Descripción

Un dispositivo inactivo u obsoleto es una cuenta de dispositivo que ha permanecido inactiva al no completar ningún inicio de sesión durante un período específico (90 días de manera predeterminada, pero se puede personalizar mediante una opción).

Los dispositivos inactivos pueden introducir los siguientes riesgos de seguridad y complicaciones operativas:

  • Mayor superficie de ataque: la configuración obsoleta y las vulnerabilidades sin parches hacen que los dispositivos inactivos sean vulnerables a exploits que las actualizaciones recientes han abordado.
  • Vulneración más sencilla: los agentes maliciosos pueden lograr una vulneración total del inquilino y obtener acceso no autorizado a información confidencial.
  • Auditorías: problemas surgidos durante las auditorías de cumplimiento.
  • Consumo de recursos: licencias que generan costos innecesarios.
  • Degradación del rendimiento: escrituras diferidas innecesarias de dispositivos que prolongan el tiempo necesario para las sincronizaciones de Microsoft Entra Connect.

Además, tenga en cuenta el IoE relacionado “Dispositivo no utilizado nunca”, que detecta todos los dispositivos que se crearon anteriormente, pero que no se usaron nunca.

Nota:

  1. Este IoE se basa en la propiedad approximateLastSignInDateTime, que no se actualiza en tiempo real. El valor actual se actualiza solo si la diferencia supera los 14 días (+/-5 días).
  2. Por este motivo, Microsoft reconoce que “algunos dispositivos activos pueden tener una marca de tiempo en blanco”. En tales casos, es necesario llevar a cabo una investigación más detallada con los registros de auditoría de inicio de sesión para descubrir actualizaciones más frecuentes en el dispositivo.

Solución

Tenable recomienda revisar periódicamente, y deshabilitar o eliminar los dispositivos inactivos. Luego de identificarlos, siga las acciones a continuación:

  1. Deshabilite los dispositivos.
  2. Espere un período suficiente, como unos meses, para garantizar que no haya ningún efecto no deseado.
  3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Microsoft publicó la guía Administración de dispositivos obsoletos en Microsoft Entra ID, en la que se brinda información sobre cómo gestionar dispositivos obsoletos según su tipo de unión (por ejemplo, registrado en Microsoft Entra, unido a Microsoft Entra, etc.). Recomendamos que la revise antes de eliminar cualquier dispositivo.

Detalles del indicador

Nombre: Dispositivo inactivo

Nombre en clave: DORMANT-DEVICE

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: