Controles de acceso de protección contra la filtración de datos
La filtración de datos es un ataque por el que un actor interno o externo completa una transferencia de datos no autorizada de recursos corporativos confidenciales. La filtración de recursos corporativos confidenciales a menudo se realiza debido a la falta de controles de autenticación y autorización adecuados. Microsoft busca protegerse contra el acceso malintencionado y la filtración de datos a ubicaciones fuera de su ámbito organizativo previsto mediante el uso de un conjunto de controles mitigadores para abordar varios escenarios de riesgo. Al hacerlo, Microsoft admite la posición de defensa en profundidad de sus clientes y reduce la amenaza de la filtración de datos.
En este artículo se proporciona una visión detallada del enfoque holístico que Microsoft adopta para la protección contra la filtración de datos en nombre de sus clientes. Muestra cómo el conjunto de controles de mitigación de Microsoft detecta y evita comportamientos malintencionados, administra el acceso entre inquilinos y protege frente a ataques de reproducción.
Microsoft Defender for Cloud Apps
Las acciones que ponen en peligro la seguridad de los datos del cliente deben detectarse y evitarse. Por ejemplo, los empleados pueden usar una aplicación en la nube no aprobada para almacenar datos corporativos confidenciales o descargar un gran número de archivos confidenciales para la filtración. Estas acciones se pueden evitar mediante Microsoft Defender for Cloud Apps.
Microsoft Defender for Cloud Apps es un agente de seguridad de acceso a la nube (CASB). Los CASB controlan el acceso en tiempo real entre los usuarios empresariales y los recursos en la nube que usan, dondequiera que se encuentren los usuarios e independientemente del dispositivo que usen. Microsoft Defender for Cloud Apps evita la actividad malintencionada en todos los servicios en la nube de Microsoft y de terceros al detectar y proporcionar visibilidad sobre el uso de shadow IT y la aplicación, supervisar las actividades de los usuarios para detectar comportamientos anómalos, controlar el acceso a los recursos, proporcionar la capacidad de clasificar y evitar pérdidas de información confidencial y evaluar el cumplimiento de los servicios en la nube. Microsoft Defender for Cloud Apps admite varios modos de implementación, como la recopilación de registros, los conectores de API y el proxy inverso. Esta oferta de CASB permite a las organizaciones autorizar y bloquear el uso de aplicaciones en la nube especificadas y bloquear las descargas de archivos malintencionados mediante el control de aplicaciones de acceso condicional.
Microsoft Defender for Cloud Apps Control de aplicaciones de acceso condicional (CAAC) usa la arquitectura de proxy inverso para proporcionar las herramientas necesarias para la visibilidad y el control en tiempo real sobre el acceso a y las actividades realizadas dentro de un entorno en la nube. CAAC se puede usar para:
Evitar fugas de datos bloqueando las descargas
Establezca reglas que obligue a los datos almacenados en la nube a protegerse con cifrado.
Resaltar puntos de conexión no protegidos para que las organizaciones puedan supervisar lo que se está haciendo en dispositivos no administrados
Controlar el acceso desde redes no corporativas o direcciones IP de riesgo.
Vuelva a evaluar las directivas de acceso condicional cuando se produzca una acción confidencial en la sesión. Permitir, por ejemplo, la descarga de un archivo altamente confidencial para requerir la autenticación multifactor.
Evaluación continua de acceso
La evaluación continua de acceso (CAE) también puede detectar y evitar el comportamiento de usuario de riesgo que precede a la filtración de datos. CAE trabaja para aplicar directivas de acceso casi en tiempo real en función de las señales de los usuarios, sesiones y dispositivos, y puede revocar las sesiones cuando existe riesgo. Por ejemplo:
Cuando se ha terminado un usuario y su acceso a los recursos corporativos se debe revocar inmediatamente.
Cuando un usuario se autentica dentro del límite corporativo, solo para caminar a través de la calle hasta una cafetería, conectarse a la red más arriesgada mientras todavía se autentica en recursos en la nube que contienen datos confidenciales.
Cuando se elimina o deshabilita una cuenta de usuario.
Cuando se cambia o restablece la contraseña de un usuario.
Cuando el administrador revoca explícitamente todos los tokens de actualización para el usuario.
Cuando se detecta un alto riesgo para el usuario por Protección de Microsoft Entra ID (incumplimiento del dispositivo, viaje imposible, etc.)
CAE también se puede usar para evitar la exportación de tokens, un riesgo común de filtración de datos. Por ejemplo, los tokens de acceso se proporcionan a un usuario autorizado cuando se inicia una sesión. Con las herramientas de desarrollo, estos tokens se pueden exportar fuera de la red interna a usuarios externos que, a continuación, proporcionan el token a un servicio de Microsoft 365, eludiendo Microsoft Entra ID y obteniendo acceso a ese recurso y a los datos que contiene. CAE impide la exportación de tokens mediante la restricción del acceso a los recursos corporativos a direcciones IP de confianza y VPN always-on. En un escenario de exportación de tokens, CAE detectaría la solicitud de acceso procedente de una ubicación no autorizada y revocaría el acceso al recurso, lo que impediría la filtración de datos.
Mitigación del riesgo de acceso no autorizado al inquilino
Microsoft entiende que una parte clave de la empresa implica la colaboración y la comunicación con otras empresas. La colaboración y el acceso de invitado conllevan sus propios riesgos inherentes. Se puede invitar a los empleados a usar sus identidades domésticas para convertirse en invitados de otro inquilino o invitar a los invitados de otro inquilino a sus propios inquilinos. Los empleados también pueden intentar usar las cuentas empresariales de otro inquilino para acceder a dicho inquilino desde dentro de su red, creando un canal de filtración. Los usuarios malintencionados o negligentes también pueden usar sus recursos personales de Microsoft para almacenar datos corporativos confidenciales (por ejemplo, Outlook, OneDrive personal). Por este motivo, Microsoft emplea restricciones de inquilino v2 (TRv2). TRv2 es un plano de control de autorización basado en directivas en la nube que permite controlar el acceso de los empleados a inquilinos externos. Con TRv2, se puede impedir que los usuarios de dispositivos administrados por la organización o dispositivos de la red corporativa accedan a inquilinos externos no autorizadas. Las directivas de acceso entre inquilinos (XTAP) permiten controlar aún más cómo colaborar dentro de los inquilinos de otra organización (salientes) y cómo otras organizaciones colaboran dentro de su propia organización (entrante). Con XTAP, los usuarios pueden convertirse en invitados solo en inquilinos aprobados explícitamente.
TRv2 también se puede usar para evitar la importación de tokens. La importación de tokens tiene lugar cuando un usuario inicia sesión en un inquilino externo no aprobado desde fuera de la red corporativa y, a continuación, su token se envía a un asociado dentro de la red corporativa. A continuación, el usuario de la red corporativa intenta usar el token de acceso para iniciar sesión en un inquilino no aprobado con el fin de la filtración de datos. TRv2 impide la importación de tokens bloqueando que el usuario interno acceda a inquilinos extranjeros no permitidos. En este escenario, el usuario no podría autenticarse en el inquilino externo con el token debido a TRv2.