Versión 1.

Agosto 2020

Autor: Daniel Núñez Banega

https://AprendiendoExchange.com

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s - A p r e n d i e n d o E x c h a n g e . c o m
 Contenido
Introducción.................................................................................................................................................... 2
Perímetro de seguridad.............................................................................................................................. 4
Pérdida de control ............................................................................................................................ 6
Privacidad de los datos................................................................................................................... 6
Protección de los datos .................................................................................................................. 6
Seguridad ............................................................................................................................................. 7
Responsabilidad Compartida ................................................................................................................... 8
El problema de seguridad ....................................................................................................................... 11
Protección de identidades y acceso condicional ................................................................ 12
Manejo de dispositivos móviles con Intune ......................................................................... 14
Sobre Antispam, Phishing y Office 365 ATP ......................................................................... 15
Sobre Defender ATP ...................................................................................................................... 17
Azure ATP .......................................................................................................................................... 18
Sobre la escalación de privilegios y PIM ................................................................................ 19
Shadow IT y visibilidad con MCAS ........................................................................................... 20
Protección contra amenazas de Microsoft (Microsoft Threat Protection) ............................ 27
Microsoft 365 E5 y Microsoft 365 E5 Security ..................................................................... 29
Ejemplo práctico de licenciamiento de Microsoft Threat Protection ..................................... 31
Comentarios Finales .................................................................................................................................. 34
Próximos pasos............................................................................................................................................ 35

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |1
 Introducción
Cada vez son más las organizaciones que hacen la transición a la nube y más en
particular en tiempos de COVID. La transición habilita nuevos escenarios
colaborativos y a la vez introduce nuevos desafíos, esto independientemente de
si se hace una migración completa o se mantiene un entorno híbrido que sería el
caso más común en empresas de mediano y gran porte.

Una vez migrado a la nube, el perímetro tradicional de seguridad deja de tener

relevancia porque los usuarios y los recursos en general estarían ubicados fuera
de la organización, es decir que firewalls, proxys y otros dispositivos, ya no serían
utilizados para acceder a los servicios. Cualquier usuario con conexión a internet
puede conectarse al correo entre otros recursos, sin pasar por ningún otro tipo
de control más allá de tener que saber la contraseña.

En definitiva, al migrar a la nube, en este caso a Microsoft 365, de forma

predeterminada la organización queda expuesta, su información ahora está en
una nube pública y accesible por cualquiera que tenga credenciales válidas.

El hecho de que Microsoft acorde a Gartner sea líder en varias áreas relacionadas
con la seguridad, no implica que por haber migrado a Microsoft 365 este sea un
tema resuelto para la organización, en la sección de responsabilidad compartida
vemos a qué me refiero con esto.

Una vez detallado el problema y las responsabilidades correspondientes a cada

parte, vemos más en profundidad el impacto de la transición a nivel de seguridad
y cuales son las herramientas a disposición en Microsoft 365 para mitigar el
riesgo frente a un eventual ataque.

Con este objetivo en mente comenzamos por las soluciones orientadas a la

protección de las identidades de los usuarios y las distintas opciones que
incluyen en el nombre “ATP” lo que genera mucha confusión. En este sentido

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |2
 vemos Azure ATP, Office 365 ATP y Defender ATP, entre otras soluciones como
Cloud App Security y PIM.

Finalmente entramos en el tema de Microsoft Threat Protection y vemos algunas

opciones de licenciamiento incluyendo Microsoft 365 E5 y Microsoft 365 E5
Security.

Al finalizar el ebook vas a tener una idea más clara del objetivo de cada una de
estas soluciones y donde encaja cada una de estas piezas en la estrategia de
seguridad de Microsoft 365.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |3
 Perímetro de seguridad
Comencemos viendo de una forma bien simplificada y como para dar contexto a
lo que se viene, cuál sería el escenario de una organización típica antes de migrar
a Microsoft 365:

Este sería el modelo tradicional de las organizaciones, donde se establece un

perímetro de seguridad y se protegen los recursos detrás de un firewall por
ejemplo.

Una vez migrado a la nube ya sea forma total o parcial, el escenario cambia ya
que entre otras cosas los recursos pasan a estar fuera de la organización.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |4
 En este caso el diagrama simplificado luce así:

En el escenario de nube el perímetro de seguridad ya no aplica porque tanto los

usuarios como los recursos pueden estar fuera de este perímetro.

Es decir que del mismo modo que un usuario válido podría acceder a los recursos
también podría hacerlo un usuario malicioso. Más aun considerando que acorde
a estimaciones de Microsoft más del 80% del trabajo diario se realiza desde un
dispositivo móvil. Estos dispositivos podrían pertenecer a la organización o
encontrarse bajo un escenario BYOD (Bring your own Device) donde el usuario
trabaja desde su propio dispositivo.

De no contar con las herramientas y mecanismos necesarios, la realidad es que en

estos casos todo depende de las precauciones que tome el usuario incluyendo
desde las redes a las que se conecta, las aplicaciones que instala, los lugares
donde hace clic y hasta el mantenimiento de actualizaciones en el dispositivo.

Esta situación deriva en varias cuestiones, destacando las asociadas a la pérdida

de control, el manejo de privacidad y protección de los datos y la seguridad
asociada a todo esto.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |5
 Pérdida de control
Esta pérdida de control se da a todo nivel, comenzando por la más obvia: “física”.
Antes la organización alojaba los recursos en sus centros de datos, con toda la
operativa que esto implica incluyendo políticas de respaldos, retención de la
información, etc. Ahora pasan a tener su información en datacenters que están
fuera de su control, en algún lugar al cuál físicamente ya no tienen acceso.

El punto es que la organización ya no tiene los datos, los tiene alguien más.

Privacidad de los datos

Los datos ahora están en la nube, accesibles de múltiples formas y
potencialmente siendo compartidos dentro de algún tipo de contexto
colaborativo.

Protección de los datos

Independientemente del motivo, ya sea cuestiones de seguridad o negligencia de
un usuario por ejemplo, qué sucede si alguien borra o afecta de algún modo
información sensible?

En algún caso se podrá ir a un backup y restaurar lo último que se tenga, pero

esto no es garantía de nada, si la versión del backup no está bien o no está
actualizada o justo no cubría estos datos?

Otra consideración es el uso de plataformas no autorizadas por la organización

por parte de los usuarios, en este caso caemos en lo que se conoce como
Shadow IT lo que dificulta aún más la situación, cómo proteger lo que no sabes
dónde está?

En este sentido, McAffee hizo un estudio hace unos años donde encuentra que el
80% de los usuarios corporativos almacenan datos de la organización en
repositorios no aprobados y acorde a Gartner más de un tercio de los ataques
exitosos van a ser sobre este tipo de datos.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |6
 Pero cómo proteger lo que no sabes que existe?

Y por fuera del tema de seguridad, al final del día son datos de la empresa y no
se tiene control sobre quién accede a estos datos, con quién se comparten,
dónde están alojados o incluso su existencia.

Se va un usuario y se pierde esa información.

Seguridad
Antes de migrar a la nube todo lo que entraba o salía de la organización pasaba
por un firewall (entre otros dispositivos de seguridad y alternativas) donde se
aplicarían distintas restricciones dependiendo de la funcionalidad y los
requerimientos de la organización, pero ahora los usuarios necesitan acceder a
los recursos desde cualquier lugar, en particular fuera de la organización, desde
una variedad de dispositivos y dado que los datos están en la nube, del mismo
modo que un usuario legítimo puede acceder a la información con credenciales
válidas, también podría hacerlo alguien más.

Acorde a un estudio de KPMG1 un 19% de consumidores dejarían completamente

de consumir servicios luego de una violación de datos y un 33% dejaría pasar un
período extenso de tiempo antes de considerar volver a consumir. Y este estudio
aplica a empresas de retail, venta por menor, en caso de servicios sensibles
seguramente sea un porcentaje mucho más elevado.

En definitiva, una vez se migra a la nube, las aplicaciones, datos y usuarios en

general están fuera del perímetro que controla la organización y si bien los datos
corporativos están almacenados de forma segura en Microsoft 365, estos son
accesibles por cualquiera que conozca las credenciales de un usuario válido.

1 https://www.businessinsider.com/data-breaches-2018-4

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |7
 Responsabilidad Compartida
Un error común sería pensar que dado los niveles de servicio que maneja
Microsoft, las medidas de seguridad, auditorías, etc, es suficiente para quedarse
“tranquilo” y que no hay nada más por hacer.

Profundicemos un poco en esto ya que la realidad es muy diferente:

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |8
 En esta imagen obtenida del documento de responsabilidad compartida2 de
cloud computing vemos las responsabilidades asociadas a cada modelo. En
particular mi foco de consultoría se encuentra en lo relacionado con SAAS
(Software As a Service).

Como se puede ver en la imagen, el proveedor de nube (Microsoft en este caso),

se hace cargo de “casi todo” incluyendo la seguridad física, los hosts, controles de
red y aplicaciones, pero por otro lado también vemos que el caso de identidad y
administración de acceso es parte y parte, protección de clientes y endpoint
(dispositivos, estaciones de trabajo y servidores) lo mismo y en el caso de
clasificación de los datos es completamente responsabilidad del cliente.

Todo esto complementado con la siguiente frase de Microsoft (obtenida del

documento de acuerdo de servicio3, sección disponibilidad del servicio):

“We strive to keep the Services up and running; however, all online services suffer
occasional disruptions and outages, and Microsoft is not liable for any disruption or loss
you may suffer as a result. In the event of an outage, you may not be able to retrieve
Your Content or Data that you’ve stored. We recommend that you regularly backup Your
Content and Data that you store on the Services or store using Third-Party Apps and
Services.”

En definitiva, lo que dice es que si bien se hace todo lo posible para mantener los
servicios funcionando, todos los servicios en línea sufren ocasionales

2
https://www.microsoft.com/security/blog/2018/06/19/driving-data-security-is-a-shared-responsibility-heres-how-you-can-protect-
yourself/
3
https://www.microsoft.com/en-us/servicesagreement/

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |9
 interrupciones y Microsoft no se hace responsable por ninguna de estas
incluyendo una eventual pérdida que se sufra como resultado, frente a una falla
es posible que no se pueda acceder al contenido o datos almacenados en el
servicio, por este motivo la recomendación es respaldar la información lo que en
general lleva al uso de aplicaciones de terceros.

Si bien esta frase en particular no está 100% relacionada con la seguridad me

parece relevante mencionarla en complemento a la imagen del modelo de
responsabilidad compartida.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 10
 El problema de seguridad
El problema de seguridad que se da al migrar a la nube, en este caso Microsoft
365 aunque aplicaría a cualquier otro proveedor, es que de forma
predeterminada la organización queda expuesta a un montón de situaciones
nuevas o potenciadas por la nueva realidad y muchas cuestiones no son
analizadas o quedan sin respuesta ya sea por falta de información, tiempo o
presupuesto.

Teniendo en cuenta que los usuarios podrían acceder desde cualquier lugar y ya
no existiría un perímetro de seguridad, es fundamental proteger las identidades,
los dispositivos desde los que se conectan y los recursos en cuestión.

Acorde a un reporte de Zimperium4 en relación con el estado de la seguridad de

los dispositivos móviles corporativos incluyendo datos de más de 45 millones de
dispositivos anonimizados de varias industrias en todo el mundo se encuentra lo
siguiente:

• En 2019 se crearon parches para 1161 vulnerabilidades de seguridad

• Para el fin de 2019, 48% de dispositivos con iOS se encontraban más de 4
versiones detrás de la última versión de sistema operativo, en el caso de
Android el 58% estaban más de 2 versiones detrás
• 24% de los dispositivos fueron expuestos a amenazas de seguridad ajenas
a lo mencionado en relación a la versión de sistema operativo
• 19% de los dispositivos experimentaron ataques relacionados con la
seguridad de la red
• 68% de los perfiles maliciosos fueron considerados de alto riesgo lo que
podría llevar entre otras cosas a la exfiltración de datos o el compromiso
total del equipo

4 https://go.zimperium.com/mobile-threat-report-2019

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 11
 A pesar de todo esto en una situación predeterminada de Microsoft 365 estos
dispositivos accederían sin problemas al servicio, aplicaciones y datos.

Partiendo de la base de que frente a un eventual ataque, el atacante solo necesita

tener éxito una vez mientras que la organización que se protege debe tener éxito
el 100% de las veces, Microsoft plantea un cambio de foco a uno donde se
desaliente el ataque incrementando los costos para el atacante. La idea es que el
atacante tenga un retorno de inversión (ROI) negativo por lo que le resulte mejor
opción pasar a otro objetivo.

Protección de identidades y acceso condicional

Para esto la organización tiene múltiples opciones, siendo quizás la primera y más
básica la habilitación de multi-factor para la autenticación de usuarios (MFA), esto
implica que ya no sería suficiente con conocer la contraseña de un usuario sino
que también hay que tener acceso a un segundo factor de autenticación, en
general una App en el teléfono (Authenticator).

En relación con esto Microsoft hizo un análisis del tema y encuentra que la
habilitación de MFA puede evitar 99,9%5 de los ataques asociados al compromiso
de cuentas de usuario, esto porque como se mencionó antes, no alcanza con que
el atacante consiga la contraseña. Esto idealmente debería ser complementado
con la deshabilitación de protocolos y mecanismos de acceso heredados que no
soporten MFA.

A pesar de esto, acorde a Microsoft se estima que menos del 10%6 de los
usuarios corporativos usan MFA.

Muchos de los incidentes de seguridad comienzan con una cuenta comprometida

y una vez logrado esto, el eventual atacante podría escalar privilegios, relevar
información, aprender procesos de negocio y así avanzar en el ataque.

5
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/your-pa-word-doesn-t-matter/ba-p/731984
6
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/introducing-security-defaults/ba-p/1061414

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 12
 Esto no es algo que se note de forma inmediata, de hecho se estima que los
atacantes pasan en promedio unos 80 días dentro de la red antes de ser
detectados por la organización. Y si esto sucede dentro del perímetro de
seguridad tradicional, cómo pensar que se sabe lo que sucede afuera?

La opción de MFA se encuentra incluida en el licenciamiento más básico pero las

opciones más avanzadas y que ofrecen la mayor flexibilidad se encuentran en
Azure AD Premium que puede ser adquirido de forma stand alone o dentro de un
paquete como por ejemplo con Enterprise Mobility + Security EMS E3 / E5 o
Microsoft 365 E3 / E5.

En este sentido una de las ventajas con Azure AD Premium sería la posibilidad de
usar acceso condicional lo que permitiría configurar políticas que determinen el
acceso y el modo en base a factores como la ubicación, si se conecta desde un
equipo administrado o a qué aplicación accede, dependiendo de esto se podría
requerir el uso de MFA solo para casos específicos.

En la imagen vemos que se pueden usar distintas señales como por ejemplo
membresía de grupos, ubicación, estado del dispositivo, aplicación a la que
accede y en base a esto tomar ciertas decisiones como bloquear el acceso o
permitirlo requiriendo MFA o que se verifique que el dispositivo desde el que se
conecta este acorde a las normativas de la organización. Todo esto habilitaría a
enforzar escenarios comunes como requerir MFA a todos los usuarios
administrativos, bloquear el inicio de sesión usando protocolos heredados,

7
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 13
 permitir el acceso desde determinadas ubicaciones conocidas o requiriendo el
uso de dispositivos administrados por la organización entre otras posibilidades.

Azure AD Premium viene en 2 planes y en particular en cuanto al acceso

condicional el Plan 2 agrega la posibilidad del uso del riesgo como condición
adicional.

Manejo de dispositivos móviles con Intune

En general y cuando se trata de dispositivos móviles todo esto sería
complementado con Intune que ofrece características de MDM (Mobile Device
Management) y MAM (Mobile Application Management).

Esto permitiría administrar y controlar el acceso de dispositivos (iOS, Android,

Windows, macOS) tanto en el caso de equipos proporcionados por la
organización como en el caso de escenarios BYOD (Bring Your Own Device).

Dependiendo de si se usa MDM, MAM o ambos las posibilidades administrativas,

pero por mencionar algunos ejemplos sería posible eliminar información de
forma remota, restringir el copiar y pegar desde aplicaciones corporativas a
aplicaciones personales, distribuir aplicaciones, desbloquear un dispositivo (si usa
MDM) o restringir el acceso de dispositivos con jailbreak entre otras
posibilidades.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 14
 Intune se puede licenciar de forma stand alone pero en general en entornos
corporativos lo encontramos dentro del paquete de EMS E3 / E5 o Microsoft 365
E3 / E5.

Sobre Antispam, Phishing y Office 365 ATP

Por otro lado, uno de los vectores de ataque más comunes es el correo
electrónico por ejemplo mediante phishing, lo que en general implica que el
usuario objetivo recibe un correo muy similar a uno real, quizás de parte de
Paypal, Microsoft 365, Netflix (ejemplo más abajo) o un banco entre otros, la idea
es que el usuario haga clic ya sea en un adjunto o un link que lleva a un
sitio malicioso.

Si un correo con estas características pasara las barreras del Antispam (EOP en el
caso de Microsoft 365), un usuario podría terminar haciendo clic y ejecutar sin
saberlo algún tipo de malware o intentar iniciar sesión en un sitio no legítimo lo
que derivaría en que termine “entregando” sus credenciales.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 15
 Acorde a un reporte de Verizon8 el 93% de las brechas de seguridad comenzaron
con phishing y más de 1 de cada 4 usuarios sería propenso a hacer clic (en
promedio el 27% variando dependiendo de la industria).

Una de las soluciones para mitigar este tipo de riesgo en Microsoft 365 es Office
365 ATP (Advanced Threat Protection) que no solo aplica al caso de correo, sino
que también a Onedrive, Sharepoint y Microsoft Teams.

Office 365 ATP cuenta con 2 planes y el más usual de encontrar es el Plan 1, este
incluye la posibilidad de que la carga asociada ya sea a un adjunto o al sitio
malicioso al que lleva un link sea detonada en un ambiente aislado y sin riesgo
de que la cuenta o el equipo resulte comprometido, en este caso el usuario
encontraría algo similar a la siguiente imagen:

Office 365 ATP puede ser licenciado de forma Stand Alone o dentro de un
paquete, por ejemplo, Microsoft 365 E3 en el caso del Plan1 o Microsoft 365 E5
en el caso del Plan 2.

8
https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf
9
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/atp-safe-links-warning-pages?view=o365-worldwide

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 16
 Sobre Defender ATP
Si el usuario no cuenta con Office 365 ATP y abre el adjunto o hace clic en el link,
podríamos decir que las credenciales fueron expuestas, en este caso si se usa
MFA se mitigaría el riesgo de su uso, pero el equipo aún se encontraría
comprometido.

Esta actividad podría no ser detectada por un antivirus convencional, pero si se

complementa con el servicio de Microsoft Defender ATP (MDATP) se alertaría del
comportamiento sospechoso.

Microsoft Defender ATP es una plataforma de seguridad que proporciona los

mecanismos necesarios para la detección, investigación y respuesta frente a un
incidente. Esto permite proteger a los equipos de amenazas, detectar ataques
avanzados, brechas de datos y resolución automática de incidentes de seguridad.

10

10
https://www.microsoft.com/security/blog/2018/11/15/whats-new-in-windows-defender-atp/

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 17
 Por listar algunos beneficios de Defender ATP:

• Se integra con Windows Defender incluido por ejemplo en Windows 10.

En este caso no requeriría el despliegue de agentes.
• Los equipos protegidos están en continuo contacto con la nube de
Microsoft, enviando datos para análisis, reportes e incluso remediación
automática.
• Se integra y comparte señales con otras herramientas de Microsoft 365
como por ejemplo con Cloud App Security (ver más adelante), Azure ATP
e Intune, habilitando el uso del estado del dispositivo como una condición
adicional para conectarse al servicio. De esta forma se podría establecer
una política que dependiendo del riesgo asignado por Defender ATP a un
dispositivo se habilite o no el acceso y las condiciones de este.
• Protección web incluyendo filtrado de contenido lo que permite asegurar
dispositivos de amenazas y a regular el acceso a contenido no deseado.
Esto es muy similar a un proxy pero que aplica a nivel del equipo, por
ejemplo se podría filtrar el acceso a contenido para adultos y sitios de
apuestas entre otras categorías y otros personalizados.

La licencia de MDATP es por usuario, cubre hasta 5 equipos en simultaneo y

puede ser adquirida de forma Stand Alone o dentro de un paquete como
Microsoft 365 E5 o Microsoft 365 E5 Security.

Azure ATP
Azure ATP es una solución de seguridad en la nube orientada a entornos híbridos
con Active Directory que habilita a identificar, detectar e investigar amenazas
avanzadas, cuentas comprometidas y acciones maliciosas internas.

Azure ATP monitorea y analiza las actividades de los usuarios generando una
línea base de lo que sería el comportamiento normal, si por algún motivo se
detecta algún comportamiento anómalo esto es reportado proporcionando toda
una línea de tiempo relacionada con un eventual ataque.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 18
 11

Volviendo a la historia del ataque, todo lo mencionado anteriormente podría ser

complementado con sensores en los servidores de validación de la autenticación
(controladores de dominio), agregando otra capa para la detección del
comportamiento malicioso.

En complemento se encuentra integrado con otra solución “Identity Protection”

que habilita a automatizar la detección y remediación de riesgos asociados a
identidades incluyendo los datos necesarios para una eventual investigación.

Sobre la escalación de privilegios y PIM

En general los ataques se llevan a cabo contra cualquier tipo de usuario, o sea
que este podría contar con privilegios administrativos o no. Dependiendo de esto
en algún punto el atacante podría intentar escalar privilegios.

11
https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 19
 Para mitigar el riesgo asociado a la escalación de privilegios es posible
complementar todo esto reduciendo el uso de cuentas administrativas y usando
un sistema que permita manejar roles privilegiados en base a ventanas de tiempo
con todo un proceso de aprobación. Privileged Identity Management (PIM) es la
solución en Azure para cumplir con este objetivo.

Tanto el caso de Identity Protection como el de PIM se encuentran incluidos en

Azure AD Premium P2, esto a diferencia de Azure ATP que se incluye en Azure AD
Premium P1.

Shadow IT y visibilidad con MCAS

Uno de los principales problemas para las organizaciones es no tener la
visibilidad necesaria como para responder a interrogantes básicas como por
ejemplo:

• Qué aplicaciones usan los usuarios?

o Por un lado están las aprobadas por IT, por otro todas aquellas
que en principio no conocemos.
• A qué datos acceden los usuarios?
• Dónde almacenan datos los usuarios?
• Desde dónde acceden a los datos?
• Cómo usan estos datos?
• Con quién comparten la información?

La realidad es que sin un broker de acceso a la nube es muy difícil conocer lo que
sucede a lo largo del servicio y si bien es posible obtener la mayor parte de esta
información usando una variedad de fuentes no resultaría práctico o escalable, es
necesario algo centralizado que permita entre otras cosas responder con facilidad
a las interrogantes planteadas y en base a esto poder tomar las medidas
correspondientes y actuar en consecuencia entendiendo los riesgos asociados a
cada caso y conociendo cuál es la situación general a nivel de seguridad de la

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 20
 organización. Cloud App Security es la solución de agente de seguridad de
acceso a la nube (CASB: Cloud Access Security Broker) de Microsoft.

Con Microsoft Cloud App Security (MCAS) es posible tener visibilidad y control
sobre las aplicaciones, servicios y datos e identificar, detectar y resolver
amenazas.

12

Usando la característica de “Cloud Discovery” es posible mapear e identificar las

aplicaciones de nube que se encuentran en uso. Esto se podría realizar por
ejemplo subiendo logs del firewall o proxy de la organización, incluso se puede
automatizar para que sea algo continuo. Otra posibilidad sería mediante la
integración con Defender ATP, de esta forma dónde se encuentre ubicado el

12
https://docs.microsoft.com/en-us/cloud-app-security/daily-activities-to-protect-your-cloud-environment

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 21
 cliente ya no importaría ya que no se depende de obtener la información de un
firewall o similar.

Cloud Discovery permite saber exactamente lo que está sucediendo, las

aplicaciones en uso, los usuarios que acceden, desde dónde, cómo se accede a la
información, cómo se mueven los datos, etc.

Algo que resulta interesante de Cloud App Security es que es muy intuitivo, con
un par de clics es suficiente para entender todas las actividades realizadas por un
usuario. Por ejemplo, un usuario abrió una planilla de Excel desde un dispositivo
móvil ubicado digamos en Uruguay y luego de modificarlo lo compartió con el
usuario “X” y con “Z” quienes a su vez realizaron otras acciones.

13

13
https://docs.microsoft.com/en-us/cloud-app-security/working-with-cloud-discovery-data

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 22
 Ya con este conocimiento es posible poner bajo control el tema de Shadow IT en
la organización entendiendo qué aplicaciones se encuentran en uso, quienes las
acceden, cómo las usan, el riesgo asociado y en base a esto tomar las medidas
necesarias como por ejemplo aprobar o bloquear el acceso a una aplicación.

Otra posibilidad es la creación de políticas en base a la sensibilidad de la

información, aplicar DLP (Data Loss Prevention) y otras restricciones automáticas.

Cloud App Security se integra de forma nativa con todo el portfolio de seguridad
de Microsoft y si se usa en conjunto a Defender ATP entre otras cosas sería
posible bloquear una aplicación en Cloud App Security, que esto se sincronice
con Defender ATP y este último actúe como proxy bloqueando la conexión.

14

Una característica muy útil es la de control de acceso condicional a aplicaciones

(Conditional Access App Control), en este caso MCAS funciona como un proxy
reverso que se integra con Azure Active Directory (aparte de otros proveedores
de identidad) lo que permite rutear el acceso de los usuarios a través de MCAS en
lugar de conectarse directo a la aplicación. Esto permite el monitoreo en tiempo

14
https://www.microsoft.com/security/blog/2019/01/15/microsoft-gains-strong-customer-and-analyst-momentum-in-the-cloud-access-
security-brokers-casb-market/

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 23
 real y la aplicación de varios tipos de restricciones y sin necesidad de instalar
nada en los dispositivos.

Por mencionar algunas restricciones que podemos aplicar:

• Bloquear el acceso de un usuario en base a riesgo.

• Bloquear la descarga desde dispositivos no administrados.
• En lugar de bloquear, proteger luego de descargar.
o En este caso mediante la integración con Azure Information
Protection.
• Bloquear la subida de contenido no clasificado.
• Bloquear el intercambio de mensajes con datos sensibles en Microsoft
Teams.

15

Al utilizar esta característica vamos a ver que la URL cambia incluyendo un sufijo
“mcas.ms”.

También es posible generar una variedad de alertas por ejemplo comportamiento

sospechoso por parte de una cuenta de usuario, descarga masiva de datos,
actividades inusuales, viaje imposible (por ejemplo cuando un mismo usuario
accede desde 2 ubicaciones distantes y por una cuestión de tiempos no tiene
sentido) y otros tipos de brechas potenciales.

15
https://techcommunity.microsoft.com/t5/microsoft-security-and/advanced-security-for-any-app-in-your-organization/ba-p/823370

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 24
 Las políticas de detección de anomalías funcionan de forma automática
escaneando la actividad de los usuarios y tienen un período inicial de aprendizaje
de 7 días, durante este tiempo es posible que haya alertas que no sean
disparadas.

El riesgo es evaluado usando más de 30 indicadores que se encuentran

agrupados en varios factores de riesgo, como por ejemplo:

• Dirección IP riesgosa
• Intentos de inicio de sesión fallidos
• Actividad administrativa
• Cuentas inactivas
• Ubicación
• Viaje Imposible

En base a la evaluación de los distintos factores se disparan alertas de seguridad

notificando cuando sucede algo que difiere del comportamiento habitual de un
usuario de la organización.

En la siguiente imagen se ven alertas relacionadas a la descarga masiva de datos,

actividad de viaje imposible, conexión desde una IP de navegador TOR y
múltiples intentos de inicios de sesión fallidos.

16

16
https://docs.microsoft.com/en-us/cloud-app-security/anomaly-detection-policy

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 25
 Acorde a un estudio de Forrester17, la implementación de Microsoft Cloud App
Security proporciona los siguientes beneficios:

• Reducción en tiempo y esfuerzo necesario para remediar incidentes: 80%

• Amenazas eliminadas automáticamente: 75%
• Reducción en la chance de brecha de datos: 40%

El estudio de Forrester es mucho más amplio y solo puse 3 puntos, pero esto es
algo a tener en consideración ya que puede ser una herramienta más para
justificar la inversión.

En cuanto al licenciamiento de MCAS, vamos a encontrar que hay varias formas

de incorporarlo, incluso es posible licenciar versiones acotadas como por ejemplo
solo Cloud App Discovery u Office 365 Cloud App Security.

En el caso de Cloud App Discovery este se encuentra en varios paquetes

incluyendo Azure AD P1 y en el caso de Office 365 Cloud App Security en Office
365 E5. Este último es similar a MCAS pero con funcionalidad limitada.

Microsoft Cloud App Security es la versión completa y puede ser licenciado de

forma Stand Alone o dentro de un paquete como por ejemplo EMS E5 o
Microsoft 365 E5 o Microsoft 365 E5 Security, en cualquier caso sería un
licenciamiento adicional al básico.

17
https://tools.totaleconomicimpact.com/go/microsoft/CloudAppSecurity/

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 26
 Protección contra amenazas
de Microsoft (Microsoft
Threat Protection)
Ya con una idea de las principales soluciones a nivel de seguridad en Microsoft
365, estamos en condiciones de ver el tema de Microsoft Threat Protection (MTP)
que tanto suena en este momento.

Lo primero a tener en cuenta es que MTP no es un producto separado sino que

es la solución que centraliza el portfolio de seguridad de Microsoft 365.

18

La integración de productos en Microsoft Threat Protection habilita la

protección de identidades, dispositivos, correo y aplicaciones proporcionando
mecanismos de protección, detección, prevención, investigación y respuesta
frente a amenazas modernas.

18
https://techcommunity.microsoft.com/t5/microsoft-security-and/announcing-microsoft-threat-protection/ba-p/262783

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 27
 Microsoft Threat Protection integra todos los productos mencionados
anteriormente destacando:

• Microsoft Defender ATP

• Office 365 ATP
• Azure ATP
• Identity Protection
• Microsoft Cloud App Security

Una vez habilitado el servicio se agregan nuevas opciones al portal de seguridad

de Microsoft 365. Esto incluye una opción para manejo de incidentes (Incidents
Management), otra para la toma de acciones (Action Center) y otra para la
investigación de amenazas (Advanced Hunting) lo que habilita a hacer consultas
avanzadas usando Kusto query Language.

19

En cuanto al licenciamiento de Microsoft Threat Protection, esto no es una

licencia específica sino que lo que se debe licenciar son los distintos productos
integrados con esta solución.

19
https://docs.microsoft.com/en-us/microsoft-365/security/mtp/mtp-enable?view=o365-worldwide

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 28
 Hay 2 opciones de licenciamiento que incluyen todas las características de
Microsoft Threat Protection:

• Microsoft 365 E5
• Microsoft 365 E5 Security

El tema acá es el costo, Microsoft 365 E5 es la licencia más costosa en Microsoft

365 y la licencia de Microsoft 365 E5 Security esta pensada como un Add On en
principio para Microsoft 365 E3.

En definitiva, esto no es menor cuando uno se pone a multiplicar por la cantidad

de usuarios, en este sentido es importante considerar si la organización
realmente obtendría valor de esta licencia versus el licenciamiento Stand Alone o
dentro de algún otro paquete de los distintos productos. Esto en principio va a
depender de la arquitectura y de los requerimientos de la organización, incluso
varios productos podrían reemplazar otros existentes como por ejemplo el caso
de Antivirus con Defender ATP.

Esto lo vamos a ver en más detalle en el ejercicio planteado en la última sección

del documento.

Microsoft 365 E5 y Microsoft 365 E5 Security

Sin entrar en detalle de lo que incluye el licenciamiento de Microsoft 365 que
podría ser muy extenso y en parte tratado en uno de los artículos del blog20, me
voy a enfocar en las características de seguridad más destacables incluidas en
Microsoft 365 E5 y E5 Security. Estas características se integran dentro de lo que
sería la estrategia de Protección contra amenazas de Microsoft e incluye las
soluciones vistas hasta el momento.

Microsoft 365 E5 es el paquete más completo e incluye:

• Windows 10 E5

20
https://aprendiendoexchange.com/microsoft-365-vs-office-365

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 29
 o Sistema Operativo
• Office 365 E5
o Licenciamiento más completo de la suite de productividad
de Office 365
• Enterprise Mobility + Security E5 (EMS E5)
o Solución para administración de dispositivos MDM (Mobile Device
Management) / MAM (Mobile Application Management) y
Seguridad.

Actualmente esta licencia tiene un costo de U$S 57 mensuales.

El caso de Microsoft 365 E5 Security funciona como un Add On para Microsoft

365 E3 (en un principio) y agrega únicamente las características de seguridad de
Microsoft 365 E5:

• Azure AD Premium Plan 2

o M365 E3 ya incluye Azure AD Premium P1
• Office 365 ATP Plan 2
o M365 E3 ya incluye Office 365 ATP Plan 1
• Azure ATP
• Azure Identity Protection
• Defender ATP
• Cloud App Security

Esta licencia tiene un costo de U$S 12 mensuales.

Este detalle es importante para tenerlo en cuenta en la próxima sección donde

vemos un caso práctico de licenciamiento.

IMPORTANTE: Los precios manejados en este recurso son los de lista y

vigentes a la fecha original de publicación.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 30
 Ejemplo práctico
de licenciamiento de
Microsoft Threat Protection
En esta sección vemos un ejemplo práctico de licenciamiento de las soluciones
incluidas en Microsoft Threat Protection, este mismo ejercicio lo hice
recientemente para un cliente que quería implementar algunas características
avanzadas de seguridad para los usuarios VIP de la organización.

En una primera instancia el foco del cliente se encontraba en la implementación

de Cloud App Security y Defender ATP (reemplazando la solución Antivirus
actual).

Principales objetivos:

• Tener mayor visibilidad sobre lo que sucede en el entorno incluyendo

actividades maliciosas.
• Tener mayor control de los dispositivos que se conectan al servicio.
• Conocer cómo usan los usuarios sus identidades, desde dónde se
conectan, a qué información acceden y con quién la comparten.
• Reemplazar gradualmente la solución antivirus actual por una más
integrada que permita tomar mejores decisiones.
• Proteger a los usuarios de correos con malware, de tal forma de que
incluso si el usuario hace clic en un link o adjunto malicioso que este se
detone en un ambiente aislado y sin riesgo para la organización.
• Simplificar el licenciamiento y minimizar los costos asociados.

Esto partiendo de la base de que el cliente ya tiene cubierto el licenciamiento de

Windows por otro lado y actualmente licencia a sus usuarios VIP del siguiente
modo:

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 31
 • Office 365 E3: U$S 20
• Enterprise Mobility + Security E3 (EMS): U$S 8.80
• Office 365 ATP Plan 1: U$S 2

Total licenciamiento base: U$S 30,8

En este caso ya tenemos un costo base de U$S 30,8 lo que está lejos aún de los
U$S 57 que cuesta la licencia de Microsoft 365 E5.

Veamos algunas alternativas de licenciamiento ordenadas por costo:

Opción 1) Para cubrir puntualmente los servicios de MCAS y MDATP existe

la opción Stand Alone de cada uno:

• WDATP Stand Alone (U$S 5.20)

• Cloud App Security (U$S 3.50)

Costo adicional: U$S 8.70

Opción 2) Reemplazar el EMS E3 por EMS E5 y sumar WDATP Stand alone (la
parte de Office 365 no se toca)

• EMS E5 (incluye MCAS y el mismo ATP ya incluido en el licenciamiento

actual) (U$S 14.80)
• WDATP Standalone (U$S 5.20)

Costo adicional: U$S 9.2 (U$S 20 – U$S 8.80 (EMS E3) – U$S 2 (O365 ATP))

Nota: Con el cambio de EMS E3 a E5 se pasa de Azure P1 a P2 que entre otros

incluye las siguientes características adicionales:

• Risk-based conditional access (permite controlar el acceso en base al

riesgo identificado)
• Privileged identity management (esto permite en lugar de delegar
permisos estáticos manejar roles de administración de forma dinámica en
base a elegibilidad, aprobación y ventanas de tiempo)
• Azure ATP

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 32
 Opción 3) Reemplazar el licenciamiento actual con lo siguiente:

• Microsoft 365 E3 (U$S 32)

• Microsoft 365 E5 Security (U$S 12)

Costo adicional: U$S 13.2 (U$S 44 – U$S 30.8 (licenciamiento actual))

Nota: Con este cambio se pasa a Azure P2 (ver más arriba ventajas) y Office 365
ATP 2 (que incluye simulador de ataque entre otras mejoras)

Opción 4) Reemplazar todas las licencias actuales por Microsoft 365 E5:

Costo adicional: U$S 26.2 (M365 E5 (U$S 57) – U$S 30.8 (licenciamiento actual))

Como se puede ver hay muchas opciones y en este ejemplo solo se manejan las
que tenían sentido para el cliente en base a su licenciamiento específico.

En particular en este caso la opción más atractiva a mi forma de verlo es la

Opción 3 que incluye Microsoft 365 E5 Security que cuenta con todas las
características de Microsoft Threat Protection complementando M365 E3, pero
esta decisión puede variar en base a requerimientos, negociaciones con Microsoft
y planes a futuro.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 33
 Comentarios Finales
A lo largo de este documento vimos como una vez migrado los servicios de la
organización a la nube, el perímetro tradicional de seguridad ya no aplica y este
debe ser complementado con otras soluciones.

En tiempos modernos es necesario hacer especial foco en la protección de las

identidades, lo que en general comienza por la habilitación de autenticación
multi-factor (MFA), esto ya sea de un modo condicional o absoluto ya que como
vimos dependiendo del licenciamiento cuáles son las posibilidades en este
sentido.

Revisamos el rol de los distintos componentes incluidos en la estrategia de

seguridad de Microsoft 365 destacando el caso de Azure ATP para detección de
amenazas sobre identidades On Premises, Identity Protection para el caso de
identidades en la nube, Office 365 ATP para protección de correo, links y
documentos, Defender ATP para cubrir dispositivos y Cloud App Security como
broker de seguridad. Cada uno de estos componentes enfocado en resolver un
aspecto de la seguridad e integrado dentro de lo que es Microsoft Threat
Protection.

Finalmente y en complemento a lo visto en cada sección vemos un caso práctico

de licenciamiento de características de seguridad incluyendo la posibilidad de
hacerlo de forma Stand Alone o dentro de un paquete como podría ser Microsoft
365 E5 o E5 Security. Dependiendo de los requerimientos de la organización sería
posible la combinación de licencias y licenciar productos específicos para
usuarios de mayor jerarquía o los que implican un mayor riesgo y mantener un
licenciamiento más básico en otros casos. Esto implica no solo presupuesto para
licencias sino que también tiempo ya sea de recursos internos o externos para
implementar y administrar estas características.

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 34
 En definitiva, el problema de seguridad no se debe a limitaciones en la oferta de
Microsoft 365 sino que en la falta de adopción de medidas acorde a la nueva
situación. El hecho de que Microsoft 365 sea líder en muchas áreas de seguridad
no es relevante si la organización no implementa o pone en práctica las
herramientas a disposición. Si en este sentido la limitante viene por el lado del
presupuesto tener en cuenta de dejar claro los riesgos que esto implica, evaluar
alternativas para mitigarlos (o aceptarlos) y comunicar dentro de la organización
de un modo eficiente la situación ya que la decisión en este caso dejaría de ser
técnica.

Próximos pasos
Llegamos al final, espero que este ebook te haya dejado un poco más claro el
panorama de seguridad con Microsoft 365. Más abajo te dejo varias formas en las
que podemos quedar en contacto, el feedback es más que bienvenido:

• Facebook de AprendiendoExchange.com
• AprendiendoExchange.com en Instagram
• Daniel Núñez Banega en Linkedin

© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 35