Seguridad nativa de Microsoft 365: el compromiso

Proteger la superficie de ataque más grande de la empresa

Inadvertidamente, las tecnologías que adoptamos para mejorar las eficiencias en nuestra organización a menudo pueden tener el mismo resultado para los actores maliciosos que intentan obtener acceso.

Los paquetes de soluciones de productividad y colaboración empresariales como Microsoft 365 y Google Workspace son un buen ejemplo de este compromiso. Estos paquetes de soluciones incluyen una gran variedad de aplicaciones diseñadas para facilitar el acceso, la utilización y el movimiento de datos entre ellas. En consecuencia, también representan una amplia superficie de ataque y facilitan el movimiento lateral y el acceso ilícito de cualquier atacante que logre entrar.

Cuanto mayor es la adopción de estos paquetes de aplicaciones, mayor es el incentivo de los atacantes para buscar vulnerabilidades en ellas. Puesto que Microsoft 365 ostenta aproximadamente el doble de clientes que otras soluciones de la competencia, según un estudio reciente de Okta, es un objetivo especialmente codiciado.

Esto no es ninguna razón para evitar el uso de Microsoft 365. Microsoft invierte mucho en seguridad y ofrece seguridad nativa como parte del paquete 365. Más bien, la popularidad de Microsoft (y el riesgo que comporta) es la razón para complementar el paquete con servicios de seguridad adicionales, como sugieren en su modelo de responsabilidad compartida. Este enfoque refuerza la postura de seguridad de tu organización tanto contra vulnerabilidades aisladas de Microsoft como contra debilidades más sistémicas.

¿Cuáles son los primeros pasos más importantes? ¿Y cómo pueden las organizaciones dar estos pasos sin comprometer la eficiencia que les aportó en un principio Microsoft 365?

Paso 1: mejorar la protección contra el phishing

La gran mayoría de los ciberataques empiezan con phishing (más del 90 %, según estudios recientes).

Para evitar el phishing, Microsoft 365 utiliza el análisis de correo electrónico nativo para filtrar los mensajes maliciosos. Los datos muestran que este servicio no evitará todos los ataques. Cloudflare descubrió que, en 2020, más de 900 000 correos electrónicos de phishing habían burlado la seguridad nativa de los usuarios de correo electrónico de Microsoft 365. De estos correos electrónico no detectados, aproximadamente el 50 % implicaban un dominio creado recientemente, y otro 15 % incluía una URL maliciosa.

Además, el correo electrónico de Microsoft (como la mayoría de proveedores de correo electrónico en la nube) es vulnerable a otros tipos de ataque:

• Phishing diferido: en el que los atacantes envían un correo electrónico que contiene un enlace que apunta inicialmente a un sitio inocuo. Una vez que el correo electrónico ha llegado a la bandeja de entrada objetivo, el atacante redirecciona la URL a un sitio malicioso.

• Uso malicioso de la infraestructura de Microsoft: en el que los atacantes alojan páginas maliciosas utilizando los servicios en la nube de Microsoft. En ocasiones se ha descubierto que esta táctica logra superar las funciones de análisis del correo electrónico de Microsoft.

Conforme a la filosofía de "responsabilidad compartida" de Microsoft, es posible que para evitar los ataques sean necesarias capas adicionales de protección. Un importante punto de partida es:

• Aislamiento de enlaces del correo electrónico: para proteger a los usuarios contra los enlaces maliciosos que burlan la detección o que reemplazan posteriormente los enlaces inocuos. Microsoft ofrece aislamiento de navegador general como un complemento, pero la ejecución del aislamiento de forma local consume mucha memoria y puede ralentizar la experiencia de los usuarios. En su lugar, considera utilizar un servicio más eficaz, que se ejecuta en la nube, no utiliza transmisión de pantalla de mucho tráfico y evita que los usuarios realicen acciones potencialmente peligrosas como especificar información de inicio de sesión en sitios no aprobados.

• Seguridad avanzada del correo electrónico en la nube: incorpora análisis de sentimiento, gráficos de la confianza del remitente, bloqueo automatizado y otras herramientas que es posible calibrar para detectar los correos electrónicos maliciosos que se sabe que escapan la detección de Microsoft 365.

Paso 2: mejorar el análisis de malware

Una medida de seguridad importante es evitar el phishing, pero no es la única. Se utilizan otros tipos de ataque para instalar malware en los dispositivos de punto final y la infraestructura de red integral. Se pueden realizar mediante correo electrónico, en sitios web maliciosos que desencadenan automáticamente las descargas, o mediante otros métodos.

Defender, el principal servicio de protección contra el malware de Microsoft 365, se instala en los dispositivos de punto final. Application Guard, un complemento del navegador, también puede proporcionar aislamiento seguro contra los sitios web maliciosos y cualquier malware.

Conforme al compromiso más amplio de Microsoft con la seguridad, Defender realiza un buen trabajo en la detección de malware. Sin embargo, algunosestudios han concluido que sus índices de detección son inferiores a los de productos similares. Además, determinados elementos de su funcionalidad crean potenciales vulnerabilidades:

• El servicio permite a los usuarios excluir del análisis de malware ubicaciones en sus sistemas, una práctica común para las aplicaciones que utilizan código no estándar, pero aún así un riesgo potencial. Además, los investigadores de seguridad descubrieron que la lista de ubicaciones excluidas se almacenaba de forma no segura en determinadas versiones del sistema operativo Windows. Esto significaba que los atacantes con acceso local podían ver en qué ubicaciones de los sistemas podían instalar malware para evitar la detección.

• Por defecto, Defender solo funciona en el navegador Microsoft Edge. Hay complementos disponibles para otros navegadores. Sin embargo, si los usuarios no instalan el complemento, por el motivo que sea, estos otros navegadores también podrían funcionar como el eslabón débil.

Esta misma limitación es aplicable a Application Guard. Además, el aislamiento de navegador local a menudo causa un rendimiento deficiente del dispositivo, lo que puede llevar a que el usuario simplemente decida desactivarlo.

Para mejorar esta protección, las organizaciones deben considerar varias prácticas:

• Protección adicional de los puntos finales: basada en la mejor información sobre amenazas posible y cuyos conjuntos de reglas y listas de bloqueo los usuarios no puedan desactivar fácilmente.

• Autenticación multifactor (MFA): autenticación que utiliza algo más que simplemente una combinación de nombre de usuario y contraseña para proporcionar acceso a las aplicaciones. Otros "factores" de autenticación incluyen tokens de seguridad de hardware y códigos de un solo uso enviados al teléfono del usuario. Si los atacantes pueden instalar malware, la autenticación multifactor evita que puedan utilizarlo para acceder a las aplicaciones corporativas.

• Aislamiento de enlaces del correo electrónico: como mencionamos anteriormente, la actividad de web aislada debería ejecutarse en la nube, funcionar fácilmente con cualquier navegador y utilizar tecnología moderna para evitar la interrupción del funcionamiento de los sitios.

Paso 3: evitar la escalada de privilegios

Incluso si las organizaciones aplican un sistema de protección eficaz del correo electrónico y contra el malware, deben estar preparadas en caso de que los atacantes accedan de alguna forma a su instancia de Microsoft 365. Esta preparación es un principio esencial de la seguridad moderna. A menudo lo resumimos como el principio Zero Trust de "no confiar nunca, verificar siempre" las solicitudes que se mueven en cualquier ubicación de una red.

Microsoft 365 ofrece varios servicios para gestionar el acceso y los permisos de los usuarios. Sin embargo, en los últimos años, la escalada de privilegios ha sido la forma más habitual de vulnerabilidad de Microsoft 365, según el estudio de BeyondTrust. En estos incidentes, los atacantes acceden a la cuenta de un usuario y disponen de más sistemas y ajustes a los que pueden acceder, lo que facilita el movimiento lateral, el robo de credenciales y el riesgo para las aplicaciones objetivo.

Un paso importante para la prevención es logístico: eliminar los derechos de administrador de tantos usuarios como sea posible. Un departamento de TI sobrecargado podría tener la tentación de otorgar a los usuarios privilegios de acceso excesivos para mejorar la eficiencia y reducir las incidencias de asistencia. Sin embargo, aunque esto pueda parecer útil a corto plazo, otro principio importante de la seguridad moderna es proporcionar a los usuarios el menor acceso posible. Además, el informe de BeyondTrust mencionado anteriormente concluyó que la eliminación de los derechos de administrador también podía reducir las incidencias de asistencia a nivel más general, ya que "los sistemas simplemente funcionan mejor cuando no tienes privilegios para estropearlos".

Las organizaciones también pueden considerar utilizar los sistemas de agente de seguridad de acceso a la nube (CASB), que permiten visualizar y controlar cómo los usuarios acceden a servicios en la nube como Microsoft 365, así como qué archivos y datos comparten. Microsoft ofrece un servicio CASB nativo. No obstante, es posible que las organizaciones deseen seleccionar un CASB de terceros integrado en una plataforma Zero Trust más amplia, que permita la integración con otros servicios Zero Trust y aplique un conjunto independiente de información sobre amenazas a su postura de seguridad.

Minimizar los efectos en la eficiencia

Las organizaciones a menudo adoptan Microsoft 365 para mejorar la eficiencia tecnológica y la productividad global del equipo. Por lo tanto, es muy posible que estas organizaciones se pregunten si las recomendaciones mencionadas anteriormente añadirán complejos pasos a la jornada laboral de sus usuarios, ralentizarán su uso de Internet o les imposibilitarán el uso de algunas aplicaciones.

Puede parecer que el enfoque más eficaz es confiar exclusivamente en la seguridad nativa centralizada de Microsoft. Sin embargo, los servicios complementarios adecuados eliminarán las vulnerabilidades persistentes sin dañar la eficiencia. Las organizaciones deberían buscar servicios de seguridad que ofrezcan:

La combinación de estas cualidades proporciona a las organizaciones y a sus empleados flexibilidad y un buen rendimiento de red, y facilita considerablemente el proceso de modernización de la seguridad.

El camino a seguir

Cloudflare ofrece muchas de las funciones de seguridad mencionadas anteriormente como parte de sus servicios de seguridad Zero Trust más generales, entre ellas, la seguridad del correo electrónico en la nube, el aislamiento de enlaces del correo electrónico, un agente de seguridad de acceso a la nube y las integraciones con proveedores de autenticación multifactor.

No obstante, como ya hemos comentado, para complementar la seguridad nativa de Microsoft 365 también es necesario que centremos nuestra atención en el mantenimiento de la eficiencia. Cloudflare cuenta con una arquitectura única para proporcionar esta eficiencia, gracias a:

• Una red muy interconectada que se encuentra a milisegundos del 95 % de los usuarios de Internet, lo que garantiza que los trabajadores, dondequiera que estén, siguen disponiendo de acceso rápido y directo a los servidores de Microsoft.

• Un entramado de red homogéneo en el que cada servicio de seguridad se puede ejecutar en cualquier ubicación, lo que garantiza que el tráfico que atraviesa Cloudflare no sufre latencia adicional.

• Una estrecha asociación con Microsoft, lo que garantiza que los servicios de seguridad de Cloudflare se integran perfectamente con las herramientas de Microsoft 365.

Obtén más información sobre Cloudflare Zero Trust para descubrir cómo nuestra arquitectura única hace que la seguridad y la eficiencia empresarial vayan de la mano.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Microsoft y Microsoft 365 son marcas registradas del grupo de empresas de Microsoft.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Protección de seguridad nativa de Microsoft 365

• El modelo de corresponsabilidad de Microsoft

• Estrategias para complementar la base de seguridad de Microsoft 365 sin afectar al rendimiento de los empleados

Recursos relacionados

• Guía de implementación de la arquitectura Zero Trust

• ¿Qué es la Seguridad Zero Trust?

• Omitir la autenticación multifactor

• Protección para empresas distribuidas a largo plazo