¿Sabes quién accede ahora mismo a los datos de tu empresa? ¿Puedes detectar automáticamente un riesgo de intrusión y denegar el acceso a tus datos ?
Últimamente ha proliferado de manera alarmante el robo de contraseñas a través de prácticas de envío de correos fraudalentos con el objetivo de inducir a los destinatarios a revelar su información personal (técnica llamada Phishing y que según estudios se usa en el 81% de los ataques a las empresas).
Para conseguir una contraseña, los hackers envían a sus víctimas un email en nombre de una persona real con un texto y un enlace para pedir al usuario que realice una acción que en realidad le dirige a una página web falsa (imitando el login a Office 365, a un banco, LinkedIn, etc). Lógicamente, una vez el usuario introduce sus credenciales en esas páginas web fraudulentas…, éstas quedan comprometidas, ocasionando inmediatamente una severa brecha de seguridad en la empresa.
Pero, si además, consideramos el crecimiento del uso de aplicaciones en la nube junto con el hecho de que muchos usuarios a menudo reutilizan el mismo password para acceder a las mismas (por su comodidad para recordarlas) y las filtraciones conocidas de datos de usuarios de grandes redes sociales y servicios de consumidor de los últimos 12 meses (tales como Google Plus, Facebook, Movistar, IESE, Adidas, Job Talent, Ticketmaster, my Heritage entre muchas otras), la amenaza de seguridad para las empresas es enorme ante el riesgo de que un ciberdelincuente obtenga tan solo una contraseña de cualquier empleado de las que utilice para temas personales en aplicaciones y portales.
La solución a este quebradero de cabeza para los departamentos de IT está en la nube y se llama Azure Active Directory, pues puede facilitar, a través de una identidad única y protegida (single sign-on), un acceso seguro validando que los usuarios que intentan conectarse a las aplicaciones corporativas estén en casa (on-premise) o en la nube, son quienes dicen ser, simplificando además enormemente la gestión IT.
Beneficios de Azure Active Directory
Para los Usuarios:
- Protección ante situaciones de intento de suplantación de identidad, gracias a funcionalidades que garantizan que el usuario es quien dice ser añadiendo una segunda verificación en el momento de identificarse (autenticación en dos pasos) y a sistemas de análisis inteligente para detectar usos fraudulentos basado en la detección de comportamientos muy sospechosos.
- Si antes el usuario se gestionaba múltiples contraseñas (aunque incurriera en el riesgo de establecer la misma), con AAD el usuario deja de tener una contraseña por aplicación y en su lugar pasa a tener 1 sola identidad para acceder de manera unificada a todas las aplicaciones homologadas por la empresa. Por tanto, una vez inicie sesión (en su equipo o en una App de Office 365), el usuario ya no deberá entrar más credenciales en las aplicaciones que así estén configuradas.
- Autonomía para el cambio y reestablecimiento de contraseñas, sin dependencias de IT.
- Validación sin contraseña (usando el móvil).
Departamento de IT:
- Mayor control sobre el acceso a datos y aplicaciones desde el exterior.
- Tranquilidad de que la identidad de los usuarios está bien protegida ante intentos de suplantación y sus consecuencias.
- Simplificación de la gestión de contraseñas, usuarios, grupos y accesos a aplicaciones Cloud.
Gráfico general sobre las principales funcionalidades de Azure Active Directory Premium
Protección contra contraseñas vulnerables
La mayoría de las personas optan por utilizar contraseñas débiles, ya sea por la facilidad de recordarlas o por el desconocimiento de lo fácil que puede ser para un hacker obtener contraseñas poco robustas mediante técnicas para descubrir contraseñas de usuarios, como por ejemplo la denominada fuerza bruta.
Ediciones de Azure Active Directory
Azure Active Directory (AAD), se ofrece en varias ediciones: Gratuita y las que incorporan prestaciones de seguridad que nos ayudan a proteger la identidad de los usuarios y su acceso a nuestras aplicaciones y datos: Premium P1 y Premium P2.
Edición Gratuita: Incluida en Office 365, principalmente puedes:
- Sincronizar directorios activos locales con el directorio en la nube (Azure Active Directory), incluido contraseñas.
- Posibilidad de usar la misma identidad (usuario y password), para acceder a otras aplicaciones en la nube. Antes Límitado a 10 aplicaciones, desde diciembre del 2020 se elimina esta restricción.
- Usar MFA mediante la política «Security Defaults» (en esta versión, no se permite personalizar nada y es la misma para todos los usuarios, con el mismo comportamiento).
- Administrar usuarios, grupos y autoservicio de cambio de contraseña solo para usuarios creados en la nube (no sincronizados).
- Posibilidad de tener usuarios invitados usando su propia identidad (procedentes de otras compañías que tambien usen AAD). Esta prestación, llamada colaboración B2B, permite tener hasta 5 invitados por licencia, recibiendo el invitado las características propias de la licencia.
Edición Premium P1: Prestaciones de la edición básica y además:
- Autoservicio de restablecimiento y cambio de contraseña desde el exterior de la empresa para usuarios sincronizados.
- Autenticación en dos pasos, para asegurar la identidad del usuario (a través SMS, llamada o App móvil), incluyendo la posibilidad de configurar ubicaciones de confianza (delegaciones, sedes,..) para reducir el impacto a los usuarios.
- Posibilidad de usar las misma identidad (usuario y password), para acceder sin límite a otras aplicaciones que tenemos en local.
- Detección de aplicaciones en la nube no administradas por IT que utilizan los usuario de la empresa («Cloud App Discovery»), con el objetivo de que los administradores puedan configurar (forzar) el acceso a las mismas usando una única identidad (single sign-on), controlando así el Shadow IT
- Agente de monitorización de la sincronización entre el AD local y Azure Active Directory: Usuarios, passwords y controladores de dominio.
- Acceso condicional para limitar el acceso a aplicaciones desde el exterior de la empresa (basado en pertenencia a grupo, localización geográfica y estado del dispositivo).
- Realizar cambios en Grupos desde Office 365 que se sincronizarán con el directorio activo local.
- Posibilidad de creación de grupos dinámicos (mediante reglas según propiedades de usuario o dispositivo).
- Reporting avanzado de seguridad:
- Report con todos los inicios de sesión.
- Report de «inicios de sesión en riesgo» agrupados por el concepto de «eventos de riesgo» como por ejemplo «Usuarios con credenciales perdidas», «Inicios de sesión desde direcciones IP anónimas». Retención de 30 días.
Edición Premium P2: Prestaciones de la edición Premium P1 y además:
- «Identity Protection»: Acceso condicional basado en riesgos configurable. Para ello, se analiza comportamientos extraños (por ejemplo, ha iniciado sesión desde ubicaciones muy lejanas en un tiempo imposible, se intenta acceder desde un equipo no gestionado por la organización).
- Privileged Identity Management: Administración y protección de cuentas de administrador, permitiendo asignar el rol de administrador a un usuario de forma temporal, alertando del cambio y supervisando su acceso a los recursos entre otras funcionalidades.
- Reporting muy avanzado de seguridad:
- Se categorizan los «eventos de riesgo» por severidad y tipo de detección. Además se introducen más «eventos de riesgo»
- Se aumenta a 90 días la retención del report de «inicios de sesión en riesgo»
Además de estas ediciones, Microsoft ofrecía un plan básico de AAD con capacidades inferiores a las premium que fue retirado el pasado 1 de julio de 2019.
En definitiva, Azure Active Directory es la clave para ayudar a proteger la identidad de los usuarios , cerrando la principal puerta de entrada a los ciberdelincuentes y facilitando además un acceso seguro a todas las aplicaciones (estén en casa o en la nube) reduciendo la gestión a los departamentos IT.
¿Quieres saber más? Contacta con nosotros.
