A medida que las organizaciones adoptan más infraestructura y aplicaciones basadas en la nube, la identidad se ha convertido en una capa crítica para proteger los sistemas y los datos. La plataforma de Okta brinda a los equipos de seguridad las herramientas que necesitan para ayudar a asegurar el acceso en cada etapa del recorrido del usuario: antes, durante y después de la autenticación.
Capacidades como Identity Security Posture Management e Identity Threat Protection permiten la evaluación y mitigación continua de los riesgos de acceso. Esto ayuda a garantizar que solo los usuarios de confianza, incluidas las identidades no humanas, puedan acceder a los recursos confidenciales.
Okta va mucho más allá de SSO y MFA. Entrelaza las capacidades centrales de identidad en una capa de seguridad unificada que está orquestada, integrada y construida para soportar cualquier entorno.
Okta Identity Security Posture Management
Antes de que comience la autenticación, las organizaciones deben implementar una postura de seguridad continua y un modelo de gobernanza de acceso para garantizar que solo las identidades correctas estén autorizadas y activas.
Okta Identity Security Posture Management ayuda con la visibilidad, la administración y la remediación de la identidad. Esto ofrece una "ventanilla única" para identificar y priorizar el riesgo de identidad. Además, sus capacidades de contextualización muestran las cuentas de usuario junto con sus privilegios, actividades y etapas requeridos en el ciclo de vida del empleado para mitigar las amenazas y respaldar el cumplimiento.
El motor de gráfico de identidad de Identity Security Posture Management se conecta a una variedad de datos de identidad, rompiendo los silos y construyendo una visibilidad rica en contexto. Esto permite a los equipos de seguridad tomar decisiones que mejorarán su postura general de seguridad de identidad.
A medida que las organizaciones adoptan entornos multi-cloud y SaaS, los equipos de seguridad a menudo luchan por mantener la visibilidad y el control sobre su panorama de identidad y su postura de seguridad de identidad.
Los nuevos desafíos dan como resultado una mayor superficie de ataque y una mayor exposición a las violaciones de seguridad.
Los datos de identidad fragmentados en varios sistemas crean puntos ciegos, lo que dificulta la identificación y mitigación de riesgos potenciales.
La proliferación de cuentas inactivas o la falta de cancelación del aprovisionamiento de cuentas contribuye a posibles vulnerabilidades.
Las soluciones modernas de IAM ofrecen herramientas eficaces como la Autenticación Multifactor (MFA) y marcos de cumplimiento para proteger el acceso, pero los clientes no tienen la confianza de que se implementen correctamente.
Identity Security Posture Management permite a las organizaciones adoptar una postura proactiva para reducir sus superficies de ataque de identidad y aborda estos desafíos proporcionando:
Una vista centralizada de la postura de seguridad de la identidad en todo su ecosistema
Un enfoque proactivo para detectar vulnerabilidades, configuraciones incorrectas y violaciones de políticas
Una vía rápida para la priorización y resolución de los problemas de seguridad de identidad más críticos, como la aplicación inconsistente de la Autenticación Multifactor (MFA) o el acceso privilegiado excesivo
La administración de la postura de seguridad de identidad de Okta ayuda a los clientes a proteger los activos críticos de la empresa y los datos de los clientes en aspectos clave de la superficie de ataque. El siguiente diagrama representa los aspectos clave que se asignan a las publicaciones de NIST.
Pero la gestión de la postura de seguridad de la identidad no se detiene en la identificación de problemas. Con las capacidades combinadas de la plataforma unificada de Okta, Okta puede solucionarlos automáticamente.
Okta Identity Governance
Okta Identity Governance fortalece la postura de autenticación previa con controles robustos de gobernanza de acceso. Permite:
Acceso con privilegios mínimos asignando solo lo que es necesario, cuando es necesario
Acceso Just-in-time (JIT) a través de flujos de trabajo de aprovisionamiento automatizados
Revisión continua del acceso a todos los derechos para identificar y corregir los privilegios permanentes
Desaprovisionamiento basado en políticas para evitar cuentas huérfanas o obsoletas
En conjunto, Identity Security Posture Management y OIG garantizan que el acceso tenga un alcance estricto, se rija continuamente y tenga en cuenta los riesgos, incluso antes de que un usuario intente autenticarse.
Autenticación de Okta
El siguiente diagrama describe cómo la plataforma Okta ofrece defensa en profundidad en cada etapa del acceso: antes, durante y después de la autenticación. Echemos un vistazo más de cerca a cómo funciona cada capa.
Antes de la autenticación: fortalecimiento de las defensas desde el principio
El recorrido de seguridad comienza incluso antes de que un usuario intente autenticarse. En la preautenticación, Okta aplica comprobaciones a nivel de red para bloquear la actividad sospechosa de forma temprana y garantizar que solo los usuarios legítimos puedan iniciar el proceso de autenticación.
Así es como funciona.
Enrutador perimetral
En esta capa, Okta aplica límites de velocidad y proporciona protección integrada contra ataques de Denegación de Servicio Distribuido (DDoS). A continuación, se muestra un desglose de cómo la plataforma se defiende contra las amenazas DDoS.
Okta emplea técnicas avanzadas para ayudar a mitigar los ataques DDoS.
Integración de AWS Shield Advanced: Okta utiliza AWS Shield Advanced para la detección y protección integral de DDoS, que cubre ataques de infraestructura y de capa de aplicación, incluidas las inundaciones HTTP.
AWS WAF para un filtrado mejorado: Okta emplea AWS WAF para el filtrado automático basado en direcciones IP, bloqueo geográfico e información de encabezado HTTP.
Protección al cliente multicapa: Okta implementa varias medidas de protección a nivel de celda/organización del cliente, incluyendo
Celdas de Okta separadas, que limitan el impacto de los ataques DDoS
Filtrado de solicitudes de URL entrantes en el nivel de proxy web
Limitaci n de velocidad para evitar ataques DoS mediante la utilizaci n de recursos
Detección de bloqueo causada por dispositivos desconocidos
Limitación de velocidad: las API de Okta están sujetas a límites de velocidad para proteger el servicio para protección adicional contra ataques de bots. Estos límites de velocidad se aplican para cada cliente, endpoint de API y nivel de organización.
Lista de permitir/denegar
Okta apoya a más de 19,000 clientes y asegura decenas de miles de millones de inicios de sesión cada mes, lo que le da a Okta una amplia visibilidad de las amenazas basadas en la identidad en todas las industrias y entornos. Para mejorar la protección, la plataforma monitorea continuamente su superficie de ataque global y utiliza señales anónimas para mejorar los modelos de detección. Estos conocimientos fortalecen el enfoque de defensa en profundidad de Okta sin comprometer los datos o la privacidad del cliente.
Una de las herramientas clave en esta estrategia es la lista de permitidos/bloqueados dinámica, que proporciona una capa adicional de protección para todos los clientes. Al detectar amenazas en tiempo real y ajustar los protocolos de seguridad en consecuencia, Okta ayuda a garantizar una defensa proactiva contra una variedad de amenazas cibernéticas, incluido el credential stuffing, el phishing y los ataques de fuerza bruta. Este marco de seguridad colectivo fortalece la protección de cada cliente de Okta.
Okta ThreatInsight
Okta ThreatInsight analiza patrones en la actividad de inicio de sesión en toda la plataforma para identificar direcciones IP potencialmente maliciosas y ayudar a prevenir ataques basados en credenciales. Esta protección está impulsada por señales anónimas y diseñada para fortalecer las defensas sin exponer los datos del cliente.
Ejemplos de amenazas que ayuda a detectar y bloquear incluyen
Password spraying
relleno de credenciales
Ataques criptográficos de fuerza bruta
Debido a que ThreatInsight evalúa el origen de los intentos de inicio de sesión en los endpoints de Okta, ayuda a establecer una línea de base de seguridad que beneficia a todos los clientes.
Políticas de red a nivel de la organización
Una zona de red es un límite configurable que un cliente puede usar para otorgar o restringir el acceso a computadoras y dispositivos en su organización según la dirección IP que solicita el acceso. Puede definir una zona de red especificando una o más direcciones IP individuales, rangos de direcciones IP o ubicaciones geográficas.
Después de definir una o más zonas de red, puedes utilizarlas en las políticas de inicio de sesión de Okta, las políticas de inicio de sesión de aplicaciones, las notificaciones de VPN y las reglas de enrutamiento para proporcionar decisiones previas a la autenticación. Por ejemplo, la creación de una lista de bloqueo bloqueará automáticamente el acceso desde direcciones IP o ubicaciones geográficas específicas.
Durante la autenticación: Las políticas a nivel de la organización durante la autenticación se basan en el contexto
El diagrama anterior es un diagrama de referencia influenciado por los modelos de CISA y NIST. Ahora, veamos un diagrama de referencia que representa la ZTA a través de la lente de la seguridad impulsada por la identidad. En un nivel alto, queremos controlar el acceso desde los activos de la izquierda a los recursos de la derecha, y queremos que ese acceso esté respaldado por las capacidades en la parte inferior.
Esta arquitectura refleja los pilares del modelo de madurez de la CISA: identidad, dispositivos, redes, aplicaciones y datos. La automatización, la orquestación, la visibilidad y el análisis abarcan los cinco.
Con Okta como plano de control de identidad, los equipos de seguridad pueden aprovechar las señales de los objetos de identidad y los dispositivos a medida que se mueven por la red. Exploraremos cómo funciona eso en la siguiente sección, donde revisaremos dos políticas principales dentro de Okta durante la fase de autenticación.
Políticas de sesión global
Las políticas de sesión globales proporcionan el contexto que Okta necesita para determinar el siguiente paso en el flujo de autenticación. Una vez que se identifica a un usuario, estas políticas evalúan múltiples señales, como el dispositivo, la red, el comportamiento del usuario, el nivel de riesgo y el recurso al que se accede, para decidir qué acción tomar.
Las acciones pueden incluir permitir el acceso, solicitar un desafío o establecer el tiempo antes de la siguiente solicitud. Los comportamientos como la velocidad de inicio de sesión, el uso de nuevos dispositivos o la geolocalización inesperada también se evalúan durante esta fase.
Puede configurar políticas de sesión globales para requerir cualquier factor admitido por su entorno. Las condiciones de factor primario y secundario en la regla de política determinan qué pasos de autenticación se activan.
Todas las organizaciones tienen una política de sesión global predeterminada que se aplica a todos los usuarios. Las políticas se pueden clasificar agrupando a los usuarios de niveles altos a bajos según su acceso o la ubicación desde la que acceden, por ejemplo, una red confiable frente a una no confiable.
Para fortalecer aún más las decisiones de acceso, la política de sesión global aplica el nivel de garantía definido en la política de autenticación para el recurso específico al que se accede. Esto garantiza que los usuarios cumplan con los estándares de autenticación requeridos según la confidencialidad del recurso.
La política de sesión global también controla la administración de sesiones globales de Okta. Okta admite servicios CAPTCHA para aumentar la seguridad de la organización y evitar intentos de inicio de sesión automatizados. Puede integrar uno de dos proveedores: hCaptcha o reCAPTCHA v2.
Las implementaciones de proveedores compatibles con Okta son invisibles. Cada uno ejecuta software de análisis de riesgos en segundo plano durante el inicio de sesión del usuario para determinar la probabilidad de que el usuario sea un bot. Este análisis de riesgos se basa en la configuración que configure con su proveedor elegido.
Políticas de autenticación de aplicaciones
Las políticas de autenticación imponen los requisitos de factor cuando los usuarios inician sesión en las aplicaciones o realizan acciones específicas. Si bien estas políticas comparten algunas condiciones con las políticas de sesión global, sirven para propósitos distintos. Los usuarios que obtienen acceso a Okta a través de la política de sesión global no tienen automáticamente acceso a sus aplicaciones.
Puedes crear una política única para cada aplicación en tu organización o crear algunas políticas que se puedan compartir entre varias aplicaciones. Además, Okta proporciona políticas preestablecidas para aplicaciones con requisitos de inicio de sesión estándar. Si necesitas cambiar los requisitos de inicio de sesión de una aplicación más adelante, puedes modificar fácilmente su política o cambiar a una diferente.
Las políticas de autenticación de aplicaciones se basan en varios contextos dentro de Okta. Profundicemos en cada sección a continuación.
Okta Adaptive MFA
A medida que los niveles de riesgo y de usuario evolucionan continuamente, tu seguridad debe adaptarse en consecuencia. Okta Adaptive MFA permite cambios de política dinámicos y autenticación reforzada en respuesta a los cambios en el comportamiento del usuario, el contexto del dispositivo, la ubicación y otros factores. Adaptive MFA admite la detección y los desafíos de autenticación para situaciones más riesgosas, tales como:
- Uso de contraseñas débiles o vulneradas
- Uso de proxy
- Ubicación geográfica o cambios de zona
- Ataques de fuerza bruta y de denegación de servicio
- Uso de dispositivos nuevos o no confiables
- Indicadores de comportamiento anómalo
Okta soporta una amplia gama de métodos de autenticación multifactor (MFA), alineados con los niveles de garantía del NIST. Estos incluyen factores de posesión, combinaciones biométricas, factores de conocimiento y enfoques combinados. La siguiente tabla categoriza cada factor por tipo.
Características del factor de autenticación
Los factores de autenticación se pueden clasificar según las características de su método:
Vinculado al dispositivo: ligado a un dispositivo específico
Protegido por hardware: requiere un dispositivo físico para la autenticación
Resistente al phishing: evita el intercambio de datos de autenticación, protegiendo a los usuarios de los ataques de phishing. Para obtener más información, consulte Autenticación resistente al phishing y Soluciones de resistencia al phishing de Okta.
Presencia del usuario: requiere interacción humana.
Verificación del usuario: confirmar la identidad de la persona que se autentica.
Okta FastPass es un autenticador sin contraseña resistente al phishing que garantiza un acceso seguro a las aplicaciones protegidas por Okta. Como cliente de Okta Verify instalado localmente en un dispositivo, Okta FastPass actúa como un autenticador vinculado al dispositivo que monitorea continuamente las amenazas potenciales. Determina si un dispositivo está administrado o no administrado según la validación del dispositivo a través de las funciones Device Assurance y Device Trust.
FastPass también puede aplicar políticas de higiene de dispositivos para dispositivos no administrados para garantizar un acceso seguro a las aplicaciones corporativas. Además, se integra con las señales de Endpoint Detection and Response (EDR), recopilándolas y enviándolas a Okta para su evaluación durante el proceso de inicio de sesión.
Las soluciones de gestión de acceso contextual de Okta Device Trust permiten a las organizaciones proteger los recursos corporativos confidenciales al permitir el acceso solo desde dispositivos gestionados y de confianza. Con la desaparición de los perímetros corporativos tradicionales, los usuarios ahora acceden a las aplicaciones desde varios clientes, plataformas y navegadores.
Como parte del modelo de seguridad Zero Trust de Okta, Device Trust garantiza que los usuarios accedan a las aplicaciones desde dispositivos confiables. Se considera que los dispositivos administrados tienen una mayor confianza, lo que requiere una garantía mínima, mientras que los dispositivos no administrados requieren un mayor nivel de confianza.
Con las políticas de Device Assurance, puede verificar conjuntos de atributos de dispositivo relacionados con la seguridad como parte de sus políticas de autenticación. Por ejemplo, puede configurar una política para verificar si una versión específica del sistema operativo o un parche de seguridad está instalado antes de permitir el acceso a los recursos protegidos por Okta. La integración de las comprobaciones de dispositivos en sus políticas de autenticación le permite establecer requisitos mínimos de seguridad para los dispositivos que intentan acceder a los sistemas y aplicaciones de su organización.
Puede integrar Okta Verify con la solución EDR de su organización. Cuando los usuarios intentan acceder a un recurso protegido, Okta Verify sondea su dispositivo en busca de contexto y señales de confianza. Estas señales se evalúan con las políticas de autenticación configuradas en la [Consola de administración de Okta]. Esta integración extiende la evaluación de la postura del dispositivo al aprovechar las señales capturadas por el cliente EDR que se ejecuta en el mismo dispositivo.
Las políticas de aplicación definen el nivel de garantía que un usuario debe cumplir para autenticarse en un recurso específico. Estas políticas se basan en integraciones en profundidad y varios factores, como la identidad del usuario, el tipo de dispositivo y la geolocalización.
Después de la autenticación: Monitoreo continuo e Identity Threat Protection
La batalla no termina una vez que el usuario se autentica. En la fase posterior a la autenticación, Okta continúa supervisando la actividad del usuario, aplicando estrategias de Identity Threat Protection (ITP) para detectar y responder a los riesgos en curso.
Monitoreo continuo
Okta supervisa continuamente las señales de identidad después de la autenticación para detectar anomalías. Esto incluye cambios en el comportamiento del usuario, como intentos de acceso inesperados o desviaciones de los patrones de uso típicos, lo que ayuda a los equipos de seguridad a responder a las amenazas en tiempo real. Si se detectan anomalías, Okta puede activar acciones de corrección automáticas, como el cierre de sesión universal, o ejecutar un flujo de trabajo para bloquear temporalmente la cuenta para una mayor investigación.
Identity Threat Protection
En el mundo digital actual, la seguridad de la identidad es fundamental, y Identity Threat Protection de Okta ofrece un enfoque dinámico y centrado en el usuario. En esencia, en el diagrama anterior, se puede ver que Identity Threat Protection recopila señales de terceros de una variedad de superficies de amenazas (por ejemplo, endpoint, ZTNA, correo electrónico) y señales de primera mano de las plataformas de Okta como Okta Verify. Esto ayuda a evaluar continuamente el riesgo y monitorear cualquier cambio en el contexto que pueda indicar una amenaza de seguridad.
El motor de riesgo juega un papel crucial al evaluar los riesgos de la sesión durante el inicio de sesión y analizar factores como el contexto de IP y dispositivo. Pero no se detiene ahí. Identity Threat Protection rastrea la identidad general de un usuario a través del riesgo del usuario de la entidad, que abarca el perfil de riesgo del usuario en todos los puntos de contacto, incluidos el dispositivo, la aplicación, la red y los datos. Este enfoque holístico es similar a un puntaje de crédito, que evalúa el riesgo general de un usuario en función de señales de riesgo nativas y de terceros, como malware o adquisiciones de cuentas.
En el lado derecho del sistema, las políticas dictan acciones específicas basadas en evaluaciones de riesgo en tiempo real. Estos pueden incluir el cierre de sesión universal o la Autenticación Multifactor (MFA) gradual para escenarios de mayor riesgo y la transmisión de contexto de riesgo descendente utilizando el mismo Shared Signals Framework (SSF).
Con el SSF, puede configurar una integración de receptor de señal compartida con proveedores de eventos de seguridad para informar la configuración de detección de riesgo de entidad de sus usuarios para una política de riesgo de entidad. Esto permite que el proveedor de eventos de seguridad transmita señales de riesgo a Okta. Puede descubrir más amenazas potenciales a la identidad al recibir señales de riesgo de los proveedores de eventos de seguridad.
Un enfoque holístico de la ciberseguridad
Okta Identity Security Fabric es un enfoque moderno y orquestado de la defensa cibernética creado para proteger cada fase del ciclo de vida de la identidad, comenzando mucho antes de que un usuario se autentique. Comienza con la gobernanza y la gestión de la postura de seguridad de la identidad, estableciendo el mínimo privilegio, aplicando el acceso justo a tiempo y revisando continuamente los derechos para eliminar los privilegios permanentes y reducir la superficie de ataque. Esta postura proactiva garantiza que solo existan las identidades correctas, y solo cuando sea necesario.
A partir de ahí, la autenticación es consciente del contexto y adaptable, impulsada por marcos de políticas sólidos, métodos resistentes al phishing como FastPass e inteligencia granular de dispositivos y sesiones. Las decisiones de acceso no son estáticas; reflejan el contexto en tiempo real, los niveles de riesgo y las señales de confianza entre usuarios y dispositivos.
La seguridad no se detiene después del inicio de sesión. Con Identity Threat Protection, Okta monitorea continuamente la actividad posterior a la autenticación, correlacionando las señales de riesgo en todo el entorno y permitiendo la remediación automática para comportamientos sospechosos, ya sea que eso signifique aplicar la autenticación gradual, revocar el acceso o activar flujos de trabajo de seguridad.
Estas capacidades no son controles aislados, sino que funcionan como un tejido de seguridad de identidad interconectado. El acceso controlado, la autenticación segura y el monitoreo continuo trabajan en conjunto para brindar una capa de defensa resistente, escalable e inteligente.
En un mundo donde las identidades son el nuevo perímetro, Okta permite a las organizaciones hacer de la identidad la base de su estrategia de seguridad, proporcionando la visibilidad, el control y la adaptabilidad necesarios para asegurar el acceso a través de los entornos dinámicos y distribuidos de hoy.
