A medida que las empresas se esfuerzan por mantenerse al día en un mundo donde se da prioridad a la nube y a la movilidad, la seguridad y el cumplimiento adquieren una posición de vital importancia.
Por tanto, al mismo tiempo que el trabajo móvil se convierte en una parte integral del negocio, los dispositivos y aplicaciones de los empleados pasan a estar en la primera línea de defensa frente a una gran cantidad de amenazas cada vez más avanzadas. De hecho, estos ataques maliciosos son un riesgo inasumible para las empresas tanto por cuestiones de seguridad como de legalidad, puesto que, además de los graves problemas que conlleva la fuga de datos confidenciales, tras la llegada del GDPR, las empresas se enfrentan a cuantiosas sanciones económicas y a la inherente penalización por parte de sus clientes y el mercado.
Para hacer frente a estos desafíos de seguridad, Microsoft nos ofrece Enterprise Mobility + Security (en adelante EMS), una plataforma de seguridad, basada en la identidad, diseñada para ayudar a las empresas a administrar y proteger sus dispositivos, aplicaciones y datos corporativos.
Concretamente EMS ofrece a las empresas capacidades de seguridad a través de diferentes líneas de defensa (el llamado principio de «defensa en profundidad«), de manera que todas las líneas se complementan entre sí (y si por cualquier motivo una se supera por una amenaza, la siguiente línea puede ser la que nos evite el desastre).
EMS se compone de 4 áreas de protección que te ayudarán a seguir con la transformación digital de tu organización, de manera segura:
Gestión de identidad y acceso
Con la creciente popularidad de aplicaciones en la nube, redes sociales y portales web, que usamos en nuestro día a día accediendo con diferentes credenciales (usuario) pero a menudo, reutilizando la misma contraseña (evitando tener que recordar tantas). Esta manera de actuar de los usuarios en su vida personal conlleva un riesgo enorme. ¿Por qué? De entrada, el número de filtraciones (conocidas) de datos de usuarios de grandes redes sociales y servicios de consumidor de los últimos 12 meses son elevadísimas («Google Plus», «Facebook», «Movistar», «IESE», «Adidas», «Job Talent», «Ticketmaster», «myHeritage», entre muchos otros), por lo que la amenaza de seguridad para las empresas es enorme ya que los ciberdelincuentes , una vez disponen de un usuario y contraseña personal, averiguan fácilmente donde trabaja esa persona y luego prueban con la misma contraseña para acceder a la información sensible de las empresas donde trabajan, acertando en muchos casos. Paralelamente, los ciberdelincuentes también usan las campañas masivas de envío de correos falsos solicitando a nuestros usuarios (a su email corporativo o personal), entrar en cualquier sitio para poder robarles una contraseña. Y cada vez lo hacen mejor.
Para evitar el riesgo que todo ello conlleva, es necesario proteger la identidad de nuestros usuarios corporativos y para ello EMS incluye Azure Active Directory Premium (AAD Premium) , que ayuda a garantizar el acceso a las aplicaciones y datos solo a las personas que realmente son quienes dicen ser.
Además, nos ofrece la capacidad de aplicar restricciones más inteligentes mediante tres características clave:
«Acceso condicional«: Antes, las empresas solo podían pedir cosas del estilo: «Que los usuarios solo puedan acceder desde dentro de la empresa!», pero ahora… nos pueden pedir: «Qué los usuarios puedan acceder desde fuera de la empresa, pero estableciendo condiciones según necesidad» (solo desde dispositivos corporativos o personales autorizados, solo desde ubicaciones conocidas, obligando a usar multi-factor y/o impidiendo extraer información, entre otros requisitos). Haciendo un símil, puedes pensar en el acceso condicional de Azure AD como el portero de seguridad de un edificio, pues da la bienvenida a los buenos vecinos mientras desafía a otros a confirmar su identidad y negar la entrada a los completamente desconocidos, o… tal vez los deje pasar, avisándonos que sube y acompañándolo.
«Protección de identidad«: Los criminales intentan casi 100 millones de inicio de sesión fraudulentos al día y deberíamos saber si alguno nos impacta. Para ello, los informes de «Protección de identidad» , nos ofrecen inteligencia para detectar e informar a IT de inicios de sesión sospechosos tales como los que implicarían la realización de un viaje a un lugar extraño hasta la fecha o imposible por el tiempo entre un inicio de sesión y otro (detectando la intrusión por la probabilidad de que puedan ser en realidad personas distintas) o localizando contraseñas de usuarios en venta por internet. Además, junto al «Acceso condicional«, nos ofrece la potencia para permitir a los usuarios que se conecten siempre y cuando no haya riesgo en su sesión (por ejemplo, si lo hicieran desde un equipo con virus o malware) o solo dejándoles conectar si se cambian su contraseña cuando el sistema sepa que se la han robado. Haciendo un símil, esta prestación sería como un vigía que observa y proporciona información relevante sobre lo que está sucediendo en el entorno, para que se pueda actuar en consecuencia.
«Gestión de identidades privilegiadas«: Que una cuenta quede comprometida es siempre una posibilidad y la mejor manera de reducir el riesgo es asumir que ha habido una brecha o que la habrá. Pero, si una cuenta comprometida de un usuario es un problema, si ésta tiene privilegios administrativos la situación pasa a ser catastrófica, por lo que es crítico minimizar la posibilidad de que una cuenta comprometida acabe teniendo permisos administrativos sin control. Esta herramienta precisamente nos ofrece asegurar que tenemos el mínimo número de usuarios administradores, pudiendo ofrecer puntualmente permisos administrativos, en el momento que se requiere, solo temporalmente e incluso automáticamente (bajo ciertas circunstancias). Haciendo un símil, sería como cuando se entrega una tarjeta inteligente para entrar en el Spa del hotel, pero una vez finalizada nuestra estancia , la tarjeta deja de funcionar.
Resumen de características:
- Autenticación en dos pasos.
- Acceso condicional: Control en tiempo real, basado en riesgos
- Validación sin contraseña (usando el móvil).
- Protección de identidad (alertas de comportamientos anómalos, credenciales comprometidas y vulnerabilidades).
- Inicio de sesión único para todas las aplicaciones (incluso aps no Microsoft).
- Gestión de identidades privilegiadas (Habilitar permisos temporales de administrador bajo demanda para tareas concretas).
Protección de la información
Aunque seamos capaces de asegurar que la persona que accede a nuestros datos es quien dice ser y además que lo hace desde un dispositivo seguro, el riesgo continúa pues el usuario puede compartir un documento con alguien externo que pueda no estar tan bien protegido (o potencialmente pueda hacer un uso inadecuado de la información facilitada).
Para ello EMS incluye Azure Information Protection, un servicio en la nube de Microsoft que permite a las empresas proteger sus datos confidenciales mediante encriptación (estén en local o en la nube), asegurando que, aunque el documento salga de la organización hacia un entorno no seguro, solo los usuarios autorizados podrán acceder al mismo. Además, podremos delimitar las acciones que podrán llevar a cabo las personas autorizadas y continuar teniendo el documento (y sus copias), siempre bajo nuestro control, allí donde esté, aunque físicamente no tengamos acceso al mismo.
Resumen de características:
- Protección de los datos mediante cifrado, autenticación y derechos de uso.
- Clasificación inteligente y etiquetado automatizado de los datos.
- Visualizar desde dónde se están abriendo los documentos y por quien (esté donde esté el documento).
- Ayuda al cumplimiento del GDPR facilitando la detección y protección de los datos personales.
- Revocar el acceso a todas las copias de un documento (incluso si físicamente estan fuera de la organización).
Siguiendo las analogías, puede pensar en Azure Information Protection como el sistema que asegura que nuestro maletín , que contiene documentación altamente sensible, se convierta en polvo en caso de que caiga en manos equivocadas.
Seguridad inteligente
EMS ofrece visibilidad de todo lo que sucede con nuestros datos en la nube (estén donde estén), detección de amenazas y prevención de ataques a través de las soluciones: Microsoft Cloud App Security, Advanced Threat Analytics (ATA) y Azure Advanced Threat Protection (Azure ATP).
Microsoft Cloud App Security (MCAS)
¿Qué sucede si un empleado, correctamente identificado y autentificado, hace algo incorrecto con tus datos? Es más.. ¿Qué pasaría si ese empleado ya no es leal o actúa bajo coacción? o.. ¿Qué pasa si su equipo no estuviera correctamente protegido y un malware estuviera leyendo datos en su nombre? Aquí es donde intervendría Cloud App Security.
Concretamente, Cloud App Security proporciona a los departamentos IT visibilidad y control sobre las aplicaciones en la nube que usan los usuarios de tu organización (las permitidas y .. las no permitidas). De este modo, por un lado, podrás restringir el acceso a las que no autorices y por otro podrás observar la actividad que realizan los usuarios con los datos de las aplicaciones permitidas, identificando actividades sospechosas y posibles amenazas antes de que se conviertan en realidad. Por ejemplo, Microsoft Cloud App Security podrá indicarte que hay un determinado usuario que está descargando gran cantidad de información fuera de la empresa (incluso, si la situación es demasiado anómala, podrá cerrarle la sesión), o podrás limitar que no sea posible acceder a según que aplicaciones desde fuera de tu organización o desde equipos desconocidos.
MCAS , aparte de Office 365 y Azure, proporciona visibilidad de actividad para aplicaciones cloud populares como Dropbox, G Suite, AWS, Salesforce y muchas más.
Microsoft Cloud App Security incluye:
- Detección de aplicaciones en la nube para control del ShadowIT
- Protección de la información mediante políticas de prevención de pérdida de datos (DLP)
- Visibilidad de la actividad de los usuarios en las aplicaciones en la nube.
- Evaluación de riesgos de aplicaciones.
Microsoft Cloud App Security es, siguiendo los símiles, como el guardaspaldas que acompaña siempre a una persona para que no haga ni sufra ningún daño.
Advanced Threat Analytics y Azure Advanced Threat Protection
Todas las líneas de defensa descritas en este artículo proporcionan una protección muy efectiva para tu organización. No obstante, el comportamiento de los usuarios (por ejemplo caer en un ataque de phishing o reutilizar contraseñas en sitios web inseguros), las posibles vulnerabilidades en VPN’s e infraestructura de servidores (especialmente los controladores de dominio – con su directorio activo local) y otros ataques creativos por parte de los ciberdelincuentes, proporcionan vías alternativas para que puedan entrar hasta la «cocina».
Los atacantes, en esos casos, se mueven rápido.. y una vez obtienen las credenciales de cualquier usuario, (a menudo a través de VPN’s vulnerables o sin autenticación protegida mediante multi-factor), logran asignarse privilegios de administrador (con la ayuda de archivos de log, datos residentes en memoria, archivos no encriptados y otros mecanismos), y … ya los tenemos dentro, sin poder hacer nada (y por un tiempo superior a 140 días, de media, hasta ser descubiertos). Es más, debido a que muchas empresas todavía tienen infraestructura local, desafortunadamente, cuando se trata de ataques on-premise, «las barreras de red / firewalls» que tienen las empresas para mantenerse teóricamente a salvo, impiden en realidad y por motivos técnicos, que productos cloud inteligentes (como AAD Identity Protection, Acceso Condicional de Azure AD y Cloud App Security) puedan usarse para ayudar a mantener seguros los datos alojados físicamente en su organización.
Tu infraestructura on-premise representa el mayor riesgo, por lo que tener una respuesta rápida para estas intrusiones es la mejor estrategia. Afortunadamente, Advanced Threat Analytics (ATA) y la versión en la nube, Azure Advanced Threat Protection (Azure ATP), permiten ayudar a las empresas a detectar rápidamente un intento de penetración en una infraestructura on-premise analizando ataques avanzados , principalmente en nuestros controladores de dominio. La diferencia entre ambos productos es que ATA (incluido en EMS E3) necesita instalarse en infraestructura local requiriendo servidor y almacenamiento relevante para muchos datos, mientras que Azure ATP (incluido en EMS E5), almacena los datos y opera totalmente desde la nube, sin necesidad de infraestructura local.
ATA y Azure ATP ofrecen entre otras características:
- Detección de actividad sospechosa de usuarios y dispositivos, basado en histórico de la empresa, aprendizaje automático y inteligencia de amenazas.
- Monitorización de los múltiples puntos de entrada de la empresa a través de la integración con Microsoft Defender ATP (solo Azure ATP).
- Detección de rutas de desplazamiento lateral a cuentas con permisos de administrador.
- Futura integración con AAD (solo Azure ATP)
- Alertas con información clara y en tiempo real de los ataques a la empresa para responder con rapidez.
Al final, ATA / Azure ATP es como el vigilante escondido en nuestra casa, capaz de alertarnos rápidamente si un atacante ha roto alguna barrera de seguridad.
Protección en movilidad
Aunque estemos seguros que una identidad no ha sido comprometida y que la persona que accede a nuestros datos sea quien dice ser, existe siempre la posibilidad de que un usuario se descargue información en un dispositivo inseguro (sin encriptar y/o sin pin) o peor aún, ya comprometido.
Por ejemplo, si un usuario se está sincronizando el correo corporativo en su teléfono personal y éste no tiene pin, cualquiera que coja esa teléfono va a tener acceso total al buzón de correo de la empresa. O, si el usuario se ha descargado un documento con contenido muy sensible (contratos, excel de nóminas, ..) en su dispositivo personal y el portátil (o teléfono), se pierde o se roba, esos documentos caerán en manos equivocadas. Es más, actualmente muchos dispositivos se usan como factor de validación de seguridad así que, tenerlos sin protección y con malware que es capaz de interceptar las credenciales del usuario cada vez que se conecta a algún servicio, es una gran amenaza.
Por todos estos motivos, como uno de los puntos de acceso a los recursos corporativos es a través de dispositivos tanto de la empresa como de los empleados (móviles, tabletas o portátiles), la gestión de dichos dispositivos para garantizar el cumplimiento de ciertos parámetros (como que tengan pin, estén encriptados o no tengan virus ni malware), mantener el control en caso de pérdida o robo junto a la capacidad de decidir las aplicaciones que pueden usarse desde los mismos (y cómo y desde dónde), es una parte esencial de la estrategia de seguridad de la empresa para evitar fugas de información. Todo ello es lo que nos ofrece EMS dentro de Microsoft Intune.
Microsoft Intune incluye entre otras características:
- Administración de qué aplicaciones y cómo pueden usarse en los dispositivos móviles.
- Aislamiento de los datos corporativos y los datos personales dentro de la misma aplicación (Tanto en la misma aplicación como en otras aplicaciones que no sean de empresa)
- Borrado selectivo de datos corporativos en dispositivos móviles perdidos o robados.
- Gestión de dispositivos móviles (iOS, Android, MacOS y W10).
Mediante otra analogía, puede pensar que Intune garantiza la integridad de nuestro maletín y su cerradura, lo que ayuda a proteger la seguridad de lo que hay dentro.
¿Cómo se licencia EMS?
Este producto tiene dos versiones:
- EMS E3: Incluye Azure Active Directory Premium P1, Intune, Azure Information Protection P1, Advanced Threat Analytics y derechos para Windows Server CAL.
- EMS E5: Incluye Azure Active Directory Premium P2, Intune, Azure Information Protection P2, Microsoft Cloud App Security, Azure Advanced Threat Protection y derechos para Windows Server CAL.
Asimismo, EMS va incluido en las siguientes suites:
- MICROSOFT 365 E3: Incluye EMS E3, Office 365 E3 y Windows 10 E3.
- MICROSOFT 365 E5: Incluye EMS E5, Office 365 E5 y Windows 10 E5.
Conclusiones
La cruda verdad es que la velocidad y la sofisticación de los ataques está aumentando y juntamente con los riesgos derivados de errores humanos (en contraseñas o compartiendo información), facilita al enemigo múltiples formas de acceder a nuestros datos. Sí, el enemigo está ahí afuera o .. tal vez ya dentro, así que, nuestra recomendación es seguir una estrategia que suponga que tenemos una brecha y pensar que ninguna defensa será suficiente.
¿Quieres saber más? Contacta con nosotros.
