Como plataforma financiera global, Adyen impulsa las transacciones de algunas de las marcas más confiables del mundo, como Meta, eBay y Microsoft. En el mundo de los servicios financieros, donde la seguridad es fundamental, el compromiso de Adyen con una arquitectura Zero Trust es un principio básico. La empresa busca constantemente formas de estar un paso adelante de las amenazas. Hace poco, el equipo se fijó en un nuevo y ambicioso objetivo: lograr una resistencia total al phishing en toda la organización.
Para Adyen, no se trataba solo de implementar una nueva herramienta de seguridad. Se trataba de permitir que casi 5000 empleados accedieran de manera fácil y segura a los datos de la empresa. Al implementar Okta FastPass y Identity Threat Protection, Adyen logró un protección resistente al phishing del 99,6 % en todos los flujos de acceso y una autenticación 90 % más rápida. También mitigó un ataque de phishing potencialmente dañino que resultó en cero cuentas comprometidas. En conjunto, estos resultados se traducen en una postura de seguridad más sólida, una mayor satisfacción del usuario y una reducción de los gastos operativos.
Más allá de la seguridad tradicional
Incluso con fuertes controles de seguridad, como Adaptive MFA, el equipo de Adyen sabía que los atacantes se estaban volviendo más inteligentes. Según Leandro Dimitrio, ingeniero de sistemas en Adyen, “tomamos la decisión desde el principio de implementar FastPass de la manera más segura y escalable posible”. Entendieron que, si bien Adaptive MFA podía detectar un inicio de sesión sospechoso, los autenticadores más débiles, como los SMS o la contraseña de un solo uso, seguían siendo susceptibles a los ataques.
Más allá del inicio de sesión de usuario, el equipo de Adyen identificó otros riesgos. Era necesario proteger las sesiones de larga duración, como las de Gmail, y evitar que un usuario o un posible adversario trasladara la sesión de una computadora portátil gestionada por la empresa a un dispositivo no gestionado.
Para resolver estos desafíos, Adyen necesitaba una solución que pudiera proteger el inicio de sesión inicial, supervisar continuamente las sesiones de los usuarios en busca de amenazas y aplicar políticas durante y después del inicio de sesión.
Un enfoque “resistente al phishing” como prioridad
El primer paso de Adyen fue una implementación integral de Okta FastPass. Para lograr esto, el equipo eliminó todos los métodos de autenticación más débiles e indicó a los usuarios cómo inscribirse con FIDO2 o un código de acceso vinculado al dispositivo. Los autenticadores más débiles, como los SMS, las notificaciones push o las contraseñas de un solo uso, se eliminaron como opciones de respaldo. Con esto, se evita que los atacantes usen el phishing para apropiarse fácilmente de las cuentas de usuario.
Esta política protege a casi 5000 usuarios en macOS, Windows y dispositivos móviles, y ofrece una experiencia simple, uniforme y segura desde el primer día. Está totalmente integrada en sus sistemas de gestión de dispositivos móviles y de activos empresariales. Y el verdadero cambio radical es el aprovisionamiento de dispositivos totalmente automatizado con Okta Workflows.
Detección y respuesta ante las amenazas de identidad con IA
La defensa de Adyen fue mucho más allá. El equipo implementó Identity Threat Protection para detectar y detener los ataques basados en la identidad durante la autenticación y después.
Con Identity Threat Protection, Adyen da seguimiento continuo al riesgo de la sesión para detectar anomalías en el comportamiento esperado de la sesión o amenazas activas conocidas. Si se detecta una amenaza, Identity Threat Protection puede realizar acciones en tiempo real, como la implementación de la MFA de nivel superior, de Universal Logout o de acciones personalizadas con Okta Workflows.
“Identity Threat Protection ayuda a garantizar que los dispositivos sigan cumpliendo con las normas durante la sesión”, explica Alexander Makarov, ingeniero de personal de IAM en Adyen. “También pone fin a la actividad de sesiones anormales y evita que empleados y posibles actores de amenazas trasladen las sesiones de dispositivos gestionados a dispositivos no gestionados. Esto es de suma importancia, ya que tenemos licencias bancarias en diferentes países y nuestras computadoras portátiles están bloqueadas”.
Universal Logout funciona con varias de las aplicaciones más importantes de Adyen, como Salesforce, Google Workspace, Slack y Zoom. Esto permite poner fin de inmediato a todas las sesiones de usuario en Okta y en estas aplicaciones para detener los ataques basados en la identidad. Estas políticas ayudan a Adyen a mantener una firme postura de seguridad de la identidad de todos los usuarios en todo momento.
“Para aumentar la visibilidad y optimizar las respuestas del SOC, todos los eventos de Identity Threat Protection se transmiten al SIEM de Adyen, lo que permite al equipo del SOC clasificar e investigar rápidamente los incidentes de seguridad”, continúa Makarov. “Este modelo en capas mejora la visibilidad, reduce el tiempo de respuesta y alinea nuestra respuesta ante amenazas con patrones de ataque modernos”.
Adyen también quiere que más proveedores de SaaS ofrezcan Universal Logout de forma predeterminada, para brindar una protección más sólida y uniforme en todas sus aplicaciones.
El resultado: una fuerza laboral segura y más productiva
El poder combinado de FastPass y Identity Threat Protection ayudó a Adyen a lograr lo siguiente:
- Cero cuentas comprometidas. Durante una sofisticada campaña de phishing que imitaba la página de inicio de sesión de Okta, hubo cero cuentas comprometidas en Adyen. Debido a que no pudieron aprovecharse de una opción de contraseña de un solo uso, los atacantes no pudieron robar las credenciales. Esto respaldó la estricta política de Adyen sobre la autenticación con FastPass en la vida real.
- Protección resistente al phishing del 99,6 %. Adyen logró una cobertura casi total en todos los flujos de acceso de los empleados al habilitar FastPass desde el primer día y guiar a los usuarios a través de la transición. La desactivación gradual de autenticadores no utilizados, como Google Authenticator y SMS, ayudó a impulsar una adopción del 99 % en los primeros 100 días.
- Autenticación un 90 % más rápida. Si bien la seguridad era la prioridad, la experiencia de usuario también mejoró sustancialmente. Los tiempos de autenticación se redujeron de 30 segundos a solo 3 segundos por aplicación, lo que equivale a una mejora del 90 %.
- Ahorro de tiempo y productividad. La automatización de los flujos de trabajo de identidad, desde el aprovisionamiento seguro hasta la desvinculación, ahorró al equipo de ingeniería entre 13 y 15 horas semanales. También aceleró los procesos de auditoría, mejoró el rendimiento general del ciclo de vida del usuario y aumentó la confiabilidad.
- Mayor satisfacción del usuario. La puntuación del Net Promoter Score (NPS) del nuevo sistema se disparó al 82 %, lo que demuestra cómo la seguridad y la facilidad de uso pueden ir de la mano.
* Toda la información se basa en datos propios del cliente.
Según Makarov, “con Identity Threat Protection y Okta FastPass, todo el mundo se benefició. Nuestros usuarios adoran la experiencia sencilla, intuitiva y sin contraseñas, y logramos un gran avance en nuestra postura de seguridad”.
El plan de Adyen para el éxito de la estrategia de Zero Trust
Estas son las cuatro prácticas recomendadas básicas de Adyen para cualquier organización que busque replicar su éxito:
- Autenticación resistente al phishing. Reduzca la exposición al phishing propia de métodos de autenticación más débiles con la implementación de la autenticación resistente al phishing a todos los usuarios.
- Inscripción de dispositivos basada en políticas. Automatice la inscripción de dispositivos con estrictos requisitos de cumplimiento y postura.
- Implementación constante de políticas de postura del dispositivo. Aplique continuamente las políticas del dispositivo para detectar cuándo una sesión se mueve de un dispositivo gestionado a uno no gestionado.
- Supervisión continua de riesgos. Supervise el comportamiento del usuario y la sesión durante la autenticación y después, con el fin de detectar, prevenir y corregir inmediatamente las amenazas, como el secuestro de sesiones.
- Capacitación y concientización de los usuarios. Eduque al personal para que comprenda los nuevos flujos de trabajo y pueda reconocer los intentos de phishing.
El recorrido de Adyen con FastPass y Identity Threat Protection es un gran ejemplo de cómo una estrategia de defensa proactiva y profunda puede crear una postura de seguridad muy resiliente y eficiente. Esto significa que usted puede implementar una solución adaptada a su tecnología y su gente. Para una empresa tan centrada en el futuro como Adyen, haber sentado estas bases le permitirá escalar con confianza, sin importar qué nuevas amenazas surjan.
Para obtener más información sobre Identity Threat Protection, visite el hub de productos o regístrese para acceder a una demo.
Para obtener más información sobre la historia de Adyen, vea este video.
