Usuario sin privilegios no utilizado nunca

LOW

Descripción

Este IoE no puede funcionar sin una licencia de Microsoft Entra ID P1 o P2 debido a restricciones de disponibilidad de datos impuestas por Microsoft.

Un usuario que no se utilizó nunca es una cuenta de usuario creada en Entra ID que nunca se autenticó correctamente durante una cierta cantidad de días (90 días de manera predeterminada, aunque se puede personalizar) desde su creación.

Aumentan la superficie de ataque por diversos motivos, entre otros:

  • Una cuenta de puerta trasera que permite el acceso a personas que ya no lo necesitan, como exempleados o becarios que nunca han utilizado esta cuenta.
  • Uso continuado de la contraseña predeterminada, lo que deja expuesta la cuenta a un mayor riesgo de vulneración. Por ejemplo, una alerta de CISA informó lo siguiente:

    también se han dirigido campañas a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema

y:

Luego de un restablecimiento de contraseñas obligatorio para todos los usuarios durante un incidente, también se observó que los agentes de SVR iniciaron sesión en cuentas inactivas y siguieron las instrucciones para restablecer la contraseña. Esto permitió que los agentes recuperaran el acceso luego de las actividades de expulsión de respuesta ante incidentes.

  • Desperdicio de recursos, como licencias. La identificación, desactivación o eliminación periódicas de usuarios innecesarios permite a las organizaciones optimizar la asignación de recursos y ahorrar costos innecesarios.

Además, considere el IoE “Usuario inactivo” relacionado, que identifica a todos los usuarios previamente activos que desde entonces se han vuelto inactivos. Consulte también el IoE relacionado, “Usuario privilegiado no utilizado nunca”, para los usuarios privilegiados.

Nota:

  1. Este IoE se basa en la propiedad lastSuccessfulSignInDateTime de la propiedad signInActivity de los objetos de usuario. Su ventaja radica en informar únicamente los inicios de sesión correctos con el fin de evitar interrupciones debido a intentos fallidos, a diferencia de la propiedad lastSignInDateTime. La propiedad lastSuccessfulSignInDateTime está disponible desde diciembre de 2023.
  2. Para acceder al tipo de recurso signInActivity, necesita una licencia de Microsoft Entra ID P1 o P2 para cada inquilino. De lo contrario, este IoE no puede detectar usuarios que nunca se usaron y, por lo tanto, omite todo el análisis.
  3. Dado que esta propiedad permanece sin rellenar para los usuarios que nunca han iniciado sesión o que iniciaron sesión por última vez antes de diciembre de 2023, los datos necesarios para evaluar el intervalo no están disponibles. En consecuencia, Tenable Identity Exposure no puede detectar correctamente la última fecha de inicio de sesión, lo que puede generar falsos positivos.

Solución

Tenable recomienda revisar periódicamente, y deshabilitar o eliminar los usuarios que no se han utilizado nunca. Luego de identificarlos, siga las acciones a continuación:

  1. Deshabilite los usuarios.
  2. Espere un período suficiente, como unos meses, para garantizar que no haya ningún efecto no deseado.
  3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Detalles del indicador

Nombre: Usuario sin privilegios no utilizado nunca

Nombre en clave: NEVER-USED-NON-PRIVILEGED-USER

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: