A primera vista, la detección y respuesta a amenazas de identidad (ITDR) y la gestión de la postura de seguridad de la identidad (ISPM) parecen dos nombres para lo mismo (porque una cosa realmente La necesidad en materia de ciberseguridad es más acrónimos). Si bien comparten algunas similitudes (como un ojo agudo para los problemas), cada uno desempeña un papel muy específico en seguridad de identidad y resuelven problemas muy diferentes. Pero es precisamente por eso que se complementan tan bien. En este artículo, analizaremos qué hace cada uno, cómo funcionan juntos y por qué no puedes permitirte el lujo de ignorar estas diferencias.
ISPM: Reducción proactiva de la superficie de ataque a la identidad
La función principal de ISPM es aumentar la visibilidad de toda su infraestructura de identidad, incluidos usuarios, recursos y permisos, ya sea en las instalaciones o en la nube. ITDR Al centrarse en la respuesta en tiempo real a las amenazas actuales, ISPM garantiza que su entorno no esté lleno de debilidades explotables en primer lugar.
ISPM evalúa continuamente el estado de su superficie de ataque de identidad Para identificar debilidades antes Son el objetivo de un ataque real. Estas debilidades pueden incluir configuraciones incorrectas, privilegios excesivos, malas prácticas e infraestructura heredada insegura. Por ejemplo, las cuentas configuradas con delegación sin restricciones son objetivos ideales para la escalada de privilegios, algo que siempre interesa a los atacantes, ya que les permite adquirir permisos de nivel superiorSin embargo, ISPM puede detectar tales configuraciones erróneas y alertar al equipo de identidad, dándoles la oportunidad de solucionar, o al menos mitigar, el problema antes de que se lance cualquier ataque.
ITDR: Cómo identificar ataques en curso
ITDR es una solución de seguridad diseñada específicamente para detectar y responder a TTP relacionadas con la identidad (tácticas, técnicas y procedimientos, según se definen en MITRE ATT & CK) que tienen como objetivo el acceso a credenciales, la escalada de privilegios o el movimiento lateral. Por ejemplo, los atacantes suelen utilizar credenciales comprometidas Para obtener acceso inicial a un entorno, moverse lateralmente y propagar ransomware. ITDR de El trabajo consiste en detectar este flujo mientras está en curso y, fundamentalmente, detenerlo antes de que se produzcan demasiados daños. Piense en ITDR Como organismo de control de identidades, vigila de cerca todas las autenticaciones e intentos de acceso en tiempo real para detectar posibles actividades y presencias maliciosas, como intentos de acceder a recursos confidenciales desde ubicaciones no autorizadas. Cuando se detecta una amenaza, ITDR debe activar una respuesta (como alertar al equipo de seguridad o, mejor aún, bloquear las cuentas afectadas) y permitir una investigación más profunda.
ITDR y NIMF: mejores juntos
ITDR y NIMF Son dos caras de la misma moneda: mitigación y remediación. Por lo tanto, funcionan mejor cuando se combinan. ISPM supervisará y fortalecerá continuamente su infraestructura de identidad para reducir su superficie de ataque, mientras que ITDR detectará y responderá a las amenazas activas.
Así es como funcionan juntos y por qué necesitas ambos:
| ITDR | NIMF |
| Detección de comportamiento anómalo: Todos los usuarios deben tener un perfil de comportamiento individual y una puntuación de riesgo, para que ITDR pueda identificar cuentas que puedan haber sido comprometidas en función de desviaciones de su comportamiento normal. | Visibilidad e inventario: ISPM proporciona visibilidad sobre la organización ataque de identidad superficie, mantiene un inventario detallado de todos los usuarios y pone estos datos a disposición para una mayor exploración e investigación. |
| Detección de TTP: La ITDR puede detectar TTP, incluidos kerberasting, Pass-the-Hash, Pass-the-Ticket, Fuerza bruta, Escaneo de credenciales, Movimiento lateral y más. | Análisis y remediación de riesgos: El ISPM analiza, clasifica y prioriza los riesgos y ofrece recomendaciones para la corrección y mejora de la postura. |
| Investigación y respuesta: Cuando un usuario muestra un comportamiento sospechoso, ITDR puede iniciar procedimientos de respuesta automatizados, como bloquear el acceso del usuario o poner en cuarentena a los usuarios o recursos comprometidos hasta que se complete una investigación. Por ejemplo, cuando se ataca un punto final, ITDR puede determinar quién inició sesión y qué recursos se utilizaron. | Higiene de la identidad: Contar con ISPM le brinda a una organización una visión de 360 grados de su desempeño en materia de seguridad de la identidad. ISPM generalmente utiliza un sistema de puntuación para indicar a las organizaciones en qué posición se encuentran; a medida que se resuelven los problemas, la puntuación de ISPM aumenta. |
Aplicación de la teoría a la práctica: ejemplos del mundo real
Esto no es sólo una teoría. Lamentablemente, hay demasiados ejemplos del mundo real que ilustran por qué se necesitan tanto la ITDR como la ISPM.
En la violación de Snowflake de 2024, por ejemplo, los atacantes utilizaron credenciales comprometidas para obtener acceso a datos críticos (puede leer más sobre esta violación aquí.) La NIMF podría haber desempeñado un papel preventivo importante en este caso. La investigación destacó una grave ausencia de MFA – una debilidad clave que podría haber sido detectada por ISPM y mitigada mediante la aplicación de controles de acceso más estrictos antes de que se convirtiera en un problema. Si los atacantes hubieran logrado acceder a sus sistemas, ITDR probablemente lo habría detectado mucho antes y habría dado una ventaja a sus equipos de seguridad.
Del mismo modo, el Vulnerabilidad de autenticación incorrecta en MOVEit 2023 Esto provocó que se eludiera la autenticación y afectó a numerosas organizaciones, incluidas agencias gubernamentales, que utilizan la transferencia de archivos MOVEit. Si bien ITDR e ISPM no necesariamente habrían detenido el acceso inicial, podrían haber detectado la actividad sospechosa y reducido significativamente su impacto. Por ejemplo, si los atacantes intentaron moverse lateralmente o interactuar con sistemas o datos fuera del horario comercial o desde ubicaciones desconocidas, ITDR podría haberlo detectado. En cuanto a ISPM, evalúa continuamente el entorno para identificar configuraciones incorrectas y fallas como, como en este caso, dejar una aplicación como MOVEit accesible a usuarios no autorizados sin controles adicionales.
Conclusión
La ITDR y la ISPM funcionan mejor como una fuerza unificada. La ISPM fortalece su postura de seguridad de identidad, haciéndole consciente de sus debilidades de identidad antes de los posibles atacantes, y la ITDR le brinda la oportunidad de lidiar con amenazas de identidad A medida que se desarrollan, al trabajar juntos, no solo abordan las deficiencias individuales, sino que también completan las piezas faltantes para lograr un enfoque unificado de la seguridad de la identidad.
