Llegamos a ustedes gracias a:



Reportajes y análisis

MFA: Prácticas para implementarla en redes Microsoft

[25/06/2022] Microsoft pronto cambiará el mandato de autenticación de múltiples factores (MFA, por sus siglas en inglés) con cambios en los valores predeterminados de Microsoft 365. Como señala Microsoft, "cuando analizamos las cuentas hackeadas, más del 99,9% no tiene MFA, lo que las hace vulnerables a la difusión de contraseñas, el phishing y la reutilización de contraseñas. En función de los patrones de uso, comenzaremos [a exigir MFA] con organizaciones que se ajusten bien a los valores predeterminados de seguridad. Específicamente, comenzaremos con los clientes que no utilizan el acceso condicional, que no han utilizado los valores predeterminados de seguridad antes y que no utilizan activamente clientes de autenticación previos.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Microsoft notificará a los administradores globales de los usuarios elegibles por correo electrónico. "Después de habilitar los valores predeterminados de seguridad, se solicitará a todos los usuarios del tenant que se registren en MFA. Nuevamente, hay un período de gracia de 14 días para el registro. Se solicita a los usuarios que se registren mediante la aplicación Microsoft Authenticator y, además, a los administradores globales se les solicita un número de teléfono. Si no ha iniciado las implementaciones de MFA, este es el momento de hacerlo. Los atacantes están utilizando ataques de phishing para perseguir cuentas desprotegidas y MFA es una forma clave de proteger el acceso de los usuarios.

¿Todavía puede deshabilitar la autenticación de múltiples factores si decide aceptar el riesgo? Sí, pero esto significa que su empresa estará vulnerable a las campañas de phishing. Las cuentas de usuario y los inicios de sesión son el nuevo punto de entrada para muchos ataques en una red.

Determinar el método de autenticación de múltiples factores

La implementación de MFA significa que debe determinar qué proceso de autenticación soportará. Los investigadores a menudo afirman que los mensajes SMS no son seguros. Hace años, los atacantes pudieron eludir el MFA basado en SMS utilizando un componente de proxy inverso. En realidad, solo necesita estar lo suficientemente seguro.

Al igual que con muchas decisiones de seguridad, debe realizar un análisis de riesgo de quién necesita la mejor seguridad y quién requiere una seguridad lo suficientemente buena. Si cree que algunos de sus usuarios tendrán como objetivo el uso de aplicaciones MFA, puede usar dispositivos como Yubikeys. Los usuarios y consultores pueden señalar que MFA no es a prueba de balas. Puede ser atacado y falsificado. La idea es que desee ser un poco mejor que el próximo dominio o implementación en la nube.

Usar reglas de acceso condicional

Si agrega la licencia P1 de Azure Active Directory (ya incluida en los suscriptores premium de Microsoft 365 Business), puede agregar reglas de acceso condicional que le permitan proporcionar ubicaciones en la lista blanca. Por lo tanto, con el fin de proteger el acceso remoto al correo electrónico, usted puede configurar MFA solo para usuarios remotos. Estas políticas de acceso condicional pueden ser más detalladas para permitir que los usuarios accedan a los recursos mientras equilibran las necesidades de MFA. Por ejemplo:

  • Requerir MFA para usuarios con roles administrativos
  • Requerir MFA para tareas de administración de Azure
  • Bloquear inicios de sesión para usuarios que intentan usar protocolos de autenticación previos
  • Requerir ubicaciones de confianza para el registro de Azure AD MFA
  • Bloquear o conceder acceso desde ubicaciones específicas
  • Bloquear comportamientos riesgosos para el inicio de sesión
  • Requerir dispositivos administrados por la organización para aplicaciones específicas

Evaluar los requisitos de hardware del usuario

Al implementar MFA, tenga en cuenta el hardware que puede necesitar. Es posible que deba proporcionar teléfonos celulares a sus empleados para que puedan usar una aplicación MFA. Si no les proporciona un teléfono celular y ordena MFA para que tengan que usar sus teléfonos personales, es posible que deba reembolsarlos por un uso razonable de sus activos personales. También puede implementar tokens como Yubikey, que soporta la autenticación con Azure AD.

Considere las necesidades de backup y redespliegue

Al decidir sobre el dispositivo o el token, también debe planificar los backups y el redespliegue. Por ejemplo, se recomienda tener al menos dos Yubikeys por usuario para que la persona tenga un backup. Algunas implementaciones soportan más de dos tokens de este tipo en la cuenta de usuario. Si usa la aplicación Microsoft Authenticator, es posible que deba planear hacer un backup usando una cuenta local de Microsoft si usa un iPhone.

Además, la migración entre iPhone y Android no es un proceso directo de backup y restauración. Su backup se almacena en iCloud para iOS y en el proveedor de almacenamiento en la nube de Microsoft para Android. Esto significa que su backup no está disponible si cambia entre dispositivos Android y iOS. Si realiza el cambio, debe volver a crear manualmente sus cuentas dentro de la aplicación Microsoft Authenticator. Asegúrese de educar a sus usuarios de MFA sobre estos problemas de implementación con anticipación para que conozcan los problemas y planifiquen en consecuencia.

Microsoft está elevando los estándares para proteger la autenticación del usuario. Este año, haga que sea una prioridad garantizar que los usuarios estén protegidos contra tales ataques. Un simple nombre de usuario y contraseña ya no son suficientes.

Puede ver también: