
  Estas configuraciones representan el estado de seguridad ideal para los administradores de impacto crítico, ya que restringen en gran medida el acceso a vectores de ataques de aplicaciones de suplantación de identidad (phishing, explorador y productividad). Estas estaciones de trabajo no permiten la exploración general de Internet, solo permiten el acceso del explorador a Azure Portal y otros sitios administrativos.

Dependencias de administrador de impacto crítico: cuenta/estación de trabajo

Elija cuidadosamente las dependencias de seguridad locales para las cuentas de impacto crítico y sus estaciones de trabajo

Para contener el riesgo de un incidente importante local que se desborda para convertirse en un compromiso importante de los activos de la nube, debe eliminar o minimizar los medios de control que los recursos locales tienen que afectar críticamente a las cuentas en la nube. Como ejemplo, los atacantes que comprometen el Active Directory local pueden acceder y comprometer los activos basados en la nube que dependen de esas cuentas, como los recursos de Azure, Amazon Web Services (AWS), ServiceNow, entre otros. Los atacantes también pueden usar estaciones de trabajo unidas a los dominios locales para obtener acceso a cuentas y servicios administrados desde ellos.

Elegir el nivel de aislamiento de los medios de control locales también conocidos como dependencias de seguridad para cuentas de impacto crítico

• Cuentas de usuario: elija dónde hospedar las cuentas de impacto crítico

  • Cuentas Azure AD nativas -*Crear cuentas Azure AD nativas que no están sincronizadas con active directory local

  • Sincronizar desde Active Directory local (no recomendado, vea No sincronizar cuentas de administrador locales con proveedores de identidades en la nube).Aproveche las cuentas existentes hospedadas en el directorio activo local.

• Estaciones de trabajo: elija cómo administrar y proteger las estaciones de trabajo que usan las cuentas de administrador críticas:

  • Seguridad de administración de nube nativa (recomendado): unirse a estaciones de trabajo para Azure AD administrarlas o aplicarles revisiones con & Intune u otros servicios en la & nube. Proteja y supervise con Windows ATP de Microsoft Defender u otro servicio en la nube no administrado por cuentas locales.

  • Administrar con sistemas existentes: unirse al dominio de AD existente & aprovecha la administración y la seguridad existentes.

Esto está relacionado con la guía No sincronizar cuentas de administrador locales con proveedores de identidades en la nube con proveedores de identidades en la nube en la sección administración que mitiga el riesgo inverso de pivotar desde activos en la nube a activos locales

Autenticación multifactor o sin contraseña para administradores

Requerir que todos los administradores de impacto crítico usen la autenticación sin contraseña o la autenticación multifactor (MFA).

Los métodos de ataque han evolucionado hasta el punto de que las contraseñas por sí solas no pueden proteger una cuenta de forma fiable. Esto está bien documentado en una sesión de Microsoft Ignite.

Las cuentas administrativas y todas las cuentas críticas deben usar uno de los siguientes métodos de autenticación. Estas capacidades se muestran en orden de preferencia por el mayor costo/dificultad para ataque (opciones más seguras/preferidas) al menor costo/dificultad para ataque:

• Sin contraseña (por ejemplo, Windows Hello)
  https://aka.ms/HelloForBusiness

• Sin contraseña (Authenticator aplicación)
  https://docs.microsoft.com/azure/active-directory/authentication/howto-authentication-phone-sign-in

• Autenticación multifactor
  https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-userstates

Tenga en cuenta que la MFA basada en mensajes de texto SMS se ha vuelto muy económica para que los atacantes puedan omitir, por lo que le recomendamos que evite confiar en él. Esta opción es aún más segura que las contraseñas, pero es mucho más débil que otras opciones de MFA

Exigir el acceso condicional a los administradores: confianza cero

La autenticación para todos los administradores y otras cuentas de impacto crítico debe incluir la medición y la aplicación de atributos de seguridad clave para admitir una estrategia de confianza cero.

Los atacantes que comprometen las cuentas de administrador de Azure pueden causar daños importantes. El acceso condicional puede reducir significativamente ese riesgo aplicando la seguridad higiénica antes de permitir el acceso a la administración de Azure.

Configure la directiva de acceso condicional para la administración de Azure que satisfaga el apetito de riesgo y las necesidades operativas de su organización.

• Requerir autenticación multifactor o conexión desde una red de trabajo designada

• Requerir integridad del dispositivo con ATP de Microsoft Defender (Strong Assurance)

Evitar permisos granulares y personalizados

Evitar permisos que hacen referencia específicamente a recursos individuales o usuarios

Los permisos específicos crean complejidad innecesaria y confusión, ya que no llevan la intención a nuevos recursos similares. Esto se acumula en una configuración heredada compleja que es difícil de mantener o cambiar sin miedo a "romper algo", lo que afecta negativamente a la seguridad y a la agilidad de la solución.

En lugar de asignar permisos específicos de recursos, use cualquiera de los dos

• Grupos de administración para permisos para toda la empresa

• Grupos de recursos para permisos dentro de las suscripciones

En lugar de conceder permisos a usuarios específicos, asigne acceso a grupos en Azure AD. Si no hay un grupo adecuado, trabaje con el equipo de identidad para crear uno. Esto le permite agregar y quitar miembros del grupo de forma externa a Azure y asegurarse de que los permisos son actuales, al tiempo que permite que el grupo se utilice para otros fines, como listas de distribución de correo.

Usar roles integrados

Use roles integrados para asignar permisos siempre que sea posible.

La personalización lleva a una complejidad que aumenta la confusión y hace que la automatización sea más compleja, desafiante y delicada. Todos estos factores afectan negativamente a la seguridad

Le recomendamos que evalúe los roles integrados diseñados para cubrir la mayoría de los escenarios normales. Los roles personalizados son una capacidad eficaz y a veces útil, pero deben reservarse para casos en los que los roles integrados no funcionen.

Establecer la administración del ciclo de vida para cuentas de impacto crítico

Asegúrese de que tiene un proceso para deshabilitar o eliminar cuentas administrativas cuando el personal de administración abandona la organización (o deja puestos administrativos)

Vea Revisar periódicamente el acceso crítico para obtener más información.

Simulación de ataque para cuentas de impacto crítico

Simula con regularidad ataques contra usuarios administrativos con técnicas de ataque actuales para educarlos y empoderarlos.

Las personas son una parte crítica de su defensa, especialmente su personal con acceso a cuentas de impacto crítico. Garantizar que estos usuarios (e idealmente todos los usuarios) tengan los conocimientos y las aptitudes para evitar y resistir los ataques reducirá el riesgo organizativo general.

Puede usar Office 365 de simulación de ataque o cualquier número de ofertas de terceros.

Pasos siguientes

Para obtener instrucciones de seguridad adicionales de Microsoft, vea Documentación de seguridad de Microsoft.