¿Qué es el CAEP?

El CAEP es un estándar del Grupo de Trabajo de Ingeniería de Internet (IETF, por sus siglas en inglés) desarrollado para permitir la evaluación continua del acceso de los usuarios en sistemas de gestión de identidades y accesos (IAM). Garantiza que las decisiones con respecto al acceso puedan tomarse en tiempo real en función de los cambios que se produzcan en los factores asociados al riesgo, como la ubicación del usuario, el estado del dispositivo o el contexto de seguridad. El CAEP permite realizar comprobaciones de acceso en tiempo real que se adaptan a las amenazas potenciales a medida que surgen, lo que reduce drásticamente la exposición al riesgo de una organización.

El CAEP contribuye enormemente a los principios Zero Trust, ya que ayuda a evaluar continuamente los derechos de acceso de un usuario dentro de un marco dinámico de seguridad. En lugar de conceder acceso basándose en una sola comprobación al iniciar sesión, el CAEP aplica los principios Zero Trust y evalúa si el acceso sigue siendo apropiado durante toda la sesión del usuario. Este enfoque garantiza que los derechos de acceso se basen en las condiciones actuales y refuerza el control de acceso, ya que tiene en cuenta el contexto en tiempo real, como la ubicación y la seguridad del dispositivo, en un entorno que no para de cambiar.

Cómo funciona el CAEP

Para entender cómo el CAEP mejora la seguridad, analizaremos cada una de sus funciones principales:

Evaluación basada en eventos

El CAEP monitoriza de manera continua eventos de alto riesgo que puedan suponer una amenaza para la seguridad. Algunos de ellos son:

• Anomalías en la ubicación: un usuario inicia sesión desde una ubicación muy distante a los pocos minutos de su última sesión (esta distancia entre una ubicación y otra no se podría justificar con un viaje).
• Cambios en la seguridad del dispositivo: el usuario cambia a un dispositivo no gestionado o vulnerable.
• Anomalías de comportamiento: patrones de autenticación inusuales, como inicios de sesión rápidos en varios sistemas o intentos de acceso a aplicaciones de alto riesgo.
• Credenciales revocadas o cambios de rol: si se revocan los privilegios de un usuario porque ha dejado de formar parte de la organización o porque se han actualizado las directivas de seguridad, el CAEP puede cerrar inmediatamente las sesiones activas para aplicar los cambios realizados en las directivas en tiempo real.

Cuando se detectan estos activadores, el CAEP reevalúa y ajusta dinámicamente los derechos de acceso del usuario, lo que proporciona un enfoque sólido para garantizar que solo puedan acceder las personas adecuadas bajo las condiciones pertinentes.

Por ejemplo, si un usuario inicia sesión repentinamente desde una ubicación desconocida o se comporta de una manera inusual, el CAEP responderá solicitando una verificación adicional como la autenticación multifactor, restringiendo el acceso o incluso cerrando la sesión, según el nivel de riesgo detectado. Este enfoque ayuda a prevenir accesos no autorizados en tiempo real y ofrece protección proactiva frente a posibles brechas antes de que se agraven.

Integración de autorización abierta (OAuth)

El CAEP mejora la seguridad de OAuth 2.0 al permitir la revocación de tokens en tiempo real y la introspección. En lugar de usar tokens de acceso estáticos cuya validez persiste hasta que vencen, el CAEP permite a los proveedores de identidad y plataformas de seguridad:

• Revocar tokens dinámicamente: ante cualquier incidente de seguridad (por ejemplo, cuando un dispositivo deja de ser fiable), el CAEP puede revocar o actualizar los tokens inmediatamente en lugar de esperar a que venzan.
• Realizar la introspección en tiempo real: los sistemas de seguridad pueden consultar el endpoint de introspección OAuth para validar si un token de acceso sigue siendo válido y actualizar dinámicamente las directivas de acceso.

En la práctica, esto significa que el CAEP puede detectar y responder ante cualquier riesgo sin que los usuarios tengan que volver a autenticarse cada vez que surge una amenaza potencial, lo que permite a las organizaciones alcanzar un alto nivel de seguridad sin que la experiencia del usuario se vea afectada.

Todo esto hace que el CAEP sea una herramienta muy potente para prevenir ataques basados en la identidad y mantener un acceso seguro, incluso a medida que los usuarios y los entornos evolucionan.

Principales ventajas del CAEP

El CAEP ofrece diversas ventajas para las organizaciones. En la práctica, estas ventajas son:

Mayor seguridad

Dado que el CAEP evalúa y ajusta de manera continua los permisos de acceso, reduce las posibilidades de que la información de sesión obsoleta provoque brechas de seguridad. Esto quiere decir que, en cuanto cambia cualquier condición, como la ubicación desde la que se inicia sesión o el dispositivo que se utiliza para ello, el CAEP reevalúa el acceso en tiempo real.

Esta monitorización continua ayuda a prevenir riesgos como la usurpación de cuentas y las amenazas internas. Si se detectan patrones o comportamientos inusuales, el CAEP puede ajustar inmediatamente los permisos de acceso y evitar una posible brecha de datos.

Aplicación en tiempo real

Cuando el CAEP detecta alguna anomalía o cualquier comportamiento sospechoso, aplica las directivas de seguridad en el acto. Esta respuesta rápida limita la exposición de la información confidencial y detiene de golpe los accesos no autorizados, lo que garantiza que las medidas de seguridad estén alineadas con los principios Zero Trust.

Al responder a cualquier situación de riesgo en el mismo instante en el que se detecta, el CAEP evita que las amenazas pasen desapercibidas en un sistema. Esto reduce el "tiempo de permanencia" de los atacantes y ayuda a contener las amenazas antes de que puedan desatar todo su potencial en el entorno.

El tiempo de permanencia hace referencia al tiempo que un atacante permanece sin ser detectado en un entorno tras acceder sin autorización. El CAEP reevalúa de manera continua los permisos de sesión para minimizar el tiempo de permanencia. Si un ciberdelincuente accede a los sistemas mediante credenciales robadas, el CAEP es capaz de detectar cualquier indicio de riesgo, como un cambio inusual de dispositivo o elevaciones de privilegios, y revoca el acceso de inmediato, impidiendo así que los atacantes puedan moverse lateralmente.

Experiencia de usuario mejorada

A diferencia de los sistemas de acceso que obligan a iniciar sesión con frecuencia, el enfoque del CAEP basado en la evaluación continua evita que los usuarios tengan que volver a autenticarse cada vez que se realiza una comprobación de las directivas. Al validar los tokens en tiempo real y requerir la verificación única y exclusivamente cuando es necesario, el CAEP mantiene a los usuarios conectados de forma segura sin que su flujo de trabajo se vea afectado.

Este enfoque logra un equilibrio ideal para mantener los más altos estándares de seguridad a la vez que se ofrece una experiencia de usuario intuitiva y de alta calidad.

CAEP en la arquitectura Zero Trust

Al verificar constantemente los derechos de acceso basándose en información actualizada, el CAEP permite que las soluciones IAM reaccionen rápidamente a los cambios que se produzcan en las condiciones de seguridad. Por ejemplo, si se detectan indicios de que el dispositivo de un usuario se ha visto vulnerado o si la red a la que se conecta deja de ser de fiar, el CAEP limita instantáneamente o revoca el acceso a los recursos confidenciales. Esta capacidad de respuesta en tiempo real es esencial para aplicar los principios Zero Trust, donde el acceso nunca se considera seguro desde un primer momento y solo se concede tras una evaluación del riesgo continua y dinámica.

El CAEP refuerza la seguridad de Zero Trust mediante el ajuste dinámico de las directivas de acceso en tiempo real según unos factores de riesgo contextuales. Las organizaciones pueden utilizar el CAEP para implementar estas medidas:

• Acceso justo a tiempo (JIT): los permisos se conceden solo cuando es necesario y se revocan en cuanto dejan de usarse.
• Autenticación basada en riesgos (RBA): se implementan otros métodos de autenticación (por ejemplo, autenticación MFA) solo cuando los indicios de riesgo superan un umbral definido.
• Puntuación de riesgo de la sesión: el comportamiento de los usuarios y los dispositivos se evalúa de manera continua para determinar si es posible continuar con una sesión activa, o si esta debe restringirse o finalizarse.

El CAEP también permite a las organizaciones aplicar directivas de acceso adaptativas que se ajustan según el contexto de riesgo actual. Gracias a los ajustes detallados y en tiempo real de las directivas, el CAEP permite a las herramientas de IAM responder rápidamente ante cualquier cambio que se produzca en las condiciones de seguridad. Esta verificación continua y la capacidad de adaptación convierten al CAEP en un elemento indispensable para aplicar los principios Zero Trust, donde el acceso se concede en base a una evaluación dinámica y continua de los riesgos en lugar de usar permisos estáticos.

CAEP con CrowdStrike

CrowdStrike Falcon® Next-Gen Identity Security ofrece una protección robusta y en tiempo real mediante el análisis continuo del acceso y la respuesta dinámica ante amenazas emergentes. Falcon® Next-Gen Identity Security utiliza el CAEP para analizar el acceso y evaluar riesgos en tiempo real, lo que garantiza una intervención inmediata ante el más mínimo indicio de ataque de identidad o actividad sospechosa. Al revocar tokens dinámicamente, bloquear cualquier acceso sospechoso y detener amenazas potenciales en cuanto surgen, Falcon Identity Protection proporciona una solución de seguridad robusta y proactiva.

Gracias a la red de inteligencia de amenazas de élite de CrowdStrike, Falcon Identity Protection mejora la evaluación continua del acceso con información contextual procedente de un trabajo de inteligencia global sobre amenazas emergentes. Esta extensa red de inteligencia contribuye a la detección y respuesta proactivas frente a amenazas, lo que permite a las organizaciones anticiparse a los ataques basados en identidad. Con capacidades de CAEP que se adaptan instantáneamente a los cambios que se producen en los riesgos, Falcon® Next-Gen Identity Security ofrece una seguridad de la identidad resiliente y ágil, lo que permite seguir confiando en los controles de acceso de todo el entorno digital.