Administración

La administración es la práctica de supervisar, mantener y operar sistemas de tecnología de la información (TI) para cumplir con los niveles de servicio que requiere la empresa. La administración presenta algunos de los riesgos de seguridad de mayor impacto porque realizar estas tareas requiere un acceso privilegiado a un conjunto muy amplio de estos sistemas y aplicaciones. Los atacantes saben que obtener acceso a una cuenta con privilegios administrativos puede proporcionarles acceso a la mayoría o a todos los datos a los que se dirigen, haciendo que la seguridad de la administración sea una de las áreas de seguridad más críticas.

Por ejemplo, Microsoft realiza importantes inversiones en protección y formación de administradores para nuestros sistemas en la nube y sistemas de TI:

A screenshot of a cell phone Description automatically generated

La estrategia principal recomendada de Microsoft para privilegios administrativos es usar los controles disponibles para reducir el riesgo

Reducir la exposición al riesgo (ámbito y tiempo) – El principio de privilegios mínimos se logra mejor con controles modernos que proporcionan privilegios a petición. Esto ayuda a limitar el riesgo limitando la exposición de privilegios administrativos al:

  • Ámbito : el acceso suficiente (JEA) proporciona solo los privilegios necesarios para la operación administrativa necesaria (frente a tener privilegios directos e inmediatos para muchos o todos los sistemas a la vez, lo que casi nunca es necesario).

  • Tiempo : los enfoques Just In Time (JIT) proporcionan los privilegios necesarios según se necesitan.

  • Mitigar los riesgos restantes : use una combinación de controles preventivos y de detección para reducir los riesgos, como aislar las cuentas de administrador de los riesgos más comunes de suplantación de identidad (phishing) y la exploración web en general, simplificar y optimizar su flujo de trabajo, aumentar la seguridad de las decisiones de autenticación e identificar anomalías del comportamiento normal de línea base que se pueden bloquear o investigar.

Microsoft ha capturado y documentado procedimientos recomendados para proteger cuentas administrativas y hojas de ruta con prioridades publicadas para proteger el acceso con privilegios que se pueden usar como referencias para priorizar mitigaciones para cuentas con acceso con privilegios.

Minimizar el número de administradores con impacto crítico

Conceder el menor número de cuentas a privilegios que puedan tener un impacto empresarial crítico

Cada cuenta de administrador representa la superficie de ataque potencial a la que un atacante puede dirigirse, por lo que minimizar el número de cuentas con ese privilegio ayuda a limitar el riesgo general de la organización. La experiencia nos ha enseñado que la pertenencia a estos grupos privilegiados crece naturalmente con el tiempo a medida que las personas cambian de rol si la pertenencia no se limita y administra activamente.

Recomendamos un enfoque que reduzca el riesgo de superficie expuesta a ataques al tiempo que garantiza la continuidad del negocio en caso de que le suceda algo a un administrador:

  • Asignar al menos dos cuentas al grupo con privilegios para la continuidad empresarial

  • Cuando se requieran dos o más cuentas, proporcione justificación para cada miembro, incluidos los dos originales

  • Revisar periódicamente la justificación de pertenencia & de cada miembro del grupo

Cuentas administradas para administradores

Asegúrese de que el directorio de empresa administra todos los administradores con impacto crítico para seguir la aplicación de directivas de la organización.

Las cuentas de consumidor, como las cuentas Microsoft como @Hotmail.com, @live.com, @outlook.com, no ofrecen visibilidad y control de seguridad suficientes para garantizar que se sigan las directivas de la organización y los requisitos normativos. Como las implementaciones de Azure suelen empezar de forma pequeña e informal antes de convertirse en inquilinos administrados por la empresa, algunas cuentas de consumidores permanecen como cuentas administrativas mucho tiempo después, por ejemplo, los jefes de proyecto originales de Azure, la creación de puntos ciegos y riesgos potenciales.

Cuentas independientes para administradores

Asegúrese de que todos los administradores con incidencia crítica tengan una cuenta independiente para las tareas administrativas (frente a la cuenta que usan para el correo electrónico, la exploración web y otras tareas de productividad).

Los ataques de suplantación de identidad (phishing) y de navegadores web representan los vectores de ataque más comunes para comprometer cuentas, incluidas las cuentas administrativas.

Cree una cuenta administrativa independiente para todos los usuarios que tengan un rol que requiera privilegios críticos. Para estas cuentas administrativas, bloquee herramientas de productividad como Office 365 correo electrónico (quitar licencia). Si es posible, bloquee la exploración web arbitraria (con controles de aplicación o proxy) al tiempo que permite excepciones para navegar a los Azure Portal y otros sitios necesarios para tareas administrativas.

Sin acceso permanente / Privilegios de Just In Time

Evite proporcionar acceso permanente "permanente" a las cuentas de impacto crítico

Los privilegios permanentes aumentan el riesgo empresarial aumentando el tiempo que un atacante puede usar la cuenta para hacer daño. Los privilegios temporales obligan a los atacantes que se dirigen a una cuenta a trabajar dentro de los tiempos limitados en los que el administrador ya está usando la cuenta o a iniciar la elevación de privilegios (lo que aumenta su probabilidad de ser detectado y eliminado del entorno).

Conceda privilegios solo cuando sea necesario mediante uno de estos métodos:

  • Just In Time - Habilitar Azure AD Privileged Identity Management o una solución de terceros para requerir seguir un flujo de trabajo de aprobación para obtener privilegios para las cuentas de impacto crítico

  • Romper cristal – Para las cuentas que rara vez se usan, siga un proceso de acceso de emergencia para obtener acceso a las cuentas. Se prefiere para privilegios que no necesitan un uso operativo normal, como los miembros de cuentas de administrador global.

Cuentas de acceso de emergencia o "Break Glass"

Asegúrese de que tiene un mecanismo para obtener acceso administrativo en caso de una emergencia

Aunque es poco frecuente, a veces surgen circunstancias extremas en las que no están disponibles todos los medios normales de acceso administrativo.

Recomendamos seguir las instrucciones de Administrar cuentas administrativas de acceso de emergencia en Azure AD y asegurarse de que las operaciones de seguridad supervisan estas cuentas cuidadosamente.

Seguridad de estación de trabajo de administrador

Garantizar que los administradores de impacto crítico usen una estación de trabajo con protección y supervisión de seguridad elevadas

Los vectores de ataque que usan la exploración y el correo electrónico como la suplantación de identidad (phishing) son baratos y comunes. Aislar a los administradores de impacto crítico de estos riesgos reducirá significativamente el riesgo de un incidente importante en el que una de estas cuentas se ve comprometida y se usa para dañar considerablemente su negocio o misión.

Elegir el nivel de seguridad de la estación de trabajo de administrador en función de las opciones disponibles en https://aka.ms/securedworkstation

  • Dispositivo de productividad altamente seguro (estación de trabajo de seguridad mejorada o estación de trabajo especializada)
    Puede comenzar este recorrido de seguridad para administradores de impacto crítico proporcionándoles una estación de trabajo de seguridad más alta que todavía permite tareas generales de exploración y productividad. Usar esto como un paso intermedio ayuda a facilitar la transición a estaciones de trabajo completamente aisladas tanto para los administradores de impacto crítico como para el personal de TI que ayuda a estos usuarios y sus estaciones de trabajo.

  • Privileged Access Workstation (Specialized Workstation o Secured Workstation)
    Estas configuraciones representan el estado de seguridad ideal para los administradores de impacto crítico, ya que restringen considerablemente el acceso a los vectores de ataque de suplantación de identidad (phishing), exploradores y aplicaciones de productividad. Estas estaciones de trabajo no permiten la exploración general de Internet, solo permiten el acceso del explorador a Azure Portal y otros sitios administrativos.

Dependencias de administración de incidencia crítica: cuenta/estación de trabajo

Elija cuidadosamente las dependencias de seguridad local para las cuentas de impacto crítico y sus estaciones de trabajo

Para contener el riesgo de un incidente importante que se desborda en el entorno local para convertirse en un peligro importante de los activos de la nube, debe eliminar o minimizar los medios de control que los recursos locales tienen para las cuentas de impacto crítico en la nube. Por ejemplo, los atacantes que ponen en peligro Active Directory local pueden acceder a los activos basados en la nube que dependen de esas cuentas, como recursos en Azure, Amazon Web Services (AWS), ServiceNow, etc. Los atacantes también pueden usar estaciones de trabajo unidas a esos dominios locales para obtener acceso a cuentas y servicios administrados desde ellos.

Elegir el nivel de aislamiento de los medios de control locales también conocidos como dependencias de seguridad para las cuentas de impacto crítico

  • Cuentas de usuario : elegir dónde hospedar las cuentas de impacto crítico

  • Estaciones de trabajo : elija cómo administrará y protegerá las estaciones de trabajo usadas por las cuentas críticas de administración:

    • Seguridad de administración & de nube nativa (recomendado): une estaciones de trabajo para Azure AD & administrarlas o aplicar parches con Intune u otros servicios en la nube. Protege y supervisa con Windows ATP de Microsoft Defender u otro servicio en la nube no administrado por cuentas locales.

    • Administrar con sistemas existentes: únase a un dominio & AD existente y aproveche la administración y la seguridad existentes.

Esto está relacionado con las instrucciones No hay cuentas de administrador locales en proveedores de identidades en la nube para proveedores de identidades en la nube en la sección de administración que mitiga el riesgo inverso de pivotar de activos en la nube a activos locales

Autenticación multifactor o sin contraseñas para administradores

Es necesario que todos los administradores de impacto crítico usen la autenticación sin contraseña o la autenticación multifactor (MFA).

Los métodos de ataque han evolucionado hasta el punto en que las contraseñas solas no pueden proteger una cuenta de manera confiable. Esto está bien documentado en una sesión de Microsoft Ignite.

Las cuentas administrativas y todas las cuentas críticas deben usar uno de los siguientes métodos de autenticación. Estas capacidades se enumeran en orden de preferencia por mayor costo/dificultad para atacar (opciones más fuertes/preferidas) a menor costo/dificultad para atacar:

  • Sin contraseña (por ejemplo, Windows Hello)
    https://aka.ms/HelloForBusiness

  • Sin contraseña (aplicación Authenticator)
    </azure/active-directory/authentication/howto-authentication-phone-sign-in>

  • Autenticación multifactor
    </azure/active-directory/authentication/howto-mfa-userstates>

Tenga en cuenta que la MFA basada en mensajes de texto SMS ha pasado a ser muy barata para los atacantes para omitir, por lo que le recomendamos que evite confiar en él. Esta opción sigue siendo más segura que las contraseñas solas, pero es mucho más débil que otras opciones de MFA

Exigir el acceso condicional a administradores: Confianza cero

La autenticación para todos los administradores y otras cuentas de impacto crítico deben incluir medidas y cumplimiento de atributos de seguridad clave para admitir una estrategia de Confianza cero.

Los atacantes que comprometen las cuentas de administración de Azure pueden causar daños importantes. El acceso condicional puede reducir significativamente ese riesgo mediante el cumplimiento de la higiene de seguridad antes de permitir el acceso a la administración de Azure.

Configure la directiva de acceso condicional para la administración de Azure que satisfaga el apetito de riesgos y las necesidades operativas de su organización.

  • Requerir autenticación multifactor y/o conexión de la red de trabajo designada

  • Requerir integridad del dispositivo con ATP de Microsoft Defender (Strong Assurance)

Evitar permisos granulares y personalizados

Evitar permisos que hacen referencia específica a recursos individuales o usuarios

Los permisos específicos crean complejidad y confusión innecesarias, ya que no llevan la intención a nuevos recursos similares. Esto luego se acumula en una configuración heredada compleja que es difícil de mantener o cambiar sin temor a "romper algo", lo que afecta negativamente tanto a la seguridad como a la agilidad de la solución.

En lugar de asignar permisos específicos de recursos, use

  • Grupos de administración para permisos de toda la empresa

  • Grupos de recursos para permisos dentro de suscripciones

En lugar de conceder permisos a usuarios específicos, asigne acceso a grupos de Azure AD. Si no hay un grupo adecuado, trabaje con el equipo de identidad para crear uno. Esto le permite agregar y quitar miembros del grupo externamente a Azure y asegurarse de que los permisos son actuales, mientras que también permite que el grupo se use para otros fines, como listas de distribución de correo.

Usar roles integrados

Use roles integrados para asignar permisos siempre que sea posible.

La personalización conduce a una complejidad que aumenta la confusión y hace que la automatización sea más compleja, desafiante y frágil. Todos estos factores afectan negativamente a la seguridad

Le recomendamos que evalúe los roles integrados diseñados para cubrir los escenarios más normales. Los roles personalizados son una funcionalidad eficaz y a veces útil, pero deben reservarse para los casos en los que los roles integrados no funcionarán.

Establecer la administración del ciclo de vida para cuentas de impacto crítico

Asegúrese de que tiene un proceso para deshabilitar o eliminar cuentas administrativas cuando el personal administrador abandona la organización (o deja puestos administrativos)

Consulte Administrar el acceso de usuarios e invitados con revisiones de acceso para obtener más información.

Simulación de ataques para cuentas de impacto crítico

Simula regularmente ataques contra usuarios administrativos con técnicas de ataque actuales para educarlos y empoderarlos.

Las personas son una parte esencial de su defensa, especialmente su personal con acceso a cuentas de impacto crítico. Garantizar que estos usuarios (e idealmente todos los usuarios) tengan los conocimientos y habilidades para evitar y resistir ataques reducirá el riesgo general de la organización.

Puede utilizar Office 365 capacidades de Simulación de Ataque o cualquier número de ofertas de terceros.

Pasos siguientes

Para obtener instrucciones de seguridad adicionales de Microsoft, consulta la documentación de seguridad de Microsoft.