Acceso con privilegios: cuentas

La seguridad de la cuenta es un componente fundamental de la protección del acceso con privilegios. La seguridad de Confianza cero de un extremo a otro para las sesiones requiere establecer en gran medida que la cuenta que se usa en la sesión esté bajo el control del propietario humano y no de un atacante que lo suplante.

La seguridad de las cuentas seguras comienza con el aprovisionamiento seguro y la administración del ciclo de vida completo a través del desaprovisionamiento, y cada sesión debe establecer garantías seguras de que la cuenta no está actualmente en peligro en función de todos los datos disponibles, incluidos los patrones de comportamiento históricos, la inteligencia sobre amenazas disponible y el uso en la sesión actual.

Seguridad de la cuenta

Esta guía define tres niveles de seguridad para la seguridad de las cuentas que puede usar para los recursos con distintos niveles de confidencialidad:

Estos niveles establecen perfiles de seguridad claros e implementables adecuados para cada nivel de confidencialidad a los que puede asignar roles y escalar horizontalmente rápidamente. Todos estos niveles de seguridad de cuenta están diseñados para mantener o mejorar la productividad de los usuarios mediante la limitación o eliminación de la interrupción de los flujos de trabajo de usuario y administrador.

Planeamiento de la seguridad de la cuenta

En esta guía se describen los controles técnicos necesarios para satisfacer cada nivel. La guía de implementación está en el plan de desarrollo de acceso con privilegios.

Controles de seguridad de cuenta

Lograr la seguridad de las interfaces requiere una combinación de controles técnicos que protegen las cuentas y proporcionan señales que se usarán en una decisión de directiva de Confianza cero (consulte Protección de interfaces para la referencia de configuración de directivas).

Los controles usados en estos perfiles incluyen:

• Autenticación multifactor: proporciona diversos orígenes de prueba que están diseñados para ser lo más fáciles posibles para los usuarios, pero son difíciles de imitar para un adversario.
• Riesgo de cuenta: supervisión de amenazas y anomalías: uso de UEBA e inteligencia sobre amenazas para identificar escenarios de riesgo.
• Supervisión personalizada: para cuentas más confidenciales, definir explícitamente comportamientos o patrones permitidos o aceptados permite la detección temprana de actividad anómala. Este control no es adecuado para las cuentas de uso general de la empresa, ya que estas cuentas necesitan flexibilidad para sus roles.

La combinación de controles también le permite mejorar la seguridad y la facilidad de uso; por ejemplo, un usuario que permanece dentro de su patrón normal (con el mismo dispositivo en la misma ubicación día tras día) no necesita que se le solicite MFA cada vez que se autentique.

Cuentas de seguridad empresariales

Los controles de seguridad de las cuentas empresariales están diseñados para crear una línea de base segura para todos los usuarios y proporcionar una base segura para la seguridad especializada y con privilegios:

• Aplicación de autenticación multifactor (MFA) segura: asegúrese de que el usuario se autentique con MFA segura proporcionada por un sistema de identidades administrado por la empresa (que se detalla en el diagrama siguiente). Para más información sobre la autenticación multifactor, consulte Procedimiento recomendado 6 de seguridad de Azure.

  Nota:

  Aunque su organización puede optar por usar una forma más débil de MFA durante un período de transición, los atacantes están evitando cada vez más las protecciones de MFA más débiles, por lo que toda nueva inversión en MFA debe estar en las formas más fuertes.

• Aplicación de riesgo de cuenta o sesión: asegúrese de que la cuenta no pueda autenticarse a menos que esté en un nivel de riesgo bajo (o medio). Consulte Niveles de seguridad de la interfaz para obtener más información sobre la seguridad condicional de las cuentas empresariales.

• Supervisión y respuesta a las alertas: las operaciones de seguridad deben integrar alertas de seguridad de cuentas y obtener suficiente entrenamiento sobre cómo funcionan estos protocolos y sistemas para asegurarse de que pueden comprender rápidamente lo que significa una alerta y reaccionar en consecuencia.

  • Habilitar Microsoft Entra ID Protection
  • Investigar el riesgo con Microsoft Entra ID Protection
  • Solución de problemas e investigación de errores de inicio de sesión de acceso condicional

En el diagrama siguiente se proporciona una comparación con las distintas formas de autenticación sin contraseña y MFA. Cada opción del cuadro El mejor se considera de alta seguridad y facilidad de uso. Cada una tiene requisitos de hardware diferentes, por lo que es posible que desee mezclar y hacer coincidir cuáles se aplican a los diferentes roles o individuos. El acceso condicional reconoce todas las soluciones sin contraseña de Microsoft como autenticación multifactor, porque requieren la combinación de algo que tiene con biometría, algo que sabe o ambas opciones.

Nota:

Para obtener más información sobre por qué la autenticación basada en SMS y otros teléfonos está limitada, vea la entrada de blog It's Time to Hang Up on Phone Transports for Authentication (Es hora de dejar los métodos telefónicos para la autenticación).

Cuentas especializadas

Las cuentas especializadas son un nivel de protección superior adecuado para usuarios confidenciales. Debido a su mayor impacto empresarial, las cuentas especializadas garantizan una supervisión y priorización adicionales durante las alertas de seguridad, las investigaciones de incidentes y la búsqueda de amenazas.

La seguridad especializada se basa en la MFA segura en la seguridad empresarial mediante la identificación de las cuentas más confidenciales y la garantía de que se priorizan las alertas y los procesos de respuesta:

1. Identificación de las cuentas confidenciales: consulte la guía de nivel de seguridad especializada para identificar estas cuentas.
2. Etiquetado de las cuentas especializadas: asegúrese de que cada cuenta confidencial está etiquetada.
   1. Configuración de listas de seguimiento de Microsoft Sentinel para identificar estas cuentas confidenciales.
   2. Configuración de la protección de cuentas prioritarias en Microsoft Defender para Office 365 y designe las cuentas especializadas y con privilegios como cuentas prioritarias.
3. Actualización de los procesos de operaciones de seguridad: para asegurarse de que estas alertas tienen la prioridad más alta.
4. Configuración de la gobernanza: actualice o cree un proceso de gobernanza para asegurarse de que:
   1. Todos los roles nuevos se evalúan para obtener clasificaciones especializadas o con privilegios a medida que se crean o cambian.
   2. Todas las cuentas nuevas se etiquetan a medida que se crean.
   3. Se realizan comprobaciones fuera de banda continuas o periódicas para asegurarse de que los procesos de gobernanza normales no omiten roles y cuentas.

Cuentas con privilegios

Las cuentas con privilegios tienen el mayor nivel de protección porque representan un impacto significativo o material potencial en las operaciones de la organización si están en peligro.

Las cuentas con privilegios siempre incluyen administradores de TI con acceso a todos o a la mayoría de los sistemas empresariales, incluidos todos o la mayoría de los sistemas críticos para la empresa. Otras cuentas con un alto impacto empresarial también pueden garantizar este nivel adicional de protección. Para obtener más información sobre qué roles y cuentas deben protegerse en qué nivel, consulte el artículo Seguridad del acceso con privilegios.

Además de la seguridad especializada, la seguridad de las cuentas con privilegios aumenta los siguientes aspectos:

• Prevención: agregue controles para restringir el uso de estas cuentas a los dispositivos, estaciones de trabajo e intermediarios designados.
• Respuesta: supervise estrechamente estas cuentas en busca de actividad anómala e investigue y corrija rápidamente el riesgo.

Configuración de la seguridad de las cuentas con privilegios

Siga las instrucciones del Plan de modernización rápida de seguridad para aumentar la seguridad de las cuentas con privilegios y reducir el costo de administración.

Pasos siguientes

• Introducción a la protección del acceso con privilegios
• Estrategia de acceso con privilegios
• Medición correcta
• Niveles de seguridad
• Intermediarios
• Interfaces
• Dispositivos de acceso con privilegios
• Modelo de acceso de Enterprise