A medida que el trabajo disminuye con la desaceleración típica de fin de año, ahora es un buen momento para revisar los roles y privilegios de los usuarios y eliminar a cualquiera que no debería tener acceso, así como recortar permisos innecesarios. Además de ahorrar algunas tarifas de licencia innecesarias, un inventario de usuarios limpio mejora significativamente la seguridad de sus aplicaciones SaaS. Desde reducir el riesgo hasta proteger contra la fuga de datos, así es como puede comenzar el nuevo año con una lista de usuarios limpia.
Cómo los usuarios desconectados Aún Tenga acceso a sus aplicaciones
Cuando los empleados dejan una empresa, desencadenan una serie de cambios en los sistemas backend a su paso. Primero, se los elimina del proveedor de identidad (IdP) de la empresa, lo que inicia un flujo de trabajo automatizado que desactiva su correo electrónico y elimina el acceso a todos los sistemas internos. Cuando las empresas utilizan un SSO (inicio de sesión único), estos ex empleados pierden el acceso a cualquier propiedad en línea (incluidas las aplicaciones SaaS) que requieran SSO para iniciar sesión.
Sin embargo, eso no significa que los ex empleados hayan sido completamente desprovistos de todas las aplicaciones SaaS. Las empresas deben desactivar o eliminar manualmente los usuarios de sus aplicaciones SaaS para todas las aplicaciones que no están conectadas al SSO, así como para cualquier usuario que tenga acceso local a una aplicación que esté conectada al SSO. Este problema es particularmente grave con los usuarios con altos privilegios. Muchas aplicaciones requieren que tengan acceso local en caso de que el SSO se desconecte.
Cualquier usuario externo con acceso a aplicaciones SaaS corporativas conserva su capacidad de iniciar sesión y utilizar la aplicación. Eso significa que pueden descargar datos, realizar cambios, eliminar archivos o incluso compartir sus credenciales de inicio de sesión con la competencia.
Asegúrese de tener el tamaño correcto de los permisos
Otorgar permisos excesivos a cualquier usuario expande innecesariamente la superficie de ataque e introduce innecesariamente un mayor nivel de riesgo para la aplicación. Son los permisos del usuario los que controlan el nivel de acceso que tiene cada empleado dentro de una aplicación. Si una cuenta de usuario se viera comprometida, el actor de la amenaza tendría el mismo nivel de acceso que el usuario comprometido.
Es probable que un líder de equipo necesite permisos administrativos para agregar nuevos usuarios, abrir proyectos y controlar el uso de la aplicación. Los empleados que utilizan la aplicación pueden necesitar permisos de lectura/escritura para cumplir con su función, mientras que el personal de soporte puede que solo necesite permisos de lectura o la capacidad de descargar informes.
Ahora que el año está llegando a su fin, es un buen momento para revisar los permisos de los usuarios y asegurarse de que estén alineados con su función. Las empresas deben implementar el principio de privilegio mínimo (POLP) para garantizar que los empleados tengan el nivel adecuado de acceso para realizar su trabajo. Para aplicaciones que incluyen funcionalidad de grupo, asigne usuarios similares a grupos con permisos preestablecidos para estandarizar los conjuntos de permisos. Para otras aplicaciones, vale la pena revisar los permisos de los usuarios y recortar el acceso sólo a aquellas funcionalidades que sean necesarias.
Eliminar cuentas inactivas
Las cuentas inactivas, que son cuentas que no se utilizan, normalmente se clasifican en una de tres categorías.
- Cuentas de administrador: utilizadas para configurar inicialmente la aplicación, a menudo por varios usuarios. Estas cuentas inactivas tienen amplios privilegios.
- Cuentas internas no utilizadas: cuentas de empleados que ya no necesitan ni utilizan la aplicación. El acceso se basa en el rol del empleado.
- Cuentas externas no utilizadas: cuentas de usuarios externos que no se utilizan. Este acceso se basa en los permisos otorgados al usuario.
El riesgo inherente a estas cuentas es significativo. Las cuentas de administrador utilizadas por varios usuarios tienden a tener nombres de usuario fáciles de adivinar, contraseñas fáciles de recordar y acceso local. Ésta es una combinación propicia para el abuso. Las cuentas de empleados no utilizadas podrían proporcionar acceso a actores de amenazas después de un ataque de phishing, donde el empleado ni siquiera recuerda todas las aplicaciones a las que tiene acceso. Mientras tanto, los equipos de seguridad no tienen visibilidad de los usuarios externos ni de si todavía están involucrados en el proyecto.
A medida que las empresas avanzan durante la temporada navideña, les corresponde revisar las cuentas inactivas y tomar las medidas necesarias para investigar y evaluar su riesgo. Cuando así se indique, estas cuentas deben desactivarse o cancelarse.
Implementar la prevención de uso compartido de cuentas
Cuando los equipos utilizan un nombre de usuario compartido para reducir las tarifas de licencia, sin saberlo crean un riesgo de seguridad adicional. Las cuentas compartidas son casi imposibles de proteger por completo. A medida que los empleados se unen y abandonan el equipo, aumenta la cantidad de usuarios que conocen las credenciales de la cuenta. Además, el uso de un inicio de sesión compartido impide el uso de MFA y SSO, dos herramientas críticas utilizadas para proteger las aplicaciones SaaS.
Las cuentas compartidas también dificultan la detección de amenazas provenientes de una cuenta. Los datos utilizados para detectar amenazas se basan en el uso normal. Sin embargo, si a menudo se accede a una cuenta desde varias ubicaciones, es poco probable que se active una alerta si un actor de amenazas accede a ella.
Si bien no es fácil detectar cuentas compartidas, las empresas pueden implementar medidas para prevenir y detectar cuentas compartidas. Requerir MFA o SSO, por ejemplo, dificulta que los usuarios compartan cuentas. Los equipos de seguridad también pueden revisar análisis de comportamiento de los usuarios que indican que se comparten cuentas. Monitorear los inicios de sesión de direcciones IP o revisar de cerca los análisis del comportamiento del usuario son dos formas de detectar nombres de usuarios compartidos.
Dedicar tiempo ahora a descubrir cuentas compartidas ayudará a mantener las aplicaciones SaaS más seguras durante el próximo año y en el futuro.
Para obtener la guía de baja completa, haga clic aquí.
Automatización del seguimiento y la gestión de usuarios
Revisar las listas de aplicaciones manualmente y compararlas con el IdP es una tarea tediosa. También lo es verificar permisos, revisar cuentas inactivas y buscar señales de que se están compartiendo cuentas. La introducción de una plataforma SaaS Security Posture Management (SSPM) automatiza el proceso.
 |
| Figura 1: El Inventario de usuarios puede proporcionar una visión en profundidad de cada usuario de SaaS |
Usando un SSPM inventario de usuarios, al igual que Adaptive Shield, las empresas pueden identificar rápidamente cuentas de usuario a las que no se ha accedido durante un período de tiempo determinado, encontrar usuarios externos con conjuntos de permisos elevados y detectar usuarios que han sido eliminados del IdP. Los SSPM también son capaces de asociar usuarios con dispositivos para limitar aún más el riesgo.
Mientras se prepara para 2024, introducir un SSPM es la forma más efectiva y eficiente de monitorear a los usuarios y saber quién tiene acceso a qué dentro de su pila SaaS.
