Usuario privilegiado inactivo

Un usuario inactivo es una cuenta de usuario que ha permanecido inactiva al no completar ningún inicio de sesión correcto durante un período específico (90 días de manera predeterminada, pero se puede personalizar mediante una opción).

Los usuarios inactivos pueden introducir los siguientes riesgos de seguridad y complicaciones operativas:

• Como objetivos potenciales para los atacantes si estas cuentas tienen contraseñas débiles o que no se han cambiado, lo que facilita una vulneración. Por ejemplo, una alerta de CISA informó lo siguiente:

también se han dirigido campañas a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema.

• Un aumento en la superficie de ataque de la organización al crear vulnerabilidades potenciales. Por ejemplo, la misma alerta de CISA informó lo siguiente:

Luego de un restablecimiento de contraseñas obligatorio para todos los usuarios durante un incidente, también se observó que los agentes de SVR iniciaron sesión en cuentas inactivas y siguieron las instrucciones para restablecer la contraseña. Esto permitió que los agentes recuperaran el acceso luego de las actividades de expulsión en respuesta ante incidentes.

• Acceso a personas que ya no lo necesitan, como exempleados o becarios que nunca han utilizado esta cuenta.
• Desperdicio de recursos, como licencias. La identificación, desactivación o eliminación periódicas de usuarios inactivos permite a las organizaciones optimizar la asignación de recursos y ahorrar costos innecesarios.

Además, tenga en cuenta el IoE relacionado “Usuario privilegiado no utilizado nunca”, que detecta todos los usuarios que se crearon anteriormente, pero que no se usaron nunca. El riesgo es mayor para los usuarios privilegiados. Consulte también el IoE relacionado, “Usuario sin privilegios inactivo”, para los usuarios sin privilegios.

Nota: El IoE se basa en la propiedad lastLogin, que tiene una limitación conocida: Okta solo actualiza este valor cuando un usuario accede al tablero de control de Okta. Como resultado, las autenticaciones iniciadas por la SP (como cuando los usuarios acceden directamente a una aplicación y se les redirige brevemente a Okta para autenticarse) no actualizan esta propiedad. Por lo tanto, el IoE puede informar falsos positivos de usuarios que nunca accedieron al tablero de control de Okta, pero que se autenticaron correctamente en las aplicaciones. Si bien Okta documentó una solución alternativa, actualmente no es compatible con Tenable Identity Exposure. Como resultado, debe excluir manualmente estos falsos positivos.

Tenable recomienda revisar periódicamente, y deshabilitar o eliminar los usuarios inactivos, en particular los privilegiados. Luego de identificarlos, siga las acciones a continuación:

1. Deshabilite los usuarios.
2. Espere un período suficiente, como unos meses, para garantizar que no haya ningún efecto no deseado.
3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Nombre: Usuario privilegiado inactivo

Nombre en clave: DORMANT-PRIVILEGED-USER-OKTA

Gravedad: Medium

Tipo: Okta Indicator of Exposure