“Sin datos, solo eres alguien con una opinión.”
Es una versión moderna del principio atemporal de Peter Drucker: no se puede gestionar lo que no se mide. Si no tienes la visibilidad necesaria para comprender tu problema, ¿cómo podrías resolverlo? ¿Acaso sabes siquiera cuál es el problema en realidad?
Este es el dilema al que se enfrentan hoy los profesionales de la ciberseguridad. Durante el último año, la industria finalmente ha reconocido que seguridad de identidad No solo es importante, sino fundamental para la ciberseguridad. Sin embargo, la mayoría de las organizaciones aún carecen de visibilidad real o datos significativos para cuantificar su exposición. Cuando era director de informática de una gran consultora, mi equipo y yo nos encontramos precisamente en esa situación hace unos años.
La brecha de visibilidad en la protección de la identidad
Mi equipo de TI se basaba en gran medida en datos. Contábamos con informes exhaustivos en todas las operaciones: gestión de programas, gestión de servicios, disponibilidad, etc. Los informes de ciberseguridad también eran muy avanzados en áreas como la protección perimetral y la gestión de vulnerabilidades.
Pero en lo que respecta a la capa de identidad, la información era escasa. Mi pregunta fundamental, «¿cuán expuestos estamos?», quedó sin respuesta. Esta falta de información se aceptó simplemente como «lo mejor que podemos hacer».
Confiábamos en nuestras sólidas defensas perimetrales, respaldadas por equipos capacitados, un SOC global, sistemas SIEM y ITDRNos mantuvieron a salvo. Esa creencia se desvaneció en el momento en que llegó el Equipo Rojo.
La llamada de atención
Para quienes no estén familiarizados con el tema, un Equipo Rojo (definido por el NIST como «un grupo de personas autorizadas para emular el ataque de un adversario potencial») prueba hasta qué punto un atacante puede penetrar sus defensas, idealmente sin activar ninguna alarma. Su objetivo final es obtener acceso administrativo a todo su dominio.
En nuestro caso, el punto de entrada del Equipo Rojo fue un ataque de phishing ingeniosamente diseñado. A pesar de los simulacros internos de phishing regulares, un pequeño porcentaje de usuarios hizo clic, y eso fue suficiente.
Lo que siguió fue aún más alarmante. A pesar de nuestras defensas de última generación, el Equipo Rojo operó sin ser detectado durante semanas. Ninguna alerta llegó al SOC, que se perdió en el torrente de datos del SIEM. El ejercicio solo terminó cuando ellos decidieron detenerse. Para entonces, ya habían logrado acceder al dominio a través de una vía olvidada hacía mucho tiempo. cuenta privilegiada.
La dura realidad
Acabábamos de finalizar un programa de ciberseguridad de cinco años y varios millones de dólares con herramientas de vanguardia. Aun así, un adversario experto logró vulnerar la seguridad, porque no pudimos evitar el uso indebido de las credenciales.
Desde entonces, he visto la misma historia repetirse en muchas organizaciones, independientemente de su nivel de sofisticación. Si crees que eres inmune a esta amenaza, pero no puedes demostrarlo con datos, estás apostando por la esperanza, y la esperanza no es una estrategia.
Lo que hemos aprendido
- Protección de identidad es fundamental.
Las defensas perimetrales son esenciales, pero lo que realmente importa es lo que sucede después de una intrusión. Romper una ventana es malo; perder todos tus objetos de valor es peor. En todo ataque, el uso indebido de credenciales privilegiadas es la clave de esa pérdida. - Cuantifique su riesgo.
Las opiniones sobre la postura de seguridad no bastan. Respalda tus afirmaciones con datos. Encarga un ejercicio de Red Team que ponga a prueba no solo tu perímetro, sino también tus defensas internas contra la identidad. Cuantificar el riesgo te da una oportunidad real de mitigarlo. - La visibilidad lo es todo.
Muchos sistemas de gestión de identidades han evolucionado durante décadas, ocultando a menudo riesgos heredados. Es fundamental poder identificar las cuentas de alto riesgo en todos los sistemas desde una única plataforma. Sin esta herramienta, su equipo trabaja a ciegas. - Cubre lo básico.
Puede que creas que tienes pleno conocimiento MFA cobertura, pero lo más probable es que no la tengas. Los sistemas heredados, los recursos compartidos de archivos y las herramientas de línea de comandos a menudo carecen de compatibilidad con MFA y se convierten en puntos de entrada fáciles. De manera similar, el aislamiento de accesos identidades no humanas por lo que solo pueden utilizarse donde sea vital.
"El uso indebido de cuentas privilegiadas —humanas o no— es la clave de la mayoría de los ataques exitosos."
Un momento de iluminación
El punto de inflexión llegó poco después de nuestro ejercicio del Equipo Rojo, cuando descubrí Silverfort La plataforma fue toda una revelación tanto para mí como para mi CISO.
Nuestra prueba de concepto lo confirmó: si bien el equipo rojo aún podía obtener acceso inicial, no pudo moverse lateralmente ni causar daños. Aún más importante, por fin obtuvimos la visibilidad de nuestros repositorios de identidades que habíamos perdido durante años: un enorme avance en la reducción del riesgo cibernético.
eBook
Prevención del movimiento lateral en Active Directory
- Por qué las defensas tradicionales no pueden detener movimiento lateral
- Cómo superar el movimiento lateral con una estrategia que prioriza la identidad
- Las capacidades imprescindibles para una defensa eficaz
No puedes proteger lo que no puedes ver.
La lección que he aprendido de mi experiencia —y de la de muchos otros— es clara: no se puede proteger lo que no se ve. La identidad se ha convertido en el nuevo campo de batalla de la ciberseguridad, y sin embargo, sigue siendo el ámbito menos medido y más incomprendido. Sin cuantificar el riesgo que supone la identidad, su organización está, en efecto, navegando a ciegas, basándose en suposiciones y opiniones en lugar de en datos.
Las pruebas en entornos reales, la visibilidad continua y los datos prácticos son lo que distingue a las organizaciones que creen ser seguras de las que realmente lo son. La capacidad de ver, medir y comprender cómo se utilizan —y se abusa de— las identidades en todo el entorno transforma la seguridad de reactiva a proactiva.
Al cuantificar el riesgo de identidad, no solo se exponen las debilidades, sino que también se capacita al equipo para tomar decisiones informadas, priorizar eficazmente y subsanar las vulnerabilidades que explotan los atacantes. En ciberseguridad, esa es la diferencia entre esperar lo mejor y defender con confianza lo que más importa.