El problema: el deterioro de la protección
El deterioro de la protección es un riesgo de seguridad que aumenta a medida que un usuario mantiene su sesión activa, incluso después de un inicio de sesión exitoso y seguro. Si bien los modelos de seguridad tradicionales son eficaces al inicio, pierden visibilidad una vez que un usuario ya ingresa. Una vez emitido, un token de sesión válido se convierte en un objetivo valioso para los atacantes.
Las amenazas sofisticadas, como el secuestro de sesión, pueden eludir por completo la autenticación y dejarnos a ciegas respecto de la actividad maliciosa que ocurre minutos o incluso horas después de un inicio de sesión legítimo. Más del 80 % de todas las filtraciones de datos están vinculadas a ataques a la identidad, y sabíamos que no podíamos permitirnos ignorar esta creciente ola de amenazas de autenticación posterior.
Esto fue lo que inspiró a Okta a iniciar su recorrido. Reconocimos que nuestro compromiso para proteger la identidad, una piedra angular de nuestra estrategia de seguridad, debía extenderse más allá del inicio de sesión. Lo que buscábamos era una solución que no solo aplicara políticas en el punto de acceso, sino que también mantuviera un nivel constante de confianza durante cada sesión de usuario. Encontramos esa solución en Okta Identity Threat Protection con Okta AI, un componente clave de nuestro compromiso Okta Secure Identity Commitment.
La solución: Identity Threat Protection
Okta Identity Threat Protection era la pieza que le faltaba a nuestro rompecabezas de seguridad. Además de unificar la información sobre riesgos, evalúa de forma continua las amenazas en tiempo real y responde ante ellas, tanto durante el inicio de sesión como después. Su integración nativa con Okta Identity Cloud le otorga la capacidad única de supervisar el comportamiento del usuario en el punto de control más crítico: la identidad.
Resolvimos fácilmente nuestro problema del deterioro de la protección con las capacidades principales de este producto. Tres características fueron particularmente relevantes para nuestra decisión:
- Evaluación continua del contexto. Esta función se basa en el principio de que la confianza no es estática y, por lo tanto, evalúa continuamente el riesgo y el contexto del usuario durante una sesión activa. Más allá de una simple verificación al iniciar sesión, esta función supervisa los cambios en las zonas de red, el contexto del dispositivo y el comportamiento del usuario en tiempo real, incluso cuando un usuario no está interactuando activamente con Okta. Para lograr esto, nos dimos cuenta de que era fundamental configurar correctamente las zonas de red, las políticas de sesión y las políticas de autenticación.
- Supervisión del riesgo de entidades. El riesgo de entidades se refiere al nivel de riesgo de un usuario en todos los dispositivos, sesiones y aplicaciones. La política de riesgo de entidades supervisa los cambios en el nivel de riesgo del usuario relacionados con amenazas basadas en la identidad, como el secuestro de sesión, los ataques de fuerza bruta y los inicios de sesión desde direcciones IP de alto riesgo. Dentro de la política de riesgo de entidades, es posible configurar acciones específicas que se ejecutarán cuando el nivel de riesgo de un usuario cambie a medio o alto.
- Respuesta precisa al riesgo. Esta es una configuración de Universal Logout para finalizar una sesión de usuario activa en todas las aplicaciones compatibles cuando se detectan amenazas basadas en la identidad. Esta función garantiza que la sesión de un usuario se cierre en caso de amenazas, como el secuestro de la sesión del usuario en manos de un actor malintencionado, la desvinculación de un empleado, cambios en el nivel de riesgo de un usuario, la pérdida de un dispositivo, una amenaza interna o una credencial en riesgo.
En conjunto, estas capacidades permiten una protección “siempre activa” que salvaguarda las sesiones de los usuarios contra ataques sofisticados de autenticación posterior, lo que ayuda a honrar el compromiso con la protección de la identidad.
Nuestra implementación de Okta Identity Threat Protection fue un camino estratégico que realizamos por etapas y de forma metódica, empezando desde un estado de supervisión y observación hasta llegar a la implementación proactiva. Esta estrategia escalonada nos permitió generar confianza en las capacidades del producto y adaptar sus respuestas a nuestro entorno específico.
Etapa 1: introducción y configuración básica
El primer paso en nuestro viaje para mejorar la seguridad fue preparar nuestro entorno para la protección dinámica que ofrece Identity Threat Protection. Esto supuso una revisión exhaustiva de nuestras configuraciones de seguridad básicas, incluidas las zonas de red, las sesiones globales y las políticas de autenticación. Nuestro objetivo era garantizar que estos controles fueran lo suficientemente sólidos como para admitir la recopilación de datos en tiempo real y las evaluaciones de políticas que Identity Threat Protection requiere.
Nuestra postura de seguridad básica incluyó medidas clave, como que todos los empleados usaran una VPN de forma obligatoria, y la implementación de configuraciones de dispositivos gestionados para macOS, Windows, iOS y Android. También implementamos Okta FastPass como nuestro autenticador primario resistente al phishing. Al integrar señales de confianza desde nuestra solución de detección y respuesta de extremos, los procesos de inicio de sesión ahora son más seguros y se evalúan de forma constante para detectar riesgos.
Etapa 2: aprendizaje y planificación
Tras implementar nuestros controles básicos, el objetivo principal era observar y aprender, no implementar. Ejecutamos Identity Threat Protection en modo de supervisión solamente, y lo configuramos para recopilar y analizar señales de las sesiones de usuario sin realizar ninguna acción automatizada. Esto nos permitió identificar eventos de detección de riesgos en nuestra organización y entender los tipos de amenazas de autenticación posterior a los que se enfrentaban nuestros usuarios. En nuestro registro de sistema y en el panel de administración, podíamos ver cuándo una dirección IP cambiaba a mitad de sesión o cuándo la postura del dispositivo de un usuario se deterioraba.
Etapa 3: Ejecución
Una vez que comprendimos claramente las amenazas y supimos que el sistema las detectaría, continuamos con la etapa de ejecución. Eso significó tomar medidas. Para las amenazas de alto riesgo, configuramos la respuesta automatizada más potente: Universal Logout. Identificamos algunas aplicaciones clave de alto riesgo compatibles con el marco de trabajo de Universal Logout e implementamos la política para ellas.
Cuando Identity Threat Protection detectaba una amenaza confirmada, como la reproducción de una cookie de sesión, el sistema cerraba automáticamente todas las sesiones del usuario en todos los dispositivos conectados y las aplicaciones compatibles. Esto cambió las reglas del juego, ya que dejó atrás las respuestas manuales y lentas ante posibles filtraciones.
El viaje gradual y basado en datos, desde la supervisión hasta la aplicación, garantizó una transición eficiente y maximizó el valor de la implementación de Identity Threat Protection.
Lo que aprendimos
Nuestra experiencia nos dejó algunas lecciones técnicas y de comunicación fundamentales sobre la aplicación de Okta Identity Threat Protection.
Guía técnica
- Roles personalizados de administrador de Identity Threat Protection: es necesario crear un rol de administrador personalizado y dedicado de Identity Threat Protection para el equipo de ciberseguridad. Esto garantiza la existencia de los permisos específicos necesarios para gestionar Identity Threat Protection sin otorgar acceso innecesario a otras funciones administrativas de Okta.
- Respuesta automatizada a eventos de alto riesgo: se debe configurar una política para implementar inmediatamente el cierre de sesión del usuario cuando la puntuación de riesgo de una entidad cambie a “alto”. Este es un paso fundamental para contener una amenaza potencial. Además, es necesario registrar e investigar los eventos de riesgo medio. Cada vez que la puntuación de riesgo de la entidad cambie a un nivel “medio”, asegúrese de registrar meticulosamente estos eventos para que el equipo de seguridad los investigue. Si bien no exigen un bloqueo inmediato, suelen ser la antesala de ataques más graves.
- Uso de los informes de riesgo de entidades: el informe de riesgo de entidades es una herramienta esencial para los administradores de Okta y de Identity Threat Protection. La revisión periódica de este informe es fundamental para comprender la postura general de riesgo de la organización e identificar las amenazas emergentes.
Comunicación con las partes interesadas
Comunicación proactiva: la comunicación efectiva con las partes interesadas internas es esencial, tanto antes de implementar Identity Threat Protection como después. El intercambio proactivo de mensajes evita confusiones y garantiza que los departamentos comprendan por qué se están tomando ciertas medidas, como los cierres de sesión automatizados.
Impacto: generación de valor para la empresa
Al implementar Okta Identity Threat Protection, cerramos la brecha de seguridad causada por el deterioro de la protección y logramos beneficios empresariales significativos y medibles. Nuestra postura de seguridad ahora es proactiva y continua, y se extiende más allá de la autenticación inicial.
El complemento perfecto: Identity Security Posture Management y Okta Identity Threat Protection
Trabajamos sin descanso para mejorar nuestra infraestructura de seguridad con el fin de proteger a nuestra organización y a nuestros usuarios. Una piedra angular de este trabajo es una estrategia sólida de gestión de identidades y accesos. Creemos que la seguridad no se trata solo de reaccionar ante las amenazas, sino de desarrollar proactivamente una defensa sólida.
Por eso, seguimos trabajando para adoptar Identity Security Posture Management de Okta, un paso significativo en nuestro viaje hacia la seguridad. Identity Security Posture Management de Okta trabaja codo a codo con Identity Threat Protection de Okta, una solución que ya utilizamos.
Si bien Identity Threat Protection tiene por finalidad detectar las amenazas basadas en la identidad y responder ante ellas en tiempo real, Identity Security Posture Management se centra en evitar las condiciones que permiten que estos ataques tengan éxito.
Comprobación de postura avanzada: detección de phishing con FastPass
Para mejorar nuestra defensa proactiva contra el phishing, estamos planificando una nueva capacidad de detección para Identity Threat Protection que identifique intentos sospechosos de inicio de sesión provenientes de direcciones IP señaladas en campañas de phishing anteriores. El equipo de seguridad evaluará e implementará esta función para fortalecer nuestra postura de seguridad de identidad.
¿Le interesa reproducir el proceso de Okta? Lea nuestra guía de configuración para Identity Threat Protection.
