En los ataques modernos, comprometer una cuenta no siempre significa romper la contraseña. El usuario puede ser la persona correcta, puede superar con éxito el MFA; pero el dispositivo desde el que accede puede estar desactualizado, con el agente de seguridad apagado, con el cifrado de disco deshabilitado, infectado con malware o con root aplicado. En ese caso, aunque la autenticación tenga éxito, el riesgo de acceso persiste.
El trabajo remoto y el modelo de Dispositivo Personal (BYOD) amplifican este problema. El dispositivo corporativo, el dispositivo personal, el dispositivo móvil gestionado, la sesión de navegador temporal y el endpoint desconocido pueden intentar acceder a las mismas aplicaciones. Dar a todos estos dispositivos la misma confianza de acceso contradice el enfoque zero-trust.
Las capas tradicionales de balanceo de carga o WAAP generalmente no ven la postura del dispositivo. Cuando llega el tráfico del usuario pueden interpretar la información de IP, cabecera, TLS o sesión; pero no pueden vincular de forma natural a la decisión de acceso si el dispositivo está gestionado, su estado de cifrado de disco, la actividad del agente de seguridad o el cumplimiento del sistema operativo.
El enfoque correcto es convertir la confianza del dispositivo en una señal de primera clase de la política de acceso. La identidad del usuario, la postura del dispositivo, la ubicación, el nivel de riesgo, el comportamiento de la sesión y el estado del MFA deben evaluarse en la misma cadena de conditional-access.
TR7 Gestor de Confianza de Endpoint ofrece este modelo: vincula las señales de confianza provenientes de la postura del dispositivo a las políticas de acceso de AAM y toma la decisión de acceso con el trío usuario + dispositivo + contexto.
TR7 ETM opera con postura del dispositivo, señales agentless, evaluación continua e integración con la política de acceso.
En los dispositivos gestionados pueden recopilarse la versión del sistema operativo, el cifrado de disco, el estado del agente de seguridad, el firewall, la gestión del dispositivo y la información de cumplimiento. Estas señales ricas proporcionan un contexto de alta confianza en la decisión de acceso.
En los dispositivos sin agente instalado pueden evaluarse la información del navegador, la huella TLS, las pistas del sistema operativo y el contexto del cliente. Este modelo no es tan rico como una postura completa, pero no deja por completo a ciegas a los dispositivos desconocidos.
El dispositivo puede evaluarse no solo en el momento del login, sino también durante toda la sesión. Si la postura se deteriora, puede reducirse el nivel de acceso, solicitarse MFA o finalizarse la sesión.
El dispositivo puede clasificarse en categorías como compliant, non-compliant o at-risk. Estas categorías se vinculan directamente a políticas de AAM como allow, MFA, block o acceso restringido.
El Gestor de Confianza de Endpoint convierte las señales de confianza del dispositivo en una entrada de decisión aplicable de las políticas de acceso de AAM.
TR7 ETM se posiciona para incluir en la decisión de acceso las señales de postura provenientes de equipos de escritorio, portátiles y dispositivos móviles. El dispositivo corporativo, el dispositivo personal y el dispositivo móvil gestionado pueden evaluarse en la misma cadena de políticas. Este enfoque reduce la creación de islas de seguridad separadas para distintos tipos de endpoint. La decisión de acceso se modela según el tipo de dispositivo y el nivel de confianza.
Las versiones antiguas del sistema operativo, los endpoints sin parchear y las plataformas sin soporte aumentan el riesgo de acceso. TR7 ETM puede usar la versión y la información de actualidad del sistema operativo como trust signal. A los dispositivos antiguos puede aplicárseles bloqueo directo, MFA adicional o una política de acceso con privilegios reducidos. Así, el acceso a la aplicación se relaciona con el requisito de una plataforma segura.
Los dispositivos sin cifrado de disco conllevan un alto riesgo en escenarios de endpoint perdido o robado. TR7 ETM puede evaluar el estado del cifrado de disco como una de las señales fundamentales de la confianza del dispositivo. Puede concederse acceso a las aplicaciones críticas solo desde dispositivos que usen disco cifrado. Este modelo es especialmente importante en entornos que procesan datos financieros, sanitarios y del sector público.
Si el agente de seguridad está activo o no en el endpoint es un indicador de postura importante. Si el agente de seguridad está apagado, deshabilitado o desactualizado, el dispositivo puede pasar a la clase at-risk. En ese caso, la política de AAM puede solicitar MFA adicional, restringir el acceso o bloquearlo por completo. La decisión de acceso se alinea con el estado de defensa del endpoint.
El estado de gestión proveniente de las integraciones modernas MDM/EMM puede indicar si el dispositivo está bajo control corporativo. A los dispositivos gestionados puede asignárseles un nivel de confianza mayor, y a los dispositivos personales no gestionados un acceso más limitado. Este enfoque permite gestionar el uso de Dispositivo Personal (BYOD) en función del riesgo sin prohibirlo por completo. Se establece un equilibrio más práctico entre la experiencia de usuario y la política de seguridad.
Los dispositivos con root o jailbreak presentan un alto riesgo en cuanto a aislamiento de aplicaciones, seguridad de certificados y protección de datos. TR7 ETM puede colocar estos dispositivos en la clase non-compliant o at-risk. En el acceso a banca móvil, portal de salud o gestión corporativa, esta señal puede ser motivo directo de bloqueo. La confianza del endpoint móvil se convierte en parte de la política de acceso.
No todos los dispositivos tienen un agente instalado. En ese caso, pueden usarse señales agentless como la versión del navegador, la TLS fingerprint, la pista del sistema operativo y el contexto de cabecera. Estas señales no proporcionan una postura completa del dispositivo, pero ayudan a distinguir entre un dispositivo desconocido y uno de confianza. En estos casos, AAM puede aplicar MFA adicional o un nivel de confianza bajo.
La postura del dispositivo por sí sola no es suficiente; la ubicación y el contexto de red también son importantes. Los accesos provenientes de un país de riesgo, una ubicación inusual o una red inesperada pueden evaluarse junto con la señal de confianza del dispositivo. Cuando se combinan un sistema operativo antiguo y una ubicación de alto riesgo, puede tomarse una acción más contundente. Este modelo hace que la decisión de acceso sea multidimensional.
Un gran número de señales de postura puede resultar complejo para el equipo de operaciones. TR7 ETM puede convertir estas señales en un trust score de 0 a 100 o en un comportamiento de clasificación similar. El equipo que escribe la política puede decidir con niveles de confianza low, medium, high en lugar de interpretar una por una todas las señales. Esto convierte las señales de confianza en una política de acceso aplicable.
El nivel de confianza del dispositivo puede usarse directamente dentro de la conditional-access policy de AAM. Puede aplicarse política allow a los dispositivos compliant, MFA a los at-risk y block a los non-compliant. Así, la postura del dispositivo no es solo información reportada, sino la entrada de la decisión de acceso viva. El acceso a la aplicación opera más cerca de la lógica zero-trust.
El dispositivo puede ser seguro en el momento del login, pero durante la sesión el agente de seguridad puede apagarse o el estado de postura puede cambiar. TR7 ETM puede detectar este cambio mediante una evaluación periódica. Si la postura cae, la sesión puede suspenderse, puede solicitarse MFA de nuevo o cerrarse el acceso. Este enfoque elimina la suposición de "hizo login, ahora es de confianza".
La postura del dispositivo, los cambios de trust score, las no conformidades, los disparos de MFA y los eventos de bloqueo pueden enviarse al SIEM. Los equipos SOC pueden correlacionar el riesgo del endpoint junto con los eventos de acceso a la aplicación. Esta visibilidad refuerza el análisis de la toma de cuentas, la no conformidad de dispositivos y el acceso anómalo. La señal de endpoint trust se convierte en parte de las operaciones de seguridad.
El Gestor de Confianza de Endpoint opera junto con datos de postura, protocolo de trust signal, integración de política, evaluación continua, auditoría y flujo SIEM.
La postura del dispositivo puede relacionarse con el contexto de sesión de AAM. De este modo, la decisión de acceso se toma no solo a partir del resultado del login, sino también a través del estado de confianza del dispositivo de la sesión. Transportar los datos de postura junto con la sesión hace más consistentes las decisiones de política.
En los escenarios con agente, las señales de postura provenientes del dispositivo pueden transmitirse a la capa TR7 ETM a través de un canal seguro. En el modo agentless, se usan las señales obtenidas del contexto del navegador y TLS. Los dos modelos se alimentan a la política con distintos niveles de confianza.
Las señales de ETM operan junto con la conditional-access policy, los métodos de MFA y el motor de continuous-trust-evaluation. Esta integración hace posibles las decisiones allow, challenge, block o session suspend. La confianza del dispositivo no es solo un informe, sino una acción de acceso.
La postura del dispositivo puede reevaluarse a intervalos determinados. El ciclo predeterminado puede ajustarse según la política de la organización. Puede preferirse una evaluación más frecuente en las aplicaciones críticas y más espaciada en las aplicaciones de bajo riesgo.
Cada posture event, cambio de trust score y decisión de acceso puede escribirse en el audit log. La pregunta de quién, desde qué dispositivo, con qué postura, a qué aplicación accedió puede responderse. Estos registros respaldan los procesos de auditoría y de investigación de incidentes.
Los eventos de ETM pueden transferirse a la línea de SIEM log streaming. Eventos como la no conformidad del endpoint, el disparo de MFA, la denegación de acceso o la suspensión de sesión pueden correlacionarse en el sistema central de monitoreo de seguridad. Así, el endpoint trust se vincula a la visibilidad de la seguridad de la aplicación.
Los equipos de banca pueden clasificar como non-compliant los dispositivos móviles con root o jailbreak. El acceso proveniente de estos dispositivos se bloquea o puede requerir verificación adicional.
Las instituciones del sector público pueden conceder acceso a las aplicaciones clasificadas solo desde dispositivos gestionados, con cifrado de disco activo y agente de seguridad activo. Los dispositivos no conformes se rechazan a nivel de política.
Cuando el personal sanitario accede desde un dispositivo personal y el trust score del dispositivo es bajo, puede aplicarse MFA adicional o acceso restringido. Si el agente de seguridad se apaga, la sesión puede suspenderse.
En lugar de conceder acceso directo a un usuario que utiliza un sistema operativo antiguo y proviene de una ubicación de alto riesgo, puede aplicarse step-up MFA. Si el nivel de riesgo aumenta, el acceso puede bloquearse por completo.
Que la identidad del usuario, la postura del dispositivo y el contexto se evalúen en conjunto. Planifiquemos un recorrido de instalación en vivo en su propio entorno.