Copias de seguridad frente a violaciones de seguridad: herramientas de recuperación de Entra ID para errores cotidianos e intrusiones maliciosas

La recuperación de Entra ID —y la resiliencia de la identidad en general— se centra en dos tipos de situaciones: la recuperación tras accidentes y la recuperación tras intrusiones de seguridad.

Para comprender estos sucesos y las herramientas necesarias para hacer frente a los problemas que provocan, debemos analizar cómo ha cambiado el panorama de las amenazas a la identidad en los últimos 15 años.

Errores cotidianos: un camino sembrado de buenas intenciones

Alrededor de 2014, empezamos a observar una nueva tendencia en los problemas relacionados con la identidad en la nube. Estos problemas no se debían a interrupciones del servicio ni a la mala calidad de los servicios en la nube de Microsoft, sino a errores cometidos por los administradores en Azure AD (ahora Entra ID).

Algunos ejemplos de incidentes reales:

• Un administrador autorizado borra por error varios grupos de seguridad que controlan el acceso a una base de datos fundamental para la empresa. Esto provoca una interrupción del servicio de dos días, mientras el equipo se esfuerza por recrear manualmente los grupos y sus miembros de memoria.
• A un administrador junior se le encarga la «limpieza de aplicaciones obsoletas» en un intento bienintencionado de reducir los riesgos de seguridad para la empresa. Sin darse cuenta, el administrador borra miles de aplicaciones críticas para el negocio que no estaban en absoluto obsoletas, lo que provoca una interrupción del servicio de 28 días y una importante iniciativa para restablecer el funcionamiento normal.
• Un administrador bienintencionado «liberó» licencias de Office 365 al retirar las asignaciones de usuarios legítimos. Este sencillo problema interrumpió la actividad empresarial de cientos de usuarios durante más de un día.

Estos casos de configuraciones erróneas y eliminaciones accidentales no eran nada nuevo. Problemas similares habían sido habituales en Active Directory durante más de una década. Los efectos acumulados son alucinantes: ¡tantas unidades organizativas (OU) y sus contenidos eliminados y restaurados!

Pero descubrir los errores de configuración en la identidad en la nube... eso sí que era nuevo . ¿Cómo se protege a los usuarios de sus propios errores si las identidades están alojadas en la nube?

El modelo de responsabilidad compartida del SaaS hace que esto sea un problema tuyo.

Como cliente que utiliza el servicio en la nube, usted es el único responsable de la integridad de los datos del almacén de identidades. Para muchas empresas, esta responsabilidad se traduce en una clara necesidad de garantizar la resiliencia de las identidades frente a errores inofensivos pero con graves consecuencias.

Intrusiones maliciosas: los atacantes no piratean los sistemas... sino que inician sesión

Mientras tanto, estaba surgiendo otra tendencia: los ciberdelincuentes hacían todo lo posible por acceder a los recursos en la nube. La forma más sencilla era iniciar sesión, no piratear el sistema. Por eso, se volvió fundamental configurar la autenticación multifactorial (mediante algo que se tiene, se sabe o se es) y otros controles de seguridad.

Pronto quedó claro que la ingeniería social y otras técnicas permitirían a los atacantes acceder al sistema de todos modos, a pesar de todos los esfuerzos realizados. Y en los casos en los que intervenía un empleado malintencionado, los intrusos ya se encontraban «dentro del edificio» y tenían acceso. Los controles de seguridad no iban a impedir su entrada; se trataba, en efecto, de administradores legítimos.

Los ejemplos de estas historias de «iniciar sesión, no hackear» son innumerables y dignos de mención. Los más conocidos son los ataques que comenzaron con una vulneración de las redes sociales, como el ciberataque al MGM Grand, y las técnicas en constante evolución utilizadas por los autores de amenazas, como Storm 0501. Fui testigo de todo esto en tiempo real, primero como responsable de servicios de identidad en la nube y después como director de producto en Microsoft. Ayudaba habitualmente a las organizaciones a resolver situaciones similares y me reunía con ellas para recabar opiniones sobre cuáles eran sus principales dificultades.

Evolución de la protección y recuperación de Entra ID

Para nuestro equipo de Microsoft quedó claro que había dos tipos de incidentes de gran importancia que requerían capacidades más sólidas: la recuperación tras accidentes y la recuperación tras modificaciones y eliminaciones maliciosas.

Teníamos que abordar los casos de accidentes de forma nativa. La estrategia que decidimos adoptar consistió en reforzar la resiliencia de las identidades en la nube frente a cambios y eliminaciones accidentales mediante:

• Funciones ampliadas de eliminación temporal
• Reversión de cambios nativos

Abordamos los casos de modificaciones y eliminaciones maliciosas reforzando la seguridad en lugar de la resiliencia. Esto se enmarcó en la iniciativa orientada a la seguridad «Zero Trust», en la que se reforzaron y ampliaron funciones como el acceso condicional. Restablecer rápidamente el nivel de seguridad durante o después de una intrusión no era la prioridad.

Volvamos al presente. Los incidentes relacionados con la identidad en la nube siguen produciéndose, y sigue siendo importante protegerse contra ellos. Al mismo tiempo, los incidentes maliciosos han aumentado tanto en frecuencia como en gravedad.  

El hecho de que el escenario en el que «el malhechor ha iniciado sesión» se produzca con mayor frecuencia significa que la función de recuperación tras un incidente por sí sola no es suficiente.

Las organizaciones necesitan herramientas diseñadas para restablecer el estado de seguridad de Entra ID y las aplicaciones de negocio, incluso ante la amenaza de los atacantes. Se requiere una resiliencia de la identidad centrada en la seguridad, lo que incluye:

• La capacidad de restablecer la seguridad de forma rápida y exhaustiva
• Un análisis forense del estado anterior
• Retención prolongada de las copias de seguridad (de modo que la disponibilidad de las copias de seguridad supere el tiempo durante el cual los usuarios malintencionados permanecen sin ser detectados en el entorno del cliente)
• Inmutabilidad de las copias de seguridad para que estén disponibles cuando se necesiten
• Un cifrado sólido del contenido para proteger los datos

Herramientas para proteger y recuperar Entra ID en caso de accidentes e intrusiones

Para Entra ID, los retos de la recuperación abarcan dos ámbitos muy distintos: por un lado, la seguridad y la recuperación avanzada; y, por otro, los cambios o borrados accidentales cotidianos.

Semperis Disaster Recovery for Entra Tenant (DRET) aborda el primer aspecto al ofrecer capacidades de recuperación centradas en la seguridad y basadas en escenarios. Esta solución ofrece mucho más que una simple restauración a un punto en el tiempo. DRET puede reconstruir objetos y políticas complejos e interdependientes (por ejemplo, acceso condicional, gestión de identidades privilegiadas (PIM), gestión de dispositivos Intune y otros controles críticos) de una manera que preserve la postura de seguridad prevista y facilite la investigación de cambios maliciosos o de alto riesgo. DRET también satisface la necesidad de priorizar la restauración basada en la seguridad y en escenarios, lo que permite a los responsables de la toma de decisiones saber qué se debe restaurar y en qué orden, un aspecto crítico de la recuperación ante incidentes de seguridad.

Microsoft Entra Backup and Recovery complementa estas capacidades centrándose en problemas sencillos y frecuentes, como el borrado accidental o la simple configuración errónea de usuarios, grupos y objetos básicos del directorio. Esta solución resulta adecuada en situaciones en las que los comportamientos de copia de seguridad y los flujos de restauración nativos son suficientes y rentables.

Las organizaciones necesitan tanto DRET como Microsoft Entra Backup and Recovery, ya que los entornos modernos de Entra ID se enfrentan a riesgos simultáneos. Debe poder corregir con rapidez los errores inocuos de los administradores y operadores que deben subsanarse de inmediato. Además, debe estar capacitado para detener los ataques dirigidos o sistémicos que requieren amplias capacidades de recuperación, comparación y coordinación para devolver al inquilino de forma segura a un estado conocido y seguro, sin reintroducir las mismas vulnerabilidades que el atacante aprovechó.

Más información: Comparación entre Semperis Disaster Recovery for Entra Tenant y Microsoft Entra Backup and Recovery

Prepárate con antelación tanto para accidentes como para actos maliciosos con herramientas diseñadas específicamente para ello: Microsoft Entra Backup and Restore y Semperis Disaster Recovery for Entra Tenant.

Desarrolla tu estrategia de resiliencia de identidad contando con las mejores herramientas de recuperación de Entra ID del sector. Cuando puedes resolver rápidamente los incidentes, estos se convierten en meras distracciones, en lugar de problemas que te obligan a actualizar tu currículum durante varios días.

Para saber más

• Fortalecimiento de la recuperación de la identificación de Entra y la resiliencia de la seguridad de la identidad
• 4 razones para aumentar la recuperabilidad de los recursos de Entra ID
• Entra ID Recuperación en caso de catástrofe