En un blog anterior sobre la administración de la postura de seguridad de identidad de Okta, analizamos los desafíos y las posibles soluciones que enfrentan las empresas al lidiar con la administración y la seguridad de las cuentas locales. Hoy, analizaremos un ejemplo de solución para los equipos de seguridad, independientemente de la aplicación que cree usuarios locales.
Lo que explicaremos se basa en un proceso de dos pasos:
- Okta Identity Security Posture Management detecta cuentas locales, correlaciona sus riesgos y prioriza la remediación para las que son más importantes.
- Okta Workflows permite la autorremediación con plantillas y conectores prediseñados y flexibles.
La priorización es el rey
Los equipos de seguridad están enterrados bajo miles de alertas de múltiples herramientas cada día. Los equipos de TI corren el riesgo de ser inundados por tickets abiertos por configuraciones erróneas impulsadas por la seguridad que necesitan arreglar.
Las alertas varían en el impacto, la capacidad de acción y el riesgo de fricción empresarial involucrado en su remediación. Con demasiada frecuencia, los equipos de seguridad tienen que recurrir a procesos manuales que significan responder demasiado tarde y permitir que los atacantes entren antes de que se elimine el riesgo.
Además, la falta de experiencia y permisos necesarios para investigar y solucionar problemas en las aplicaciones descendentes reduce aún más la productividad y resulta en tiempo y recursos desperdiciados. Es por eso que, de todos los problemas detectados, los equipos de seguridad deben estar facultados para priorizar de manera efectiva, abordando primero las vulnerabilidades más críticas y procesables.
Ejemplo práctico
Tomemos un ejemplo común de la vida real llamado "Entra ID local sin usar, sin multifactor y administrador de contraseña antigua". De todas las cuentas locales, las cuentas de usuario privilegiadas no utilizadas sin autenticación multifactor (MFA) y contraseñas antiguas son las más accionables, presentan mayores riesgos y son las más propensas a hacer que su organización sea vulnerable.
¿Por qué? Vamos a revisar esto con más detalle.
- Más accionables: Las cuentas no utilizadas pueden ser desactivadas con un impacto mínimo en las operaciones del negocio.
- Mayor riesgo: Las cuentas privilegiadas con permisos de administrador pueden causar daños significativos y son altamente susceptibles a la explotación.
- Más vulnerables: Las cuentas sin Autenticación Multifactor (MFA) y con contraseñas antiguas presentan rutas de ataque claras para los actores de amenazas.
La forma de solucionar el problema es bastante sencilla, con dos alternativas disponibles.
- Concéntrate en el usuario de riesgo y reduce el riesgo deshabilitando inmediatamente la cuenta local, eliminando los permisos privilegiados y restableciendo la contraseña.
- Adopte un enfoque más sistémico creando una campaña de revisión de acceso (para considerar si se debe restablecer el acceso) o reemplace la cuenta local con una cuenta de usuario federada de Okta y aplique MFA (Autenticación Multifactor).
Ahora veamos cómo se puede implementar este enfoque utilizando la plataforma Okta en un estudio de caso ficticio.
Tutorial: Detección y corrección automática con Okta Identity Security Posture Management y Workflows
Caso de estudio ficticio: ACME Corp
Ali, una empleada de ACME Corp, creó una cuenta local en Microsoft Entra ID con el rol de administrador de la aplicación. Después de la transición a un nuevo rol hace tres meses, su cuenta quedó sin usar y vulnerable:
- Inicio de sesión único no aplicado: La cuenta de Ali permitía el inicio de sesión con nombre de usuario y contraseña en lugar de utilizar métodos sin contraseña como FastPass.
- Falta de políticas de seguridad centralizadas: No se requería MFA para su cuenta.
- Credenciales obsoletas: La contraseña no se había actualizado en meses.
- Acceso privilegiado: Los permisos de administrador de Ali le permitieron crear aplicaciones con acceso a datos confidenciales del usuario.
Este contexto está lejos de ser ideal desde el punto de vista de la postura de seguridad de la identidad.
La perspectiva del atacante
Un atacante potencial podría explotar la cuenta local de Ali aprovechando sus permisos de administrador para crear aplicaciones maliciosas, acceder a datos confidenciales o comprometer otras cuentas de usuario, lo que pondría en grave peligro la seguridad de la organización.
Fortalecimiento de la postura de seguridad de identidad de ACME
El equipo de seguridad de ACME despliega Okta Identity Security Posture Management. La integración con Microsoft Entra ID permite actualizaciones continuas al inventario de identidades, incluyendo la cuenta de usuario local de Ali (ali.lesch@acme.onmicrosoft.com). El equipo también ha configurado Okta Identity Security Posture Management y la plataforma central de Okta para conectarse a través de Workflows usando webhooks.
La solución correlaciona el acceso, los permisos y la postura de seguridad de Ali, confirmando:
- Esta cuenta es local y pertenece a Ali.
- La cuenta no está en uso.
- La Autenticación Multifactor (MFA) no está configurada.
- La contraseña está desactualizada y aparece en listas de contraseñas filtradas.
- La cuenta posee privilegios de administrador.
Tras la detección, se activa una alerta titulada "Administrador no utilizado, sin MFA, contraseña antigua".
- Un enlace de evento etiquetado como "Local Users Remediation" activa un flujo de trabajo automatizado: El flujo de trabajo deshabilita automáticamente la cuenta local de Ali en Entra ID.
- El problema se resuelve posteriormente, mitigando los riesgos potenciales.
Este sencillo ejemplo demuestra la capacidad de Okta Identity Security Posture Management para mostrar a los usuarios de alto riesgo y priorizar la remediación. También muestra el aspecto práctico de la solución y su profunda integración con la plataforma Okta. Tenga en cuenta que la remediación automatizada no se limita a las aplicaciones de Okta. Nuestros clientes pueden integrarse con sus propias soluciones mediante webhooks.
Panorama general: Compromiso de Okta con la identidad segura
Mediante el uso de Okta Identity Security Posture Management para detectar y correlacionar los riesgos, combinado con Okta Workflows para la corrección automatizada, los equipos de seguridad pueden reducir los riesgos de manera efectiva e inmediata.
Okta Identity Security Posture Management es parte del Okta Secure Identity Commitment: el plan a largo plazo de Okta para liderar la lucha contra los ataques de identidad. Estamos armando a los clientes con los productos y servicios que necesitan para proteger la identidad en el panorama de amenazas en constante cambio actual.
Estamos aquí para ayudar, así que comuníquese con su Product Manager para ver cómo Okta Identity Security Posture Management puede afectar su capacidad para administrar su postura de seguridad de identidad y reducir su riesgo de sufrir una infracción.
