Usuario sin privilegios inactivo

Un usuario inactivo es una cuenta de usuario que ha permanecido inactiva al no completar ningún inicio de sesión correcto durante un período específico (90 días de manera predeterminada, pero se puede personalizar mediante una opción).

Los usuarios inactivos pueden introducir los siguientes riesgos de seguridad y complicaciones operativas:

• Como objetivos potenciales para los atacantes si estas cuentas tienen contraseñas débiles o que no se han cambiado, lo que facilita una vulneración. Por ejemplo, una alerta de CISA informó lo siguiente:

también se han dirigido campañas a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema.

• Un aumento en la superficie de ataque de la organización al crear vulnerabilidades potenciales. Por ejemplo, la misma alerta de CISA informó lo siguiente:

Luego de un restablecimiento de contraseñas obligatorio para todos los usuarios durante un incidente, también se observó que los agentes de SVR iniciaron sesión en cuentas inactivas y siguieron las instrucciones para restablecer la contraseña. Esto permitió que los agentes recuperaran el acceso luego de las actividades de expulsión en respuesta ante incidentes.

• Acceso a personas que ya no lo necesitan, como exempleados o becarios que nunca han utilizado esta cuenta.
• Desperdicio de recursos, como licencias. La identificación, desactivación o eliminación periódicas de usuarios inactivos permite a las organizaciones optimizar la asignación de recursos y ahorrar costos innecesarios.

Además, tenga en cuenta el IoE relacionado “Usuario sin privilegios no utilizado nunca”, que detecta todos los usuarios que se crearon anteriormente, pero que no se usaron nunca. Consulte también el IoE relacionado, “Usuario privilegiado inactivo”, para los usuarios privilegiados.

Nota: El IoE se basa en la propiedad lastLogin, que tiene una limitación conocida: Okta solo actualiza este valor cuando un usuario accede al tablero de control de Okta. Como resultado, las autenticaciones iniciadas por la SP (como cuando los usuarios acceden directamente a una aplicación y se les redirige brevemente a Okta para autenticarse) no actualizan esta propiedad. Por lo tanto, el IoE puede informar falsos positivos de usuarios que nunca accedieron al tablero de control de Okta, pero que se autenticaron correctamente en las aplicaciones. Si bien Okta documentó una solución alternativa, actualmente no es compatible con Tenable Identity Exposure. Como resultado, debe excluir manualmente estos falsos positivos.

Tenable recomienda revisar periódicamente, y deshabilitar o eliminar los usuarios inactivos. Luego de identificarlos, siga las acciones a continuación:

1. Deshabilite los usuarios.
2. Espere un período suficiente, como unos meses, para garantizar que no haya ningún efecto no deseado.
3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Nombre: Usuario sin privilegios inactivo

Nombre en clave: DORMANT-NON-PRIVILEGED-USER-OKTA

Gravedad: Low

Tipo: Okta Indicator of Exposure