Usuario sin privilegios no utilizado nunca

Un usuario que no se utilizó nunca es una cuenta de usuario creada en Okta que nunca se autenticó correctamente en el tablero de control de Okta durante una cierta cantidad de días (90 días de manera predeterminada, aunque se puede personalizar) desde su creación.

Aumentan la superficie de ataque por diversos motivos, entre otros:

• Una cuenta de puerta trasera que permite el acceso a personas que ya no lo necesitan, como exempleados o becarios que nunca han utilizado esta cuenta.
• Uso continuado de la contraseña predeterminada, lo que deja expuesta la cuenta a un mayor riesgo de vulneración. Por ejemplo, una alerta de CISA informó lo siguiente:

  también se han dirigido campañas a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema

y:

Luego de un restablecimiento de contraseñas obligatorio para todos los usuarios durante un incidente, también se observó que los agentes de SVR iniciaron sesión en cuentas inactivas y siguieron las instrucciones para restablecer la contraseña. Esto permitió que los agentes recuperaran el acceso luego de las actividades de expulsión de respuesta ante incidentes.

• Desperdicio de recursos, como licencias. La identificación, desactivación o eliminación periódicas de usuarios innecesarios permite a las organizaciones optimizar la asignación de recursos y ahorrar costos innecesarios.

Además, considere el IoE “Usuario inactivo” relacionado, que identifica a todos los usuarios previamente activos que desde entonces se han vuelto inactivos. Consulte también el IoE relacionado, “Usuario privilegiado no utilizado nunca”, para los usuarios privilegiados.

Nota: El IoE se basa en la propiedad lastLogin, que tiene una limitación conocida: Okta solo actualiza este valor cuando un usuario accede al tablero de control de Okta. Como resultado, las autenticaciones iniciadas por la SP (como cuando los usuarios acceden directamente a una aplicación y se les redirige brevemente a Okta para autenticarse) no actualizan esta propiedad. Por lo tanto, el IoE puede informar falsos positivos de usuarios que nunca accedieron al tablero de control de Okta, pero que se autenticaron correctamente en las aplicaciones. Si bien Okta documentó una solución alternativa, actualmente no es compatible con Tenable Identity Exposure. Como resultado, debe excluir manualmente estos falsos positivos.

Tenable recomienda revisar periódicamente, y deshabilitar o eliminar estos usuarios que no se han utilizado nunca. Luego de identificarlos, siga las acciones a continuación:

1. Deshabilite los usuarios.
2. Espere un período suficiente, como unos meses, para garantizar que no haya ningún efecto no deseado.
3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Nombre: Usuario sin privilegios no utilizado nunca

Nombre en clave: NEVER-USED-NON-PRIVILEGED-USER-OKTA

Gravedad: Low

Tipo: Okta Indicator of Exposure