ΒΏQuΓ© es el control de acceso adaptativo?
Whatβs inside?
- 1. ΒΏCΓ³mo se diferencia el control de acceso adaptativo del control de acceso tradicional?
- 2. SeΓ±ales de riesgo utilizadas en decisiones de control de acceso adaptativo
- 3. CΓ³mo funciona el Control de Acceso Adaptativo
- 4. Acciones Comunes de AplicaciΓ³n Adaptativa
- 5. DΓ³nde el Control de Acceso Adaptativo Ofrece Mayor Valor
- 6. Errores Comunes y CΓ³mo Evitarlos
- 7. Preguntas Frecuentes sobre el Control de Acceso Adaptativo
- 8. ΒΏCΓ³mo deben las organizaciones implementar polΓticas de control de acceso adaptativo?
El control de acceso adaptativo ajusta los requisitos de acceso al nivel de riesgo asociado con una solicitud de acceso. Por ejemplo, un usuario que inicia sesiΓ³n desde un dispositivo desconocido o una ubicaciΓ³n inusual puede necesitar realizar pasos adicionales de autenticaciΓ³n. AdemΓ‘s, si el contexto cambia despuΓ©s del inicio de sesiΓ³n inicial, las decisiones de acceso pueden ser reevaluadas, forzando autenticaciones adicionales en puntos de control particulares, al realizar acciones sensibles o despuΓ©s de una actualizaciΓ³n de sesiΓ³n.
El control de acceso adaptativo puede utilizar una variedad de seΓ±ales para evaluar el riesgo, incluyendo la postura del dispositivo, el comportamiento del usuario, el riesgo de identidad, la sensibilidad de los recursos y el contexto de ubicaciΓ³n. Si una solicitud de acceso se evalΓΊa como riesgosa, el sistema puede requerir verificaciΓ³n adicional, reducir el acceso y los permisos del usuario, o bloquear o terminar completamente la sesiΓ³n.
ΒΏCΓ³mo se diferencia el control de acceso adaptativo del control de acceso tradicional?
El control de acceso tradicional a menudo implicaba una ΓΊnica decisiΓ³n de acceso al comienzo de la sesiΓ³n del usuario. Una vez que se aprueba el acceso, no hay monitoreo continuo, y los usuarios solo estΓ‘n restringidos por el acceso y los privilegios asignados a su cuenta.
Este enfoque para la gestiΓ³n de identidad y acceso (IAM) introduce un riesgo significativo si un atacante puede engaΓ±ar la autenticaciΓ³n inicial o tomar el control de una sesiΓ³n aprobada. El control de acceso adaptativo realiza un monitoreo continuo y consciente del contexto, permitiendo que las decisiones de acceso se tomen a lo largo de la sesiΓ³n de un usuario en lugar de solo al principio.
ΒΏQuΓ© cambia cuando el acceso se vuelve basado en riesgo?
La gestiΓ³n de acceso tradicional a menudo dependΓa ΓΊnicamente de roles y grupos. El control de acceso basado en roles (RBAC) asigna privilegios a un rol particular y usuarios a ese rol tambiΓ©n. Si un usuario autenticado realiza una solicitud, se evalΓΊa en funciΓ³n de los privilegios asignados a ese rol.
Con decisiones de acceso basadas en riesgo, se incluyen seΓ±ales y contextos adicionales dentro de la decisiΓ³n de acceso. Las solicitudes de acceso de mayor riesgo, como aquellas que provienen de un dispositivo desconocido, pueden requerir verificaciΓ³n adicional que la misma solicitud de un dispositivo conocido y ubicaciΓ³n normal.
ΒΏCΓ³mo se relaciona el control adaptativo con RBAC y ABAC?
RBAC y el control de acceso basado en atributos (ABAC) definen el modelo de polΓtica base para la gestiΓ³n de acceso. Especifican si un usuario debe o no tener acceso si el sistema estΓ‘ seguro respecto a la identidad del usuario.
El control de acceso adaptativo se basa en esto al considerar el riesgo de identificaciΓ³n errΓ³nea. Cuanto mΓ‘s inusual y arriesgada sea la solicitud, mayor serΓ‘ la carga de la prueba para lograr esa confianza en la identidad del usuario.
SeΓ±ales de riesgo utilizadas en decisiones de control de acceso adaptativo
El control de acceso adaptativo puede utilizar una variedad de seΓ±ales diferentes para evaluar el riesgo asociado con una solicitud de acceso. Algunos de los tipos de seΓ±ales mΓ‘s comunes incluyen:
- Postura del dispositivo
- Comportamiento del usuario
- Contexto de ubicaciΓ³n
- Riesgo de identidad
- Sensibilidad del recurso
Estas seΓ±ales pueden ayudar a determinar si una solicitud es particularmente arriesgada y si un usuario es probable que sea quien dice ser. Sin embargo, la calidad y la cobertura de las seΓ±ales son significativamente importantes, ya que los datos de baja calidad o incompletos pueden resultar en una puntuaciΓ³n de riesgo inexacta.
ΒΏQuΓ© seΓ±ales del dispositivo indican mayor o menor confianza?
Las seΓ±ales del dispositivo incluyen informaciΓ³n sobre el propio dispositivo que puede indicar si representa un riesgo para el negocio y si es probable que sea un dispositivo legΓtimo. Las consideraciones clave incluyen:
- Dispositivos gestionados vs. dispositivos no gestionados
- Presencia de agentes de seguridad empresarial
- Estado de parches
- Indicadores de dispositivos con root o desbloqueados
- Estado del certificado
Si estΓ‘ disponible, esta informaciΓ³n ofrece una visiΓ³n del nivel de seguridad del dispositivo que realiza la solicitud de acceso. Si no se puede recopilar esta informaciΓ³n, entonces pueden ser necesarias acciones de autenticaciΓ³n adicionales, o el sistema puede limitar el conjunto de acciones que el usuario estΓ‘ autorizado a realizar con ese dispositivo. Por ejemplo, a los usuarios autenticados en un dispositivo desconocido se les puede conceder acceso solo de lectura a ciertos tipos de datos.
ΒΏQuΓ© seΓ±ales de comportamiento sugieren compromiso o uso indebido?
Las seΓ±ales de comportamiento se centran en indicios de que una cuenta de usuario o un dispositivo ha sido comprometido por un atacante. Las seΓ±ales comunes incluyen:
- Viaje imposible
- Horarios de acceso anormales
- Patrones de acceso a recursos inusuales
- Verificaciones fallidas repetidas
Estos tipos de seΓ±ales se utilizan comΓΊnmente para determinar si se requiere autenticaciΓ³n adicional o contenciΓ³n de sesiΓ³n. Por ejemplo, las solicitudes de acceso fuera del horario laboral normal pueden requerir pasos de autenticaciΓ³n adicionales.
ΒΏQuΓ© seΓ±ales de contexto de ubicaciΓ³n y red son mΓ‘s importantes?
Los sistemas de autenticaciΓ³n adaptativa tambiΓ©n pueden utilizar la ubicaciΓ³n y el contexto de la red para sus decisiones de acceso. Estas pueden incluir:
- GeolocalizaciΓ³n desconocida
- Sistema autΓ³nomo (ASN) arriesgado
- Huella de proveedor/hosting arriesgada
- Uso de anonimizadores
- Tipos de red inesperados
La informaciΓ³n de ubicaciΓ³n a menudo es imperfecta, pero puede proporcionar pistas de que una cuenta ha sido comprometida por un atacante. Por esta razΓ³n, estos datos deben combinarse con otras seΓ±ales para tomar decisiones sobre riesgos. Por ejemplo, las solicitudes de acceso desde ubicaciones inusuales podrΓan ser un intento de ataque o un empleado viajero trabajando de forma remota.
ΒΏQuΓ© seΓ±ales de riesgo de identidad son importantes?Β
Las seΓ±ales de riesgo de identidad ayudan a identificar cuentas que son mΓ‘s propensas a ser comprometidas por un atacante. Los ejemplos incluyen:
- ContraseΓ±as incluidas en violaciones pasadas
- Indicadores de fatiga de MFA
- Uso de mΓ©todos de autenticaciΓ³n riesgosos
- Uso anΓ³malo de tokens de autenticaciΓ³n
- Solicitudes de acceso desde direcciones IP conocidas como malas
- Solicitudes de autenticaciΓ³n fallidas repetidas
Estas seΓ±ales ayudan a identificar cuentas que son altamente riesgosas. Estas seΓ±ales se centran en la seguridad de cuentas y credenciales en lugar de la postura del dispositivo.
ΒΏCΓ³mo cambia la sensibilidad de los recursos la aplicaciΓ³n de las normas?
Una evaluaciΓ³n de riesgos tambiΓ©n puede verse afectada por la sensibilidad de los activos solicitados. Ejemplos de activos de alto riesgo incluyen:
- Datos de nΓ³mina
- Consolas de administraciΓ³n
- PII de clientes
- Acciones financieras
- Exportaciones masivas de datos
Las solicitudes para estas acciones pueden requerir autenticaciΓ³n adicional simplemente debido al riesgo adicional que representan para el negocio. Esto incluye aplicar controles mΓ‘s estrictos incluso para el mismo usuario y dispositivo en solicitudes de menor riesgo.
CΓ³mo funciona el Control de Acceso Adaptativo
El control de acceso adaptativo gestiona continuamente el acceso a los recursos de una organizaciΓ³n. Recoge seΓ±ales, calcula un puntaje de riesgo, toma las acciones de cumplimiento necesarias y repite este proceso a lo largo de la sesiΓ³n del usuario.
ΒΏCΓ³mo se recogen y normalizan las seΓ±ales?
Las seΓ±ales se recogen de una variedad de fuentes diferentes. Algunas provienen del dispositivo del usuario, mientras que otras rastrean informaciΓ³n sobre su identidad o provienen de fuentes de terceros.
Los sistemas de control de acceso adaptativo normalizan estos datos convirtiendo la informaciΓ³n de mΓΊltiples fuentes en entradas consistentes para el motor de polΓticas. En caso de que falte informaciΓ³n, estas lagunas se manejan explΓcitamente en lugar de asumirse como seguras.
ΒΏCΓ³mo se toman las decisiones de riesgo?
Las decisiones de riesgo pueden tomarse de varias maneras diferentes. Algunas pueden involucrar umbrales o niveles de riesgo, mientras que otras pueden tener requisitos para escenarios especΓficos. Por ejemplo, el acceso a recursos altamente sensibles puede siempre activar la autenticaciΓ³n reforzada incluso si el puntaje de riesgo general es relativamente bajo.
Estos riesgos tambiΓ©n pueden evaluarse de manera individual por usuario, dispositivo, sesiΓ³n o recurso. Esto puede incluir generar una matriz de polΓticas o umbrales para definir las diversas situaciones y las acciones de cumplimiento requeridas.
ΒΏDΓ³nde puede ocurrir el cumplimiento?
Las acciones de cumplimiento pueden ocurrir al iniciar sesiΓ³n o en varios puntos a lo largo de la sesiΓ³n del usuario. Por ejemplo, el sistema puede requerir autenticaciΓ³n reforzada a mitad de sesiΓ³n o limitar las acciones que un usuario podrΓa realizar a lo largo de toda su sesiΓ³n.
TambiΓ©n existe la posibilidad de que las solicitudes de acceso sean bloqueadas por completo o que una sesiΓ³n se termine prematuramente. Sin embargo, esto es mΓ‘s comΓΊn para puntajes de alto riesgo o para solicitudes arriesgadas a recursos altamente sensibles.
Acciones Comunes de AplicaciΓ³n Adaptativa
Las acciones de aplicaciΓ³n adaptativa pueden abarcar desde el fortalecimiento de la autenticaciΓ³n hasta la denegaciΓ³n completa de una solicitud de acceso. Las polΓticas deben definir la acciΓ³n de aplicaciΓ³n apropiada para varios escenarios.
ΒΏCuΓ‘ndo deben las polΓticas activar la verificaciΓ³n adicional?
La verificaciΓ³n adicional requiere pasos de autenticaciΓ³n adicionales, como realizar MFA. EstΓ‘ diseΓ±ada para limitar la fricciΓ³n en la experiencia del usuario al requerir estos pasos adicionales solo cuando los puntajes de riesgo lo justifican.Β
Por ejemplo, las solicitudes de acceso desde un nuevo dispositivo o para una acciΓ³n sensible pueden requerir verificaciΓ³n adicional. Esto proporciona una forma de bajo impacto para gestionar el riesgo sin causar daΓ±o adicional a la experiencia del usuario.
ΒΏCuΓ‘ndo deben las polΓticas restringir acciones en lugar de bloquear el acceso?
Restringir las acciones que un usuario puede realizar dentro de una sesiΓ³n ofrece un tΓ©rmino medio entre el acceso completo y la terminaciΓ³n de la sesiΓ³n. Por ejemplo, ofrecer acceso solo de lectura, bloquear descargas o limitar operaciones administrativas son formas de gestionar los posibles impactos de una cuenta comprometida.
Estas restricciones se aplican generalmente a recursos altamente sensibles o cuando se han observado seΓ±ales de riesgo en una sesiΓ³n. Gestionan la exposiciΓ³n al riesgo de la organizaciΓ³n mientras causan menos interrupciΓ³n al negocio que un bloqueo completo.
ΒΏCuΓ‘ndo es la contenciΓ³n de sesiΓ³n la opciΓ³n correcta?
La contenciΓ³n de sesiΓ³n es una herramienta para limitar la amenaza potencial que representa una sesiΓ³n arriesgada. Esto puede incluir la implementaciΓ³n de vidas ΓΊtiles de sesiΓ³n cortas, forzar la reautenticaciΓ³n o terminar sesiones cuando sea necesario.
A menudo, la contenciΓ³n de sesiΓ³n se utiliza en situaciones donde los puntajes de riesgo aumentan en medio de una sesiΓ³n. Estos controles reducen los impactos potenciales de un ataque y simplifican la respuesta a incidentes.
DΓ³nde el Control de Acceso Adaptativo Ofrece Mayor Valor
El control de acceso adaptativo estΓ‘ diseΓ±ado para ayudar a implementar el principio de menor privilegio y reducir el riesgo de abuso o ataques de toma de control de cuentas. Cuando se implementa correctamente, equilibra la seguridad y la experiencia del usuario, reduciendo la carga en los servicios de asistencia de TI y los equipos de seguridad.
ΒΏCΓ³mo Reduce el Impacto de la Toma de Control de Cuentas?
El control de acceso adaptativo monitorea continuamente las sesiones de usuario y puede tomar acciones de aplicaciΓ³n en medio de una sesiΓ³n de usuario. Si la cuenta de un usuario es comprometida, aumenta la probabilidad de detecciΓ³n y restringe la capacidad del atacante para realizar acciones maliciosas y moverse lateralmente a travΓ©s de la red.
ΒΏCΓ³mo Mejora el Acceso para Contratistas y Terceros?
El acceso de contratistas y terceros conlleva riesgos, ya que permite el acceso a recursos corporativos desde dispositivos desconocidos y no gestionados. El control de acceso adaptativo ayuda a verificar la identidad y evaluar el riesgo del usuario y dispositivo de terceros. AdemΓ‘s, las organizaciones pueden limitar el acceso y los privilegios e implementar acceso limitado en el tiempo para gestionar el riesgo de estas sesiones.
Errores Comunes y CΓ³mo Evitarlos
El control de acceso adaptativo necesita datos de alta calidad y una configuraciΓ³n cuidadosa para tener Γ©xito. De lo contrario, corre el riesgo de detecciones de falsos positivos o falsos negativos que perjudican la experiencia del usuario o la seguridad corporativa.
ΒΏQuΓ© Causa Falsos Positivos y FricciΓ³n del Usuario?
Las detecciones de falsos positivos pueden causar fricciΓ³n innecesaria para el usuario, ya que se requerirΓ‘ que los usuarios realicen verificaciones adicionales y pueden no poder acceder a la funcionalidad solicitada. Las causas comunes de estos problemas incluyen:
- SeΓ±ales ruidosas
- LΓneas base inconsistentes
- Umbrales excesivamente estrictos
Por ejemplo, el puntaje de riesgo de un empleado viajero o remoto puede activar acciones de aplicaciΓ³n adicionales. Si este es el caso, puede perjudicar la productividad, socavar la adopciΓ³n de la soluciΓ³n o hacer que los usuarios busquen soluciones alternativas que introduzcan riesgos adicionales para el negocio.
ΒΏQuΓ© Crea Puntos Ciegos?
El control de acceso adaptativo puede tener algunos puntos ciegos, como visibilidad incompleta de un dispositivo, telemetrΓa faltante o polΓticas no definidas para aplicaciones particulares. AdemΓ‘s, las polΓticas pueden volverse obsoletas a medida que cambian los entornos y sistemas.
Si faltan datos, estas incΓ³gnitas deben considerarse como una seΓ±al de riesgos potenciales, en lugar de ser ignoradas. De lo contrario, las brechas de seΓ±al y los puntos ciegos podrΓan ser explotados deliberadamente para ocultar seΓ±ales de advertencia y eludir las polΓticas corporativas.
ΒΏCΓ³mo Deben Implementarse y Ajustarse las PolΓticas?
Las polΓticas deben implementarse gradualmente, permitiendo que sean monitoreadas, probadas y ajustadas antes de pasar a la siguiente etapa. Toda la informaciΓ³n sobre este proceso tambiΓ©n debe ser documentada para apoyar la soluciΓ³n de problemas futura.
DespuΓ©s de que el sistema estΓ© desplegado, se deben realizar revisiones periΓ³dicas para identificar problemas potenciales y polΓticas obsoletas. AdemΓ‘s, las organizaciones deben definir polΓticas y procedimientos para gestionar excepciones para asegurar que sean limitadas en el tiempo y necesarias, y que no socaven la seguridad.
Preguntas Frecuentes sobre el Control de Acceso Adaptativo
ΒΏEs el Control de Acceso Adaptativo lo Mismo que el Acceso Condicional?
El control de acceso adaptativo y el acceso condicional utilizan ambos el contexto para ayudar a tomar decisiones de acceso durante el inicio de sesiΓ³n. Sin embargo, el control de acceso adaptativo tambiΓ©n opera a lo largo de una sesiΓ³n activa, reevaluando segΓΊn sea necesario en funciΓ³n de los cambios en las puntuaciones de riesgo.
ΒΏEl Control de Acceso Adaptativo Siempre Requiere MFA?
MFA es una posible acciΓ³n de aplicaciΓ³n para el control de acceso adaptativo, pero no es la ΓΊnica opciΓ³n. Otras acciones potenciales incluyen restringir acciones durante una sesiΓ³n, reducir la duraciΓ³n de la sesiΓ³n o bloquear completamente los intentos de acceso de alto riesgo.
ΒΏQuΓ© SeΓ±ales Son MΓ‘s Importantes Cuando la Postura del Dispositivo Es Desconocida?
La postura del dispositivo desconocida debe ser tratada como de mayor riesgo, ya que podrΓa enmascarar seΓ±ales altamente riesgosas. Para compensar estos problemas, la autenticaciΓ³n adaptativa puede requerir autenticaciΓ³n adicional, reducir permisos o restringir el acceso a informaciΓ³n sensible. A menudo, la confianza en el dispositivo es fundamental para la gestiΓ³n de accesos, ya que un dispositivo comprometido podrΓa poner a la organizaciΓ³n en riesgo, incluso en manos de un usuario legΓtimo y de confianza.
ΒΏCΓ³mo deben manejar las polΓticas los viajes sin bloqueos constantes?
Las polΓticas pueden manejar los viajes de diversas maneras, con la posibilidad de intensificar la aplicaciΓ³n y los desafΓos segΓΊn sea necesario. Por ejemplo, una polΓtica puede requerir autenticaciΓ³n adicional o limitar el acceso para dispositivos en viaje. El riesgo tambiΓ©n puede ser gestionado combinando la ubicaciΓ³n con otras seΓ±ales y gobernando estrictamente el uso de excepciones temporales a la polΓtica.
ΒΏCΓ³mo deben las organizaciones implementar polΓticas de control de acceso adaptativo?
Las polΓticas de control de acceso adaptativo deben implementarse a travΓ©s de un proceso controlado y por etapas. Los pasos clave incluyen:
- Identificar recursos sensibles a proteger
- Seleccionar seΓ±ales para recopilar y analizar
- Definir estados de riesgo basados en las seΓ±ales recopiladas
- Mapear acciones de aplicaciΓ³n a estados de riesgo
- Realizar pruebas previas al despliegue
- Desplegar gradualmente
- Probar y ajustar polΓticas en producciΓ³n
A lo largo de este proceso, la gobernanza es crΓtica para la seguridad. Las organizaciones deben registrar todas las acciones, realizar revisiones regulares, asegurar la explicabilidad de todas las polΓticas y restringir y gobernar cualquier excepciΓ³n.
Una vez desplegado, el control de acceso adaptativo debe tener acciones de aplicaciΓ³n predecibles con una baja tasa de falsos positivos. AdemΓ‘s, un sistema efectivo debe tener mejoras medibles en tΓ©rminos de contenciΓ³n de amenazas, experiencia del usuario y solicitudes de asistencia tΓ©cnica relacionadas con el inicio de sesiΓ³n.
