Usuario privilegiado no utilizado nunca

Este IoE no puede funcionar sin una licencia de Microsoft Entra ID P1 o P2 debido a restricciones de disponibilidad de datos impuestas por Microsoft.

Un usuario que no se utilizó nunca es una cuenta de usuario creada en Entra ID que nunca se autenticó correctamente durante una cierta cantidad de días (90 días de manera predeterminada, aunque se puede personalizar) desde su creación.

Aumentan la superficie de ataque por diversos motivos, entre otros:

• Una cuenta de puerta trasera que permite el acceso a personas que ya no lo necesitan, como exempleados o becarios que nunca han utilizado esta cuenta.
• Uso continuado de la contraseña predeterminada, lo que deja expuesta la cuenta a un mayor riesgo de vulneración. Por ejemplo, una alerta de CISA informó lo siguiente:

  también se han dirigido campañas a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema

y:

Luego de un restablecimiento de contraseñas obligatorio para todos los usuarios durante un incidente, también se observó que los agentes de SVR iniciaron sesión en cuentas inactivas y siguieron las instrucciones para restablecer la contraseña. Esto permitió que los agentes recuperaran el acceso luego de las actividades de expulsión de respuesta ante incidentes.

• Desperdicio de recursos, como licencias. La identificación, desactivación o eliminación periódicas de usuarios innecesarios permite a las organizaciones optimizar la asignación de recursos y ahorrar costos innecesarios.

Además, considere el IoE “Usuario inactivo” relacionado, que identifica a todos los usuarios previamente activos que desde entonces se han vuelto inactivos. El riesgo es mayor para los usuarios privilegiados. Consulte también el IoE relacionado, “Usuario sin privilegios no utilizado nunca”, para los usuarios sin privilegios.

Nota:

1. Este IoE se basa en la propiedad lastSuccessfulSignInDateTime de la propiedad signInActivity de los objetos de usuario. Su ventaja radica en informar únicamente los inicios de sesión correctos con el fin de evitar interrupciones debido a intentos fallidos, a diferencia de la propiedad lastSignInDateTime. La propiedad lastSuccessfulSignInDateTime está disponible desde diciembre de 2023.
2. Para acceder al tipo de recurso signInActivity, necesita una licencia de Microsoft Entra ID P1 o P2 para cada inquilino. De lo contrario, este IoE no puede detectar usuarios que nunca se usaron y, por lo tanto, omite todo el análisis.
3. Dado que esta propiedad permanece sin rellenar para los usuarios que nunca han iniciado sesión o que iniciaron sesión por última vez antes de diciembre de 2023, los datos necesarios para evaluar el intervalo no están disponibles. En consecuencia, Tenable Identity Exposure no puede detectar correctamente la última fecha de inicio de sesión, lo que puede generar falsos positivos.

Tenable recomienda revisar periódicamente, y deshabilitar o eliminar estos usuarios que no se han utilizado nunca, en particular los privilegiados. Luego de identificarlos, siga las acciones a continuación:

1. Deshabilite los usuarios.
2. Espere un período suficiente, como unos meses, para garantizar que no haya ningún efecto no deseado.
3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Nombre: Usuario privilegiado no utilizado nunca

Nombre en clave: NEVER-USED-PRIVILEGED-USER

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure