miércoles, 18 de diciembre de 2024

Autenticación MultiFactor MFA Segura

¿Qué es la verificación en dos pasos?
La verificación en dos pasos (a veces denominada autenticación en dos fases 2FA o autenticación multifactor MFA) dificulta que otra persona inicie sesión con tu cuenta de Microsoft. Usa dos formas diferentes de identidad: una contraseña y un método de contacto (también conocido como información de seguridad). Incluso si alguien descubre la contraseña, no podrá iniciar sesión si no tiene acceso a la información de seguridad.

¿Qué sucede cuando activas la verificación en dos pasos?
Si activas la verificación en dos pasos, obtendrás un código de seguridad en tu correo electrónico, teléfono o aplicación de autenticación cada vez que inicies sesión en un dispositivo que no es de confianza. Cuando la verificación en dos pasos esté desactivada, solo tendrás que verificar tu identidad con códigos de seguridad, periódicamente, cuando pueda existir riesgo para la seguridad de tu cuenta. 

La autenticación multifactor es un proceso en el que se solicita a los usuarios durante el proceso de inicio de sesión una forma adicional de identificación, como un código en su teléfono móvil o un escáner de huellas dactilares. Si solo usa una contraseña para autentificar a un usuario, deja un vector desprotegido frente a los ataques. Al exigir una segunda forma de autentificación, aumenta la seguridad, porque este factor adicional no es algo que resulte fácil de obtener o duplicar para un atacante.

Con la autenticación multifactor MFA de Microsoft Entra, se pueden usar las siguientes formas adicionales de verificación:

  • Microsoft Authenticator
  • Authenticator Lite (en Outlook)
  • Windows Hello para empresas
  • Clave de paso (FIDO2)
  • Clave de paso en Microsoft Authenticator (versión preliminar)
  • Autenticación basada en certificados (cuando se configura para la autenticación multifactor)
  • Métodos de autenticación externa (versión preliminar)
  • Pase de acceso temporal (TAP)
  • Token de hardware OATH (versión preliminar)
  • Token de software OATH
  • sms
  • Llamada de voz

¿Es SIEMPRE segura la autenticaciones con un segundo factor de autenticacion 2FA o la autenticación Multifactor MFA? Pues NO siempre, depende de que tecnología se utilice para ese segundo factor de autenticación, unas opciones son más seguras que otras, como se aprecia en las indicaciones de configuración de Microsoft.

En el blog de Chema Alonso, se publicaba precisamente el otro día, un ataque sobre identidades con autenticacion multifactor, aquí puedes ver los detalles...

AuthQauke: Un bug en Microsoft MFA que permitía Brute Force de tus TOTP para entrar en tu cuenta de Microsoft

La Recomendación, no es solo configurar autenticacion multifactor, es necesario utilizar métodos seguros para la doble autenticación, habilitar un tercer factor de autenticacion para recuperar la cuenta y configurar reglas de acceso condicional para mejorar la seguridad de acceso a Microsoft 365, Azure y/o el entorno local.

 

En los siguientes enlaces tienes más información:

Cómo funciona: autenticación multifactor de Microsoft Entra
https://learn.microsoft.com/es-es/entra/identity/authentication/concept-mfa-howitworks
Cómo utilizar la verificación en dos pasos con su cuenta de Microsoft
https://support.microsoft.com/es-es/account-billing/c%C3%B3mo-utilizar-la-verificaci%C3%B3n-en-dos-pasos-con-su-cuenta-de-microsoft-c7910146-672f-01e9-50a0-93b4585e7eb4
Ayuda de la cuenta del trabajo o la escuela
https://support.microsoft.com/es-es/account-billing/ayuda-de-la-cuenta-del-trabajo-o-la-escuela-718b3d92-a8a7-4656-8a05-c0228d346b7d
Cambiar el método y la configuración de verificación en dos pasos
https://support.microsoft.com/es-es/account-billing/cambiar-el-m%C3%A9todo-y-la-configuraci%C3%B3n-de-verificaci%C3%B3n-en-dos-pasos-c801d5ad-e0fc-4711-94d5-33ad5d4630f7

Seguridad a lo Jabalí para Todos!!

Publicado por en 14:16 0 comentarios
Etiquetas: , , , , , , ,

jueves, 12 de diciembre de 2024

CIS Community Defense Model

El Centro para la Seguridad de Internet CIS publica y mantiene un documento denominado: Modelo de defensa comunitaria CDM de CIS, que pretende aportar más rigor, análisis y transparencia a las recomendaciones de seguridad que se encuentran en los controles. Aprovecha la disponibilidad abierta de resúmenes completos de ataques e incidentes de seguridad, como el Informe de Verizon DBIR y el modelo MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge).
 
El modelo de gestión de riesgos de CIS se construyó utilizando el siguiente proceso:
  • A partir del DBIR de Verizon y otras fuentes, se identifican los cinco tipos de ataques más importantes contra los que  defenderse: ataques de aplicaciones web, información privilegiada y privilegios mal administrados, malware, ransomware y ataques dirigidos.
  • Para cada tipo de ataque, determinar un patrón de ataque, es decir, las técnicas del modelo ATT&CK necesarias para ejecutar las tácticas utilizadas en ese ataque.
  • Identificar el valor de seguridad específico de las medidas de seguridad en los controles de CIS contra las técnicas encontradas de cada ataque. Analizar la clase de mitigaciones asociadas con cada técnica.
  • Examinar el valor de mitigación de ataques para implementar los subcontroles que comprenden los controles de CIS. 
 
La ultima versión de los Controles de CIS, esta disponible para su descarga en el siguiente enlace:
 

Los controles de seguridad críticos CIS® (CIS Controls®) comenzaron como una actividad sencilla para identificar los ataques cibernéticos más comunes e importantes del mundo real que afectan a las empresas todos los días, traducir ese conocimiento y experiencia en acciones positivas y constructivas para los defensores y luego compartir esa información con un público más amplio. Los objetivos originales eran modestos: ayudar a las personas y a las empresas a centrar su atención y comenzar a dar los pasos más importantes para defenderse de los ataques que realmente importaban.
 
Los controles de seguridad críticos o CIS Controls son una serie de medidas de seguridad para mitigar los ataques más frecuentes contra sistemas y redes informáticas. Existe toda una comunidad de expertos voluntarios que desarrollan los controles CIS, proviene de diferentes sectores: defensa, gobierno, centros académicos, servicios médicos, fabricación, transporte y comercio minorista.
 
El CIS ha publicado el Modelo de Defensa Comunitaria (CDM), que es nuestro enfoque más basado en datos hasta el momento. En su versión inicial, el CDM analiza las conclusiones del último DBIR de Verizon, junto con los datos del Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC®), para identificar lo que creemos que son los cinco tipos de ataques más importantes. Describir esos ataques utilizando el marco de trabajo MITRE Adversarial Tactics, Techniques, and Common Knowledge para crear patrones de ataque. Esto permite analizar el valor de las acciones defensivas, es decir, las salvaguardas contra esos ataques. 
 
En concreto, también proporciona una forma coherente de analizar el valor de seguridad de un conjunto determinado de acciones defensivas a lo largo del ciclo de vida del atacante y proporciona una base para estrategias como la defensa en profundidad.
 
Los detalles de este análisis están disponibles en el sitio web del CIS. En definitiva, un paso importante hacia la identificación del valor de seguridad de los controles CIS, o de cualquier subconjunto de ellos.
 
La ultima versión de los Controles Críticos de Seguridad del CIS esta disponible para su descarga, una excelente referencia para aprender, planificar y desarrollar una estrategia solida de defensa para la infraestructura informática de cualquier organización.
 
CIS Controls® content, you are authorized to copy and redistribute the content as a framework for use by you, within your organization and outside of your organization, for non-commercial purposes only, provided that (i) appropriate credit is given to CIS, and (ii) a link to the license is provided. Additionally, if you remix, transform, or build upon the CIS Controls, you may not distribute the modified materials. Users of the CIS Controls framework are also required to refer to http://www.cisecurity.org/controls/) when referring to the CIS Controls in order to ensure that users are employing the most up-to-date guidance. Commercial use of the CIS Controls is subject to the prior approval of the Center for Internet Security, Inc. (CIS®).
 
Seguridad a lo Jabalí para Todos!!
Publicado por en 12:53 0 comentarios
Etiquetas: , , , , , ,

miércoles, 4 de diciembre de 2024

Microsoft 365 Copilot Seguridad en I.A. Privacidad y Cumplimiento Normativo

La Inteligencia Artificial ha venido para quedarse, en Microsoft se llama Copilot y esta integrada en varias soluciones como Office, Azure o Microsoft 365. Hay varias preguntas que surgen en el momento que una I.A. se integra con un servicio empresarial, más aún si estas en España con el Reglamento General de Protección de Datos RGPD y en la Unión Europea, con una reglamentación estricta sobre datos personales y el derecho a la privacidad.

Así que le pregunte al propio Copilot, en mi caso "La Guaja",  sobre este tema y qué sucede con las consultas que hacen los usuarios de una empresa con M365 a Copilot....

 


Una de las repuestas que me da, es que los datos de esas peticiones no se utilizan para entrenar los modelos generales de ChatGPT, y las consultas son anónimas. Bueno, no esta mal, pero el uso de Copilot cumple con las normativas de privacidad y protección de datos personales de la Unión Europea o por el contrario, si los usuarios de la organización lo usan pueden estar vulnerando alguna ley o normativa.

Y como funciona exactamente el proceso de peticiones de Copilot, para asegurarme de que estos datos son correctos, la siguiente imagen muestra el sistema de peticiones de la I.A. de Microsoft...

En los siguientes enlaces puedes ampliar la información del uso de Copilot en Microsoft 365:

Copilot en el ecosistema de Microsoft 365
https://learn.microsoft.com/es-es/microsoft-365-copilot/extensibility/ecosystem

Datos, privacidad y seguridad para Microsoft 365 Copilot
https://learn.microsoft.com/es-es/copilot/microsoft-365/microsoft-365-copilot-privacy

Filtrado de contenido en Azure OpenAI Service
https://learn.microsoft.com/es-es/azure/ai-services/openai/concepts/content-filter

Seguridad en el Uso de Copilot

Los administradores pueden configurar la seguridad de los agentes de Copilot como aplicaciones en la sección Aplicaciones integradas del Centro de administración de M365, ver la lista de aplicaciones disponibles, implementadas o bloqueadas para su organización. Las opciones disponibles son:

  • Configurar un agente de Copilot disponible para usuarios o grupos específicos.
  • Bloquear o desbloquear los agentes de Copilot para toda la organización.
  • Implementar o quitar agentes de Copilot para toda la organización, usuarios o grupos específicos.

Aun así, Microsoft reconoce que existe la posibilidad de manipular una respuesta de Copilot en escenarios específicos....

"En tiempo de ejecución, Microsoft 365 Copilot motivos por una combinación de la solicitud del usuario, instrucciones personalizadas que forman parte del agente declarativo y datos proporcionados por acciones personalizadas. Todos estos datos pueden influir en el comportamiento del sistema y este procesamiento conlleva riesgos de seguridad, en concreto, que si una acción personalizada puede proporcionar datos de orígenes que no son de confianza (como correos electrónicos o vales de soporte técnico), un atacante podría ser capaz de crear una carga de mensaje que haga que el agente se comporte de una manera que controlan, respondiendo incorrectamente a preguntas o incluso invocando acciones personalizadas."

Fuente: Administración de agentes de Copilot en aplicaciones integradas
https://learn.microsoft.com/es-es/microsoft-365/admin/manage/manage-copilot-agents-integrated-apps

¿Los próximos ataques informáticos serán alteraciones en las respuestas de Inteligencia Artificial, que puedan influir en decisiones, configuraciones o acciones de los usuarios o procesos automatizados? 

Seguridad a lo Jabalí para Todo@s!!

Publicado por en 18:20 0 comentarios
Etiquetas: , , , , , , , , , ,
Suscribirse a: Entradas (Atom)

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias