Device posture: The missing layer in access controls

La postura del dispositivo es el estado en tiempo real de seguridad y cumplimiento de un dispositivo endpoint, como una laptop, un smartphone o una estación de trabajo. Esto cumple un papel fundamental para garantizar que solo los dispositivos confiables y conformes puedan acceder a las redes y aplicaciones de una empresa o organización empresarial. 

La postura del dispositivo ayuda a evaluar si un dispositivo cumple con todas las políticas de seguridad establecidas por la empresa, lo que implica verificar aspectos como:

• Sistema operativo: ¿El SO está actualizado y es seguro?

• Ajustes del firewall: ¿El firewall está en ejecución y configurado correctamente?

• Software antivirus: Si se requiere en un SO determinado (como Windows), ¿está instalado, en ejecución y actualizado?

• Cifrado de disco: ¿Los datos confidenciales están protegidos mediante cifrado de disco completo?

Al evaluar el estado de seguridad de los dispositivos que solicitan acceso a los recursos, las organizaciones pueden establecer la confianza de que esos dispositivos cumplen con sus criterios de seguridad específicos. Esto es esencial para proteger los datos empresariales y reducir los riesgos de seguridad.

La aplicación correcta de la postura del dispositivo se logra con la ayuda tanto del monitoreo en tiempo real como del control de acceso. El monitoreo en tiempo real implica supervisar continuamente los atributos del dispositivo para garantizar el cumplimiento constante, lo que permite responder rápidamente a cualquier cambio en el estado de seguridad de un dispositivo. Según la postura del dispositivo, las organizaciones también pueden aplicar controles de acceso, permitiendo que solo los dispositivos conformes se conecten a recursos confidenciales.

En este mundo siempre activo y siempre conectado, la seguridad se ha vuelto fundamental para el éxito a largo plazo de la postura de dispositivos de una organización. Con el monitoreo en vivo y en tiempo real del estado de los endpoints, cualquier dispositivo conectado a una red se puede evaluar rápidamente para decidir si se le concede acceso. 

Empresas como Okta (seguridad de identidad), Omnissa (gestión del espacio de trabajo), Zscaler, Palo Alto Networks, Cisco, CrowdStrike, Citrix y NordLayer se enfocan en la postura del dispositivo. Mientras tanto, los dos sectores principales que dependen principalmente de la postura del dispositivo son la ciberseguridad y la salud.

Según Varonis, “las filtraciones de datos en el sector salud siguen siendo las más costosas, con un costo promedio de $7.42 millones, una disminución frente a los $9.77 millones del año anterior”. Y Retail Technology Review informó que el 72 % de las filtraciones fueron causadas por dispositivos inalámbricos no protegidos.

Con la ayuda de la evaluación de la postura de dispositivos, esos dispositivos inalámbricos inseguros nunca habrían recibido acceso a los recursos de una organización, lo que habría reducido el número de filtraciones. 

En otras palabras, la postura del dispositivo se trata de impedir que dispositivos no deseados accedan a los recursos de una organización. Con los sistemas adecuados (como las comprobaciones de postura de Cloudflare Zero Trust y Microsoft Intune), este proceso no solo se simplifica, sino que también se puede automatizar, de modo que las comprobaciones de dispositivos endpoint no requieran intervención humana.

Las comprobaciones de postura más comunes (e importantes) para la postura del dispositivo incluyen:

• Parches y actualizaciones: ¿Los dispositivos que solicitan acceso están actualizados con los parches de seguridad más recientes?

• Antimalware: ¿Esos dispositivos incluyen herramientas antivirus y antimalware? 

• Cifrado de disco: ¿Se usa cifrado de disco completo en los dispositivos que almacenan o acceden a información confidencial?

• Puertos USB vacíos: ¿Hay algún dispositivo externo conectado a los puertos USB? 

• Autenticación de usuarios: ¿Los usuarios se autenticaron correctamente antes de acceder al dispositivo en cuestión?

• Aplicaciones vulnerables: ¿Hay aplicaciones vulnerables instaladas en el dispositivo?

• Antiphishing: ¿El dispositivo incluye herramientas antiphishing?

• Uso de memoria: ¿Cómo es el uso de memoria en la máquina? Un uso elevado puede indicar actividad sospechosa.

• Gestionado o no gestionado: ¿El dispositivo está gestionado o es BYOD (trae tu propio dispositivo)?

• Estado biométrico: En dispositivos que usan autenticación biométrica, ¿está actualizada y es segura?

• Estado de EDR/AV: ¿Hay un agente de seguridad de endpoints aprobado ejecutándose en el dispositivo y está actualizado?

• Inscripción en MDM/estado gestionado: ¿El dispositivo está inscrito y cumple con las políticas actuales?

Para obtener más información sobre el monitoreo SIEM y cómo vigilar la postura de los dispositivos, consulta Monitoreo de registros de eventos de Bitwarden.

Al evaluar y monitorear continuamente la seguridad de los dispositivos, las empresas y las organizaciones empresariales pueden mejorar significativamente su postura general de seguridad. Cuando un dispositivo intenta conectarse a una red, se somete a una evaluación para determinar su estado de seguridad. Esa comprobación incluye todos los atributos enumerados en las señales principales usadas en las comprobaciones de postura.

Los dispositivos se comparan con perfiles específicos de postura del dispositivo creados por la organización. Esos perfiles pueden incluir la presencia de software de seguridad, el cumplimiento de las políticas de la organización, los ajustes de configuración y el monitoreo en tiempo real.

Si un dispositivo cumple con las políticas de la organización, se le concede acceso. Si un dispositivo no cumple con los criterios de seguridad establecidos, se activan acciones de remediación, que pueden incluir notificar al usuario, restringir el acceso o guiar al usuario sobre cómo hacer cambios para que el dispositivo cumpla.

Luego se generan informes sobre el cumplimiento de la postura de los dispositivos, para que una organización pueda comprender mejor su panorama general de seguridad.

El motor de políticas define y aplica las políticas de seguridad, mientras que los conectores garantizan que esas políticas se apliquen en todos los sistemas y aplicaciones.

Algunos ejemplos incluyen:

• Gestión de reglas permite crear y gestionar políticas para dictar cómo se debe acceder a un recurso y usarlo.

• El motor de políticas garantiza que todas las políticas se apliquen de forma coherente en toda la organización.

• Auditoría proporciona las herramientas necesarias para monitorear y auditar el cumplimiento de las políticas.

• Algunos motores de políticas pueden crear políticas de acceso basadas en riesgos que pueden requerir verificación adicional para ciertas acciones sensibles.

Las integraciones de proveedor de identidad/túnel (integraciones de IdP/túnel) simplifican el proceso de autenticación a la vez que garantizan el acceso seguro a los recursos.

Un proveedor de identidad es un servicio específico que gestiona identidades de usuarios y proporciona servicios de autenticación. Las funciones clave de los proveedores de identidad incluyen la autenticación de usuarios, el inicio de sesión único y la gestión de usuarios.

Una integración de túnel se refiere a la conexión segura establecida a través de internet, la mayoría de las veces con la seguridad adicional que ofrecen las VPN (redes privadas virtuales).

Algunas organizaciones optan por permitir BYOD. BYOD significa trae tu propio dispositivo y requiere controles compensatorios adicionales, como alcances limitados, infraestructura de escritorio virtual (VDI) o acceso de solo lectura. Esto es especialmente necesario cuando no se dispone de evaluaciones completas de postura. Existen plataformas específicas para ayudar a garantizar que el dispositivo de un usuario cumpla con las políticas de postura del dispositivo. Estas plataformas mantienen los datos empresariales fuera de los dispositivos personales, eliminan la compleja gestión de dispositivos móviles (MDM) mediante una solución escalable y sin agentes, y evitan fugas de datos.

Piensa en la postura del dispositivo como tu punto de control de seguridad. Antes de que cualquier dispositivo acceda a los recursos de la empresa, la protección de endpoints confirma que cumple con tus requisitos. Los dispositivos que no cumplen se bloquean automáticamente para que no accedan a tus aplicaciones y recursos críticos.

Para una secuencia práctica de implementación de la postura del dispositivo, considera la siguiente lista de verificación.

• Inventario y análisis de brechas: Mapea los dispositivos actuales frente a las comprobaciones indispensables

• Define un dispositivo “saludable”: SO mínimo, cifrado, EDR, inscrito en MDM

• Conectar las señales con las políticas: Conecta las fuentes de postura a tu IdP/proxy y escribe reglas para permitir, solicitar verificación adicional o denegar

• Probar en piloto y monitorear: Empieza con un grupo de apps; mide denegaciones y aprobaciones, y corrige cualquier falso negativo

• Expandir y ajustar: Agrega gradualmente reglas más estrictas (p. ej., bloquear dispositivos con jailbreak/root)

Infotech ofrece una lista descargable de verificación de postura del dispositivo que facilita un poco este proceso.

El administrador de contraseñas de Bitwarden protege identidades y credenciales, incluido el soporte para autenticación sin contraseña, todo lo cual se alinea con las estrategias de confianza cero para dispositivos. Con Bitwarden, las empresas y las organizaciones empresariales obtienen las siguientes funciones:

• Iniciar sesión con dispositivo permite el acceso sin contraseña para reducir la exposición de contraseñas y obtener aprobaciones desde un dispositivo de confianza existente. Obtén más información sobre cómo iniciar sesión con otro dispositivo.

• La verificación de dispositivos nuevos agrega fricción solo para dispositivos desconocidos. Conoce cómo lograrlo con la protección de inicio de sesión en dispositivos nuevos.

• Visibilidad operativa mediante el uso de registros de eventos e integraciones SIEM para monitorear el acceso y los resultados de las políticas.

• Access Intelligence ayuda a los administradores a identificar credenciales en riesgo y corregirlas para reducir los intentos de phishing exitosos que eluden dispositivos débiles. Obtén más información en esta presentación de Access Intelligence.

Si bien es importante centrarse en la postura del dispositivo, también hay que recordar que la autenticación desempeña un rol clave. Para garantizar que todos los dispositivos de una red cumplan con los requisitos, se debe animar (o exigir) a quienes usan los dispositivos a utilizar un administrador de contraseñas. Al evitar el uso de contraseñas débiles y repetidas, se fortalece la postura del dispositivo.

Para obtener más información sobre cómo adoptar Bitwarden como medio para mejorar la postura de tus dispositivos, empieza con este blog sobre estrategias para mantener seguros los dispositivos inteligentes; después, explora todos los planes y precios y comienza tu camino hacia una mejor postura de los dispositivos.