Acceso con privilegios: Cuentas

  • Artículo
  • Tiempo de lectura: 6 minutos

La seguridad de la cuenta es un componente crítico para proteger el acceso con privilegios. La seguridad de confianza cero de fin a fin para las sesiones requiere establecer firmemente que la cuenta que se usa en la sesión está realmente bajo el control del propietario humano y no un atacante haciéndose pasar por ellos.

La seguridad segura de las cuentas comienza con el aprovisionamiento seguro y la administración completa del ciclo de vida hasta la desaprovisionamiento, y cada sesión debe establecer garantías sólidas de que la cuenta no está actualmente en peligro en función de todos los datos disponibles, incluidos los patrones de comportamiento históricos, la inteligencia de amenazas disponible y el uso en la sesión actual.

Seguridad de la cuenta

Esta guía define tres niveles de seguridad para la seguridad de la cuenta que puede usar para activos con diferentes niveles de confidencialidad:

Proteger cuentas de un extremo a otro

Estos niveles establecen perfiles de seguridad claros e implementables adecuados para cada nivel de confidencialidad al que puede asignar roles y escalar rápidamente. Todos estos niveles de seguridad de la cuenta están diseñados para mantener o mejorar la productividad de los usuarios al limitar o eliminar la interrupción de los flujos de trabajo de usuarios y administradores.

Planear la seguridad de la cuenta

En esta guía se describen los controles técnicos necesarios para cumplir con cada nivel. Las instrucciones de implementación están en el mapa de ruta de acceso con privilegios.

Controles de seguridad de la cuenta

Para lograr la seguridad de las interfaces se requiere una combinación de controles técnicos que protejan las cuentas y proporcionen señales para que se utilicen en una decisión de directiva de confianza cero (consulte Proteger interfaces para referencia de configuración de directivas).

Los controles usados en estos perfiles incluyen:

  • Autenticación multifactor: proporciona diversas fuentes de prueba de que el (diseñado para ser lo más fácil posible para los usuarios, pero difícil de imitar para un adversario).
  • Riesgo de la cuenta : supervisión de amenazas y anomalías: usar ueba e inteligencia de amenazas para identificar escenarios arriesgados
  • Supervisión personalizada: para cuentas más confidenciales, definir explícitamente comportamientos/patrones permitidos o aceptados permite la detección temprana de actividad anómala. Este control no es adecuado para las cuentas de propósito general en la empresa, ya que estas cuentas necesitan flexibilidad para sus roles.

La combinación de controles también le permite mejorar la seguridad y la usabilidad, por ejemplo, un usuario que permanece dentro de su patrón normal (usando el mismo dispositivo en la misma ubicación día tras día) no es necesario que se le solicite una MFA externa cada vez que se autentique.

Comparar cada nivel de cuenta y beneficio de costo

Enterprise de seguridad

Los controles de seguridad de las cuentas empresariales están diseñados para crear una línea base segura para todos los usuarios y proporcionar una base segura para la seguridad especializada y privilegiada:

  • Exigir una autenticación multifactor (MFA) segura: asegúrese de que el usuario se autentica con una MFA segura proporcionada por un sistema de identidad administrado por la empresa (detallado en el diagrama siguiente). Para obtener más información sobre la autenticación multifactor, vea Procedimientos recomendados de seguridad de Azure 6.

    Nota

    Aunque su organización puede elegir usar una forma más débil de MFA durante un período de transición, los atacantes están evadiendo cada vez más las protecciones más débiles de la MFA, por lo que toda nueva inversión en MFA debe estar en las formas más sólidas.

  • Exigir el riesgo de cuenta o sesión: asegúrese de que la cuenta no pueda autenticarse a menos que esté en un nivel bajo (o medio). nivel de riesgo. Vea Niveles de seguridad de la interfaz para obtener más información sobre la seguridad condicional de la cuenta empresarial.

  • Supervisar y responder a alertas: las operaciones de seguridad deben integrar alertas de seguridad de cuentas y obtener suficiente aprendizaje sobre cómo funcionan estos protocolos y sistemas para asegurarse de que pueden comprender rápidamente lo que significa una alerta y reaccionar en consecuencia.

El siguiente diagrama proporciona una comparación con diferentes formas de MFA y autenticación sin contraseña. Cada opción del mejor cuadro se considera tanto de alta seguridad como de alta usabilidad. Cada uno tiene requisitos de hardware diferentes, por lo que es posible que desee mezclar y hacer coincidir cuáles se aplican a roles o individuos diferentes. El acceso condicional reconoce todas las soluciones sin contraseña de Microsoft como autenticación multifactor, ya que requieren combinar algo que tiene con la biometría, algo que ya conoce o ambos.

Comparación de métodos de autenticación buenos, mejores, mejores

Nota

Para obtener más información sobre por qué la autenticación basada en SMS y otros teléfonos está limitada, vea la entrada de blog Es el momento de colgar en Teléfono transportes para autenticación.

Cuentas especializadas

Las cuentas especializadas son un nivel de protección superior adecuado para usuarios confidenciales. Debido a su mayor impacto empresarial, las cuentas especializadas garantizan una supervisión y priorización adicionales durante alertas de seguridad, investigaciones de incidentes y búsqueda de amenazas.

La seguridad especializada se basa en la fuerte MFA en la seguridad empresarial identificando las cuentas más confidenciales y asegurando que se prioricen las alertas y los procesos de respuesta:

  1. Identificar cuentas confidenciales: vea instrucciones de nivel de seguridad especializadas para identificar estas cuentas.
  2. Etiquetar cuentas especializadas: asegúrese de que cada cuenta confidencial está etiquetada
    1. Configurar listas de vigilancia de Microsoft Sentinel para identificar estas cuentas confidenciales
    2. Configurar la protección de cuentas de prioridad en Microsoft Defender para Office 365 y designar cuentas especializadas y con privilegios como cuentas de prioridad:
  3. Actualizar procesos de operaciones de seguridad: para asegurarse de que estas alertas tienen la máxima prioridad
  4. Configurar gobierno: actualice o cree un proceso de gobernanza para asegurarse de que
    1. Todos los roles nuevos que se evaluarán para clasificaciones especializadas o con privilegios a medida que se crean o cambian
    2. Todas las cuentas nuevas se etiquetan a medida que se crean
    3. Comprobaciones continuas o periódicas fuera de banda para asegurarse de que los roles y cuentas no se perdieron por los procesos de gobierno normales.

Cuentas con privilegios

Las cuentas con privilegios tienen el nivel más alto de protección porque representan un impacto potencial importante o material en las operaciones de la organización si están en peligro.

Las cuentas con privilegios siempre incluyen administradores de TI con acceso a la mayoría o a todos los sistemas empresariales, incluidos la mayoría o todos los sistemas críticos empresariales. Otras cuentas con un alto impacto empresarial también pueden justificar este nivel adicional de protección. Para obtener más información sobre qué roles y cuentas deben protegerse en qué nivel, vea el artículo Seguridad privilegiada.

Además de la seguridad especializada, la seguridad de la cuenta con privilegios aumenta ambos:

  • Prevención: agregue controles para restringir el uso de estas cuentas a los dispositivos, estaciones de trabajo e intermediarios designados.
  • Respuesta: supervise estrechamente estas cuentas para detectar actividades anómalas e investigue y corrija rápidamente el riesgo.

Configurar la seguridad de la cuenta con privilegios

Siga las instrucciones del plan de modernización rápida de seguridad para aumentar la seguridad de sus cuentas con privilegios y reducir el costo de administración.

Pasos siguientes