Compartir a través de

Eliminación del movimiento lateral de la identidad (Iniciativa de futuro seguro)

Nombre del pilar: proteja los inquilinos y aísle los sistemas de producción.
Nombre del patrón: Eliminación del movimiento lateral relacionado con la identidad

Eliminar el movimiento lateral de identidades es un enfoque fundamental del pilar proteger a los inquilinos y aislar los sistemas de producción de la Iniciativa de Futuro Seguro (SFI). Este pilar se centra en minimizar el impacto potencial de los incidentes de seguridad a través de un fuerte aislamiento de inquilinos, segmentación y reducción de la superficie expuesta a ataques.

Contexto y problema

El movimiento lateral de identidades es una táctica que usan los actores de amenazas para aprovechar las credenciales comprometidas para moverse entre sistemas y elevar privilegios. A diferencia de los ataques por fuerza bruta o las vulnerabilidades de seguridad basadas en malware, el movimiento lateral basado en identidades puede combinarse con un comportamiento legítimo del usuario, lo que dificulta la detección e incluso más difícil de detener sin un acceso seguro a la gobernanza.

Los ataques recientes, como el Midnight Blizzard, demostraron cómo se puede habilitar el movimiento lateral a través de cuentas pasadas por alto, acceso de invitado externo o puntos de pivote creados por aplicaciones Entra multiinquilino. Estos escenarios omiten las defensas tradicionales y permiten que los actores de amenazas se muevan a través de los límites de la organización.

Una vez dentro, los atacantes suelen:

  • Apunta a cuentas privilegiadas para aumentar el nivel de acceso

  • Traslado entre inquilinos o servicios mediante credenciales compartidas

  • Abuso de permisos de aplicación o roles mal configurados

  • Permanecer sin ser detectado imitando el comportamiento normal de un inquilino.

Solución

Combinado, los siguientes esfuerzos impiden que las cuentas o aplicaciones en peligro se conviertan en trampolín para el movimiento lateral dentro o entre inquilinos:

  • Crear un estándar de capas de inquilinos que permita a Microsoft clasificar los inquilinos en capas y definir la dirección válida para la creación de la entidad de servicio.

  • Mover los flujos de trabajo y escenarios de soporte al cliente a un entorno dedicado para reducir el riesgo de desplazamiento lateral.

  • Migrar de los protocolos de autenticación heredados y, en su lugar, aplicar autenticación multifactor resistente a suplantaciones para todos los usuarios, incluidas las cuentas de invitado.

  • Segmentación del acceso por cumplimiento de dispositivos, ubicación y nivel de riesgo mediante directivas de acceso condicional.

  • Aplicar privilegios mínimos con controles de acceso basado en rol (RBAC) y asignación de roles con límite de tiempo.

  • Reemplazar las credenciales de aplicación basadas en contraseña por identidades administradas y almacenamiento seguro de claves.

  • Bloquear todas las solicitudes de autenticación de usuarios invitados externos a aplicaciones Entra confidenciales, excepto las aprobadas explícitamente.

Orientación

Las organizaciones pueden adoptar un patrón similar mediante las siguientes prácticas accionables:

Caso de uso Acción recomendada Recurso
Reforzar la autenticación
  • Requerir MFA resistente a la suplantación de identidad (phishing) para todos los usuarios, incluidos los invitados
  • Bloquear la autenticación heredada y aplicar directivas de acceso condicional
  • Vigilar la dark web en busca de filtraciones de credenciales e insistir en una buena higiene de contraseñas para los usuarios.
 Documentación sobre el acceso condicional de Microsoft Entra
Control del acceso con privilegios
  • Uso de Microsoft Entra Privileged Identity Management (PIM) para aplicar el acceso Just-In-Time y Just-Enough
  • Implementación de estaciones de trabajo de administración seguras (SAW) para separar la actividad de administrador del uso diario
  • Limitar los roles de administrador a aplicaciones, grupos o inquilinos específicos mediante unidades administrativas de administración restringida (RMAU)
 ¿Qué es Microsoft Entra Privileged Identity Management?
Entornos de segmentación
  • Separar entornos de producción y no de producción en el nivel de inquilino y dispositivo
  • Aplicación de la segmentación de red en Azure mediante redes virtuales, subredes y grupos de seguridad de red (NSG)
  • Aplicación de directivas basadas en contexto de identidad para el acceso a recursos
 Información general de grupos de seguridad de red de Azure
Mitigación de puntos dinámicos
  • Se prefieren los registros de aplicaciones de un solo inquilino cuando el acceso entre inquilinos no es necesario
  • Revisión y restricción del acceso para aplicaciones multiinquilino y entidades de servicio
  • Desactivar el grupo Entra All Users y aplicar Access Reviews para depurar cuentas de invitados
Supervisión y detección de movimiento
  • Uso de Microsoft Sentinel para detectar un comportamiento anómalo de privilegios, acceso a archivos o identidad
  • Integración de señales de riesgo de Entra ID y análisis de comportamiento del usuario para la detección temprana de amenazas
  • Configuración de alertas para consentimientos de aplicaciones externas, cuentas inactivas y cambios repentinos de privilegios
 Documentación de Microsoft Sentinel

Resultados

Ventajas

  • Rutas pivote reducidas: Los usuarios invitados y las aplicaciones de multitenencia tienen un ámbito estricto y se supervisan activamente.

  • Administración de acceso con privilegios más sólida: Las cuentas de administrador funcionan en contextos seguros (por ejemplo, estaciones de trabajo de administración seguras).

  • Detección mejorada: Identificar y supervisar anomalías de comportamiento y eventos de alto riesgo.

  • Control controlado por directivas: Las herramientas de acceso condicional y gobernanza de identidades aplican la separación de identidades y los límites de actividad.

Ventajas y desventajas

La implementación requiere:

  • Coordinación entre varios equipos de seguridad e identidad para aplicar controles de aplicaciones y acceso condicional

  • Aplicación de directivas de autenticación más estrictas, que afectaron al acceso de invitado y a los flujos de trabajo de colaboración.

  • Migración desde aplicaciones heredadas que usan contraseñas o secretos débiles

  • Inversión en herramientas de gobernanza para automatizar las revisiones y la administración del ciclo de vida de las aplicaciones, los usuarios y el acceso de invitado

Factores clave de éxito

Supervise los siguientes KPI:

  • Reducción de los usuarios invitados con acceso elevado o de grupo

  • Número de directivas de acceso condicional activas aplicadas a aplicaciones y roles de administrador

  • Cobertura de MFA en todos los tipos de identidad

  • Frecuencia de eventos de respuesta a incidentes relacionados con la identidad

  • Porcentaje de acciones con privilegios que se originan en dispositivos seguros y segmentados

  • Volumen de intentos de autenticación entre inquilinos bloqueados

Resumen

Cuando los actores maliciosos pueden moverse lateralmente a través de la red, pueden acceder a activos digitales sensibles, brechar datos e interrumpir operaciones. Con credenciales robadas, pueden elevar sus privilegios y manipular sistemas back-end con fines malintencionados. Este tipo de movimiento lateral es difícil de detectar porque se parece al comportamiento estándar del usuario.

Comience a eliminar los caminos para el movimiento lateral de identidad en la actualidad y proteja cada ruta de acceso, aplicación y cuenta contra intrusiones silenciosas.

  • Last updated on