Requerir MFA para Aplicaciones Expuestas Externamente
Descripción
Requerir que todas las aplicaciones empresariales o de terceros expuestas externamente apliquen MFA, donde sea soportado. Aplicar MFA a través de un servicio de directorio o proveedor SSO es una implementación satisfactoria de esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad
Microsoft · Suscripción por usuario (P1/P2)
Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API
Okta · Suscripción por usuario
Plataforma de autenticación multifactor y acceso de confianza cero con confianza de dispositivos y políticas de acceso adaptativo
Cisco · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Relleno de Credenciales contra Aplicaciones Externas
ConfidencialidadLos atacantes usan bases de datos de credenciales filtradas para realizar intentos automatizados de inicio de sesión contra aplicaciones expuestas externamente que dependen únicamente de contraseñas sin MFA.
Credenciales Robadas por Phishing Usadas para Acceder a Portales Externos
ConfidencialidadLas credenciales de un empleado robadas a través de una campaña de phishing proporcionan acceso inmediato a aplicaciones expuestas externamente porque no se requiere un segundo factor para la autenticación.
Ataque de Fuerza Bruta contra Portal de Inicio de Sesión en Internet
DisponibilidadLos atacantes realizan ataques sostenidos de fuerza bruta contra páginas de inicio de sesión en Internet donde la autenticación de factor único permite adivinación ilimitada de credenciales a escala.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Autenticación de Factor Único en Aplicaciones Externas
Las aplicaciones expuestas externamente protegidas solo por contraseñas son vulnerables al robo de credenciales, relleno, rociado y ataques de fuerza bruta desde cualquier lugar en Internet.
Sin Aplicación de MFA para Aplicaciones SaaS de Terceros
Las aplicaciones de terceros usadas por la empresa carecen de requisitos de MFA, lo que significa que una contraseña comprometida otorga acceso completo a datos potencialmente sensibles alojados en la nube.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Estado de inscripción de MFA y configuración de aplicación | Revisado mensualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |