12m read

¿Qué es el control de acceso adaptativo?

¿Qué encontrarás aquí?

Cato Networks, reconocido como Líder en el Gartner® Magic Quadrant™ 2024 para SASE de proveedor único

Descargar el informe

El control de acceso adaptativo ajusta los requisitos de acceso al nivel de riesgo asociado con una solicitud de acceso. Por ejemplo, un usuario que inicia sesión desde un dispositivo desconocido o una ubicación inusual puede necesitar realizar pasos adicionales de autenticación. Además, si el contexto cambia después del inicio de sesión inicial, las decisiones de acceso pueden ser reevaluadas, forzando autenticaciones adicionales en puntos de control particulares, al realizar acciones sensibles o después de una actualización de sesión.

El control de acceso adaptativo puede utilizar una variedad de señales para evaluar el riesgo, incluyendo la postura del dispositivo, el comportamiento del usuario, el riesgo de identidad, la sensibilidad de los recursos y el contexto de ubicación. Si una solicitud de acceso se evalúa como riesgosa, el sistema puede requerir verificación adicional, reducir el acceso y los permisos del usuario, o bloquear o terminar completamente la sesión.

¿Cómo se diferencia el control de acceso adaptativo del control de acceso tradicional?

El control de acceso tradicional a menudo implicaba una única decisión de acceso al comienzo de la sesión del usuario. Una vez que se aprueba el acceso, no hay monitoreo continuo, y los usuarios solo están restringidos por el acceso y los privilegios asignados a su cuenta.

Este enfoque para la gestión de identidad y acceso (IAM) introduce un riesgo significativo si un atacante puede engañar la autenticación inicial o tomar el control de una sesión aprobada. El control de acceso adaptativo realiza un monitoreo continuo y consciente del contexto, permitiendo que las decisiones de acceso se tomen a lo largo de la sesión de un usuario en lugar de solo al principio.

¿Qué cambia cuando el acceso se vuelve basado en riesgo?

La gestión de acceso tradicional a menudo dependía únicamente de roles y grupos. El control de acceso basado en roles (RBAC) asigna privilegios a un rol particular y usuarios a ese rol también. Si un usuario autenticado realiza una solicitud, se evalúa en función de los privilegios asignados a ese rol.

Con decisiones de acceso basadas en riesgo, se incluyen señales y contextos adicionales dentro de la decisión de acceso. Las solicitudes de acceso de mayor riesgo, como aquellas que provienen de un dispositivo desconocido, pueden requerir verificación adicional que la misma solicitud de un dispositivo conocido y ubicación normal.

¿Cómo se relaciona el control adaptativo con RBAC y ABAC?

RBAC y el control de acceso basado en atributos (ABAC) definen el modelo de política base para la gestión de acceso. Especifican si un usuario debe o no tener acceso si el sistema está seguro respecto a la identidad del usuario.

El control de acceso adaptativo se basa en esto al considerar el riesgo de identificación errónea. Cuanto más inusual y arriesgada sea la solicitud, mayor será la carga de la prueba para lograr esa confianza en la identidad del usuario.

Señales de riesgo utilizadas en decisiones de control de acceso adaptativo

El control de acceso adaptativo puede utilizar una variedad de señales diferentes para evaluar el riesgo asociado con una solicitud de acceso. Algunos de los tipos de señales más comunes incluyen:

  • Postura del dispositivo
  • Comportamiento del usuario
  • Contexto de ubicación
  • Riesgo de identidad
  • Sensibilidad del recurso

Estas señales pueden ayudar a determinar si una solicitud es particularmente arriesgada y si un usuario es probable que sea quien dice ser. Sin embargo, la calidad y la cobertura de las señales son significativamente importantes, ya que los datos de baja calidad o incompletos pueden resultar en una puntuación de riesgo inexacta.

¿Qué señales del dispositivo indican mayor o menor confianza?

Las señales del dispositivo incluyen información sobre el propio dispositivo que puede indicar si representa un riesgo para el negocio y si es probable que sea un dispositivo legítimo. Las consideraciones clave incluyen:

  • Dispositivos gestionados vs. dispositivos no gestionados
  • Presencia de agentes de seguridad empresarial
  • Estado de parches
  • Indicadores de dispositivos con root o desbloqueados
  • Estado del certificado

Si está disponible, esta información ofrece una visión del nivel de seguridad del dispositivo que realiza la solicitud de acceso. Si no se puede recopilar esta información, entonces pueden ser necesarias acciones de autenticación adicionales, o el sistema puede limitar el conjunto de acciones que el usuario está autorizado a realizar con ese dispositivo. Por ejemplo, a los usuarios autenticados en un dispositivo desconocido se les puede conceder acceso solo de lectura a ciertos tipos de datos.

¿Qué señales de comportamiento sugieren compromiso o uso indebido?

Las señales de comportamiento se centran en indicios de que una cuenta de usuario o un dispositivo ha sido comprometido por un atacante. Las señales comunes incluyen:

  • Viaje imposible
  • Horarios de acceso anormales
  • Patrones de acceso a recursos inusuales
  • Verificaciones fallidas repetidas

Estos tipos de señales se utilizan comúnmente para determinar si se requiere autenticación adicional o contención de sesión. Por ejemplo, las solicitudes de acceso fuera del horario laboral normal pueden requerir pasos de autenticación adicionales.

¿Qué señales de contexto de ubicación y red son más importantes?

Los sistemas de autenticación adaptativa también pueden utilizar la ubicación y el contexto de la red para sus decisiones de acceso. Estas pueden incluir:

  • Geolocalización desconocida
  • Sistema autónomo (ASN) arriesgado
  • Huella de proveedor/hosting arriesgada
  • Uso de anonimizadores
  • Tipos de red inesperados

La información de ubicación a menudo es imperfecta, pero puede proporcionar pistas de que una cuenta ha sido comprometida por un atacante. Por esta razón, estos datos deben combinarse con otras señales para tomar decisiones sobre riesgos. Por ejemplo, las solicitudes de acceso desde ubicaciones inusuales podrían ser un intento de ataque o un empleado viajero trabajando de forma remota.

¿Qué señales de riesgo de identidad son importantes? 

Las señales de riesgo de identidad ayudan a identificar cuentas que son más propensas a ser comprometidas por un atacante. Los ejemplos incluyen:

  • Contraseñas incluidas en violaciones pasadas
  • Indicadores de fatiga de MFA
  • Uso de métodos de autenticación riesgosos
  • Uso anómalo de tokens de autenticación
  • Solicitudes de acceso desde direcciones IP conocidas como malas
  • Solicitudes de autenticación fallidas repetidas

Estas señales ayudan a identificar cuentas que son altamente riesgosas. Estas señales se centran en la seguridad de cuentas y credenciales en lugar de la postura del dispositivo.

¿Cómo cambia la sensibilidad de los recursos la aplicación de las normas?

Una evaluación de riesgos también puede verse afectada por la sensibilidad de los activos solicitados. Ejemplos de activos de alto riesgo incluyen:

  • Datos de nómina
  • Consolas de administración
  • PII de clientes
  • Acciones financieras
  • Exportaciones masivas de datos

Las solicitudes para estas acciones pueden requerir autenticación adicional simplemente debido al riesgo adicional que representan para el negocio. Esto incluye aplicar controles más estrictos incluso para el mismo usuario y dispositivo en solicitudes de menor riesgo.

Cómo funciona el Control de Acceso Adaptativo

El control de acceso adaptativo gestiona continuamente el acceso a los recursos de una organización. Recoge señales, calcula un puntaje de riesgo, toma las acciones de cumplimiento necesarias y repite este proceso a lo largo de la sesión del usuario.

¿Cómo se recogen y normalizan las señales?

Las señales se recogen de una variedad de fuentes diferentes. Algunas provienen del dispositivo del usuario, mientras que otras rastrean información sobre su identidad o provienen de fuentes de terceros.

Los sistemas de control de acceso adaptativo normalizan estos datos convirtiendo la información de múltiples fuentes en entradas consistentes para el motor de políticas. En caso de que falte información, estas lagunas se manejan explícitamente en lugar de asumirse como seguras.

¿Cómo se toman las decisiones de riesgo?

Las decisiones de riesgo pueden tomarse de varias maneras diferentes. Algunas pueden involucrar umbrales o niveles de riesgo, mientras que otras pueden tener requisitos para escenarios específicos. Por ejemplo, el acceso a recursos altamente sensibles puede siempre activar la autenticación reforzada incluso si el puntaje de riesgo general es relativamente bajo.

Estos riesgos también pueden evaluarse de manera individual por usuario, dispositivo, sesión o recurso. Esto puede incluir generar una matriz de políticas o umbrales para definir las diversas situaciones y las acciones de cumplimiento requeridas.

¿Dónde puede ocurrir el cumplimiento?

Las acciones de cumplimiento pueden ocurrir al iniciar sesión o en varios puntos a lo largo de la sesión del usuario. Por ejemplo, el sistema puede requerir autenticación reforzada a mitad de sesión o limitar las acciones que un usuario podría realizar a lo largo de toda su sesión.

También existe la posibilidad de que las solicitudes de acceso sean bloqueadas por completo o que una sesión se termine prematuramente. Sin embargo, esto es más común para puntajes de alto riesgo o para solicitudes arriesgadas a recursos altamente sensibles.

Acciones Comunes de Aplicación Adaptativa

Las acciones de aplicación adaptativa pueden abarcar desde el fortalecimiento de la autenticación hasta la denegación completa de una solicitud de acceso. Las políticas deben definir la acción de aplicación apropiada para varios escenarios.

¿Cuándo deben las políticas activar la verificación adicional?

La verificación adicional requiere pasos de autenticación adicionales, como realizar MFA. Está diseñada para limitar la fricción en la experiencia del usuario al requerir estos pasos adicionales solo cuando los puntajes de riesgo lo justifican. 

Por ejemplo, las solicitudes de acceso desde un nuevo dispositivo o para una acción sensible pueden requerir verificación adicional. Esto proporciona una forma de bajo impacto para gestionar el riesgo sin causar daño adicional a la experiencia del usuario.

¿Cuándo deben las políticas restringir acciones en lugar de bloquear el acceso?

Restringir las acciones que un usuario puede realizar dentro de una sesión ofrece un término medio entre el acceso completo y la terminación de la sesión. Por ejemplo, ofrecer acceso solo de lectura, bloquear descargas o limitar operaciones administrativas son formas de gestionar los posibles impactos de una cuenta comprometida.

Estas restricciones se aplican generalmente a recursos altamente sensibles o cuando se han observado señales de riesgo en una sesión. Gestionan la exposición al riesgo de la organización mientras causan menos interrupción al negocio que un bloqueo completo.

¿Cuándo es la contención de sesión la opción correcta?

La contención de sesión es una herramienta para limitar la amenaza potencial que representa una sesión arriesgada. Esto puede incluir la implementación de vidas útiles de sesión cortas, forzar la reautenticación o terminar sesiones cuando sea necesario.

A menudo, la contención de sesión se utiliza en situaciones donde los puntajes de riesgo aumentan en medio de una sesión. Estos controles reducen los impactos potenciales de un ataque y simplifican la respuesta a incidentes.

Dónde el Control de Acceso Adaptativo Ofrece Mayor Valor

El control de acceso adaptativo está diseñado para ayudar a implementar el principio de menor privilegio y reducir el riesgo de abuso o ataques de toma de control de cuentas. Cuando se implementa correctamente, equilibra la seguridad y la experiencia del usuario, reduciendo la carga en los servicios de asistencia de TI y los equipos de seguridad.

¿Cómo Reduce el Impacto de la Toma de Control de Cuentas?

El control de acceso adaptativo monitorea continuamente las sesiones de usuario y puede tomar acciones de aplicación en medio de una sesión de usuario. Si la cuenta de un usuario es comprometida, aumenta la probabilidad de detección y restringe la capacidad del atacante para realizar acciones maliciosas y moverse lateralmente a través de la red.

¿Cómo Mejora el Acceso para Contratistas y Terceros?

El acceso de contratistas y terceros conlleva riesgos, ya que permite el acceso a recursos corporativos desde dispositivos desconocidos y no gestionados. El control de acceso adaptativo ayuda a verificar la identidad y evaluar el riesgo del usuario y dispositivo de terceros. Además, las organizaciones pueden limitar el acceso y los privilegios e implementar acceso limitado en el tiempo para gestionar el riesgo de estas sesiones.

Errores Comunes y Cómo Evitarlos

El control de acceso adaptativo necesita datos de alta calidad y una configuración cuidadosa para tener éxito. De lo contrario, corre el riesgo de detecciones de falsos positivos o falsos negativos que perjudican la experiencia del usuario o la seguridad corporativa.

¿Qué Causa Falsos Positivos y Fricción del Usuario?

Las detecciones de falsos positivos pueden causar fricción innecesaria para el usuario, ya que se requerirá que los usuarios realicen verificaciones adicionales y pueden no poder acceder a la funcionalidad solicitada. Las causas comunes de estos problemas incluyen:

  • Señales ruidosas
  • Líneas base inconsistentes
  • Umbrales excesivamente estrictos

Por ejemplo, el puntaje de riesgo de un empleado viajero o remoto puede activar acciones de aplicación adicionales. Si este es el caso, puede perjudicar la productividad, socavar la adopción de la solución o hacer que los usuarios busquen soluciones alternativas que introduzcan riesgos adicionales para el negocio.

¿Qué Crea Puntos Ciegos?

El control de acceso adaptativo puede tener algunos puntos ciegos, como visibilidad incompleta de un dispositivo, telemetría faltante o políticas no definidas para aplicaciones particulares. Además, las políticas pueden volverse obsoletas a medida que cambian los entornos y sistemas.

Si faltan datos, estas incógnitas deben considerarse como una señal de riesgos potenciales, en lugar de ser ignoradas. De lo contrario, las brechas de señal y los puntos ciegos podrían ser explotados deliberadamente para ocultar señales de advertencia y eludir las políticas corporativas.

¿Cómo Deben Implementarse y Ajustarse las Políticas?

Las políticas deben implementarse gradualmente, permitiendo que sean monitoreadas, probadas y ajustadas antes de pasar a la siguiente etapa. Toda la información sobre este proceso también debe ser documentada para apoyar la solución de problemas futura.

Después de que el sistema esté desplegado, se deben realizar revisiones periódicas para identificar problemas potenciales y políticas obsoletas. Además, las organizaciones deben definir políticas y procedimientos para gestionar excepciones para asegurar que sean limitadas en el tiempo y necesarias, y que no socaven la seguridad.

Preguntas Frecuentes sobre el Control de Acceso Adaptativo

¿Es el Control de Acceso Adaptativo lo Mismo que el Acceso Condicional?

El control de acceso adaptativo y el acceso condicional utilizan ambos el contexto para ayudar a tomar decisiones de acceso durante el inicio de sesión. Sin embargo, el control de acceso adaptativo también opera a lo largo de una sesión activa, reevaluando según sea necesario en función de los cambios en las puntuaciones de riesgo.

¿El Control de Acceso Adaptativo Siempre Requiere MFA?

MFA es una posible acción de aplicación para el control de acceso adaptativo, pero no es la única opción. Otras acciones potenciales incluyen restringir acciones durante una sesión, reducir la duración de la sesión o bloquear completamente los intentos de acceso de alto riesgo.

¿Qué Señales Son Más Importantes Cuando la Postura del Dispositivo Es Desconocida?

La postura del dispositivo desconocida debe ser tratada como de mayor riesgo, ya que podría enmascarar señales altamente riesgosas. Para compensar estos problemas, la autenticación adaptativa puede requerir autenticación adicional, reducir permisos o restringir el acceso a información sensible. A menudo, la confianza en el dispositivo es fundamental para la gestión de accesos, ya que un dispositivo comprometido podría poner a la organización en riesgo, incluso en manos de un usuario legítimo y de confianza.

¿Cómo deben manejar las políticas los viajes sin bloqueos constantes?

Las políticas pueden manejar los viajes de diversas maneras, con la posibilidad de intensificar la aplicación y los desafíos según sea necesario. Por ejemplo, una política puede requerir autenticación adicional o limitar el acceso para dispositivos en viaje. El riesgo también puede ser gestionado combinando la ubicación con otras señales y gobernando estrictamente el uso de excepciones temporales a la política.

¿Cómo deben las organizaciones implementar políticas de control de acceso adaptativo?

Las políticas de control de acceso adaptativo deben implementarse a través de un proceso controlado y por etapas. Los pasos clave incluyen:

  • Identificar recursos sensibles a proteger
  • Seleccionar señales para recopilar y analizar
  • Definir estados de riesgo basados en las señales recopiladas
  • Mapear acciones de aplicación a estados de riesgo
  • Realizar pruebas previas al despliegue
  • Desplegar gradualmente
  • Probar y ajustar políticas en producción

A lo largo de este proceso, la gobernanza es crítica para la seguridad. Las organizaciones deben registrar todas las acciones, realizar revisiones regulares, asegurar la explicabilidad de todas las políticas y restringir y gobernar cualquier excepción.

Una vez desplegado, el control de acceso adaptativo debe tener acciones de aplicación predecibles con una baja tasa de falsos positivos. Además, un sistema efectivo debe tener mejoras medibles en términos de contención de amenazas, experiencia del usuario y solicitudes de asistencia técnica relacionadas con el inicio de sesión.

Cato Networks, reconocido como Líder en el Gartner® Magic Quadrant™ 2024 para SASE de proveedor único

Descargar el informe

This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.