Microsoft 365: El problema de seguridad

Actualmente la mayoría de las organizaciones trabajan con servicios en la nube, habiendo realizado en muchos casos una migración completa, aunque las empresas de mediano y gran porte, en general, se mantienen en un entorno híbrido.

Independientemente del caso, una vez migrado algún servicio a la nube, el perímetro tradicional de seguridad pierde relevancia ya que tanto usuarios como recursos estarían fuera de la red de la organización, es decir que, firewalls, proxys y otros dispositivos de seguridad tradicionales quedarían fuera de juego.

Cualquier usuario con conexión a internet podría acceder por ejemplo al correo entre otros recursos, sin pasar por controles tradicionales más allá de la autenticación.

Al migrar a la nube, en este caso a Microsoft 365, la organización queda expuesta de forma predeterminada. Su información está en una nube pública y accesible para cualquiera con credenciales válidas.

Independientemente de que Microsoft (acorde a Gartner) sea líder en varias áreas de seguridad, la migración a Microsoft 365 no resuelve automáticamente todos los problemas en este sentido. Las soluciones existen, pero en general requieren un licenciamiento adicional al básico entre otras cosas.

La seguridad en la nube es una responsabilidad compartida entre el proveedor y el cliente, en este caso hay cosas que le corresponden a Microsoft y otras a la organización o individuo que utiliza sus servicios.

Por ejemplo algo que le corresponde al cliente y es fundamental, es la protección de identidades, incluyendo la habilitación de multifactor (MFA) ya sea de forma condicional o requerida. En caso contrario se depende solo de la contraseña del usuario y del mismo modo que un usuario válido podría acceder a los recursos, también podría hacerlo uno malicioso. Esto es muy simple de hacer con un ataque de Password Spray, es cuestión de dar con un usuario con una contraseña débil, cuántos más usuarios tenga la organización mayor es la probabilidad de tener éxito. 

Es decir que la protección de identidades es el primer paso recomendado, a partir de este punto es necesario profundizar en lo que implica la implementación de Zero Trust en la organización. Zero Trust es una estrategia de seguridad que parte de la base de que no se debe confiar en ningún usuario, dispositivo o aplicación de forma automática, siempre se debe verificar.

La implementación de este modelo abarca múltiples áreas, incluyendo:

• Protección y gestión de identidades de usuario y dispositivos.
• Políticas de acceso condicional que permitan el acceso en base a múltiples factores o condiciones.
• Protección contra Amenazas. Monitoreo y respuesta a amenazas en tiempo real.
• Protección de datos sensibles y cumplimiento de normas.

Cada uno de estos aspectos se encuentra cubierto dentro de la estrategia de seguridad de Microsoft:

• Microsoft Defender XDR (Extended Detection and Response). Detección y respuesta extendida a amenazas a través de múltiples capas de defensa.
• Microsoft Defender for Identity. Para la detección de amenazas sobre identidades locales (Active Directory).
• Identity Protection. Protección de identidades en la nube.
• Microsoft Intune. Permite administrar y asegurar los dispositivos que acceden a los recursos corporativos, aplicando políticas de cumplimiento y protegiendo datos sensibles.
• Microsoft Defender for Office 365. Protección de correo electrónico, enlaces y documentos (incluye Onedrive, Sharepoint y Teams).
• Microsoft Defender for Endpoint. Protección de dispositivos contra amenazas.
• Microsoft Defender for Cloud Apps. Intermediario de seguridad para aplicaciones en la nube.
• Microsoft Sentinel. SIEM / SOAR
• Microsoft Defender for Cloud. Protege infraestructuras híbridas, redes y entornos multicloud, detectando comportamientos anómalos y amenazas avanzadas.
• Microsoft Information Protection. Protección de datos sensibles y cumplimiento de normas. 

El problema de seguridad no se debe a limitaciones en la oferta de Microsoft, sino que a la falta de adopción de medidas acorde a la nueva situación.

El liderazgo de Microsoft 365 en muchas áreas de seguridad es irrelevante si la organización no implementa o utiliza las herramientas disponibles. Esto ya sea por no implementar las soluciones licenciadas o por no contar con el licenciamiento adecuado. Si el presupuesto es una limitación, es fundamental tener claro el riesgo que esto implica, evaluar alternativas para la mitigación (o aceptar el riesgo) y asegurar que las decisiones se tomen de manera informada a nivel organizacional, dado que la decisión en este caso dejaría de ser meramente técnica.

En el próximo artículo nos metemos de lleno en los desafíos de seguridad asociados con Microsoft 365.

Artículos en la serie

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad

2. Desafíos de seguridad en Microsoft 365

3. Responsabilidad Compartida en Microsoft 365 y Azure

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure

6. Tipos de Identidades en Entra ID (Azure AD)

7. Manejo de dispositivos con Microsoft Intune

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR

9. Microsoft Defender for Identity

10. Antispam y Phishing con Defender for Office 365

11. Protección de dispositivos con Microsoft Defender for Endpoint

12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps

13. Microsoft Defender for Cloud

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365