Bloqueo de usuarios basado en amenazas

Editar en línea

Responda de forma proactiva a los ataques en curso mediante políticas de acceso basadas en amenazas que bloqueen automáticamente a los usuarios sospechosos, ampliando las protecciones basadas en direcciones IP a la aplicación de medidas a nivel de usuario durante el proceso de inicio de sesión único (SSO).

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM® Verify consola de administración como administrador. Para obtener más información, consulte «Acceder a IBM Verify ».

Acerca de esta tarea

Los atacantes están registrando actualmente un gran número de dispositivos de autenticación multifactorial (OTP por voz o SMS) para usuarios de diversas zonas geográficas, lo que obliga a los clientes a desactivar manualmente las cuentas comprometidas identificadas a través del servicio de detección de amenazas. Aunque existe la posibilidad de bloquear direcciones IP, no hay ninguna forma automatizada de bloquear a los usuarios sospechosos. Para subsanar esta deficiencia, es necesario un mecanismo de bloqueo a nivel de usuario durante el flujo de SSO.

El servicio de inteligencia sobre amenazas (TI) se ha mejorado para incluir la userId información de la sesión de SSO actual, lo que permite determinar si el usuario autenticado es sospechoso.

Se ha creado un nuevo atributo personalizado para el flujo de SSO: ibm:threat_is_suspicious_user. Es similar a los atributos personalizados relacionados con amenazas ya existentes y está disponible durante el proceso de inicio de sesión único (SSO).

Procedimiento

  1. Inicia sesión como administrador en IBM Verify. Ve al icono de perfil y haz clic en «Cambiar a administrador ».
  2. Selecciona «Seguridad » > «Políticas de acceso ». Crear o actualizar una política de acceso existente.
    • ibm:threat_is_suspicious_userDefina las reglas de la política (SSO) utilizando el atributo «Personalizado ». Por ejemplo:

      Condición : ibm:threat_is_suspicious_user es verdadero

      Acción : Bloquear, exigir la autenticación de dos factores o Permitir

  3. Guarda y publica la política de acceso.
  4. Seleccione Aplicaciones > Configuración de la aplicación > Inicio de sesión y, a continuación, añada esta política creada a la aplicación seleccionada.

Qué hacer a continuación

  • Cuando un usuario inicia sesión en IBM Verify e intenta acceder a la aplicación, el servicio de inteligencia sobre amenazas (TI) evalúa si el usuario es sospechoso.
  • Si se considera que el usuario es sospechoso, se le bloqueará o se le solicitará la autenticación multifactorial (MFA), según la acción definida en la regla de la política de acceso.
  • Si el usuario no resulta sospechoso, se le permite acceder a la aplicación.