Es hora de una protección de identidad unificada

*****Por Hed Kovetz, director ejecutivo y cofundador, Silverfort*****

Ataques basados ​​en identidad, que utilizan credenciales comprometidas para acceder a los recursos empresariales, continúa creciendo en volumen, sofisticación y escala. Las altas tasas de éxito de estos ataques, ya sea en forma de apropiación de cuentas, acceso remoto malicioso o movimiento lateral, revelan una debilidad inherente que continúa existiendo en el mundo actual. Protección de Identidad soluciones y prácticas. En esta publicación revisaré las razones de esto e introduciré un nuevo concepto: Protección de identidad unificada. Un propósito construido Protección de identidad unificada La plataforma puede cerrar estas brechas existentes en la protección de la identidad y permitir a las empresas recuperar la ventaja contra los ataques de identidad.

¿Qué son los ataques basados ​​en la identidad?

Cualquier ataque que utilice credenciales comprometidas para acceder a recursos empresariales, en la nube o localmente, es un ataque basado en identidad. De acuerdo con la 'Informe de investigaciones de violación de datos de Verizon 2020', las credenciales robadas o comprometidas estuvieron involucradas en más del 80% de todas las filtraciones de datos y en el 77% de las filtraciones de la nube. Sin embargo, los ataques basados ​​en identidad no se utilizan sólo para obtener acceso inicial a la red. También se utilizan para avanzar dentro de la propia red.

La red híbrida empresarial moderna introduce numerosos ataque de identidad vectores a los que se dirigen los atacantes en dos etapas principales:

• El acceso inicial: Acceso malicioso a aplicaciones SaaS e IaaS en la nube pública, así como penetración en el perímetro empresarial a través de conexiones remotas VPN o RDP comprometidas.
• Movimiento lateral: Realizar un seguimiento de una infracción inicial para avanzar de un activo a otro utilizando credenciales comprometidas para avanzar en el ataque. Movimiento lateral Este tipo de amenazas aparecen tanto en amenazas persistentes avanzadas (APT) como en la propagación automatizada de malware o ransomware.

Las empresas deben evitar el uso de credenciales comprometidas, no sólo para traspasar el perímetro, sino también para evitar intentos de utilizarlas para movimientos laterales. La protección de identidad unificada, que se extiende más allá del perímetro para asegurar el uso de credenciales dentro de la propia red, puede lograrlo.

Las brechas en la protección de la identidad en las empresas actuales

Las empresas actuales se quedan cortas en ambos detector si la autenticación de un usuario introduce riesgos, y la prevención intentos de autenticación maliciosos.

El brecha de detección surge del hecho de que hoy en día las empresas utilizan múltiples identidades y Soluciones de gestión de acceso (IAM) a través de la red híbrida. Una empresa típica implementa al menos un directorio local, como Active Directory, un IdP en la nube para aplicaciones web modernas, una VPN para acceso remoto a la red y PAM para gestión de acceso privilegiado. No existe una solución única que supervise y analice toda la actividad de autenticación del usuario en todos los recursos y entornos. Esto reduce materialmente la capacidad de comprender el contexto completo de cada intento de acceso e identificar anomalías que pueden indicar un comportamiento riesgoso o un uso malicioso de credenciales comprometidas.

El brecha de prevención se debe al hecho de que los controles de seguridad esenciales de IAM, como la autenticación multifactor (MFA), Autenticación basada en riesgos (RBA) y aplicación de acceso condicional: no brindan cobertura para todos los recursos empresariales, dejando brechas de seguridad críticas.  Como resultado, muchos activos y recursos permanecen desprotegidos, incluidas aplicaciones propias y de cosecha propia, infraestructura de TI, bases de datos, archivos compartidos, herramientas de línea de comandos, sistemas industriales y muchos otros activos confidenciales que pueden convertirse en un objetivo principal para los atacantes. Estos activos siguen dependiendo de mecanismos basados ​​en contraseñas y protocolos heredados que no pueden protegerse con las soluciones actuales basadas en agentes o proxy. Esto se debe a que la mayoría Soluciones de seguridad IAM no pueden integrarse con ellos o no apoyan sus protocolos.

Cuando analizamos los diferentes activos de la red empresarial híbrida y todas las formas posibles de acceder a cada uno de ellos, queda claro que no basta con proteger sólo unos pocos de ellos. Cualquier sistema desprotegido deja una brecha abierta que puede permitir una violación de datos. Sin embargo, proteger todos los sistemas empresariales uno por uno mediante la implementación de agentes de software, servidores proxy y SDK ya no es realista. Esto significa que actualmente las soluciones de seguridad IAM no ofrecen una forma eficaz de evitar el uso de credenciales comprometidas para acceso malicioso y movimiento lateral.

¿Cómo puede la protección unificada de identidad abordar estas brechas?

Se consolida la protección de identidad unificada AMI controles de seguridad para enfrentar los numerosos vectores de ataques de identidad y los extiende a todos los usuarios, activos y entornos empresariales. Para abordar los vectores de amenazas basadas en la identidad y superar las brechas de detección y prevención descritas en la sección anterior, la Protección Unificada de Identidad debe basarse en los siguientes pilares:

1. Monitoreo Unificado Continuo de Todas las solicitudes de acceso: Para obtener visibilidad completa y permitir información precisa análisis de riesgos, existe la necesidad de un monitoreo continuo y holístico de todas las solicitudes de acceso en todos los protocolos de autenticación, tanto del acceso de usuario a máquina como de máquina a máquina, y en todos los recursos y entornos. Esto incluye cada intento de acceso, ya sea a un punto final, una carga de trabajo en la nube, una aplicación SaaS, un servidor de archivos local, una aplicación empresarial heredada o cualquier otro recurso. Todos los datos de seguimiento deben agregarse en un repositorio unificado para permitir un análisis más detallado. Un repositorio de este tipo puede ayudar a las empresas a superar el problema inherente de los silos de IAM y permitir la detección y el análisis de amenazas.
2. Análisis de riesgos en tiempo real para todos y cada uno de los intentos de acceso:
   Para detectar y responder eficazmente a las amenazas, es necesario analizar cada solicitud de acceso para comprender su contexto, en tiempo real. Esto requiere la capacidad de analizar el comportamiento general de su usuario, es decir, todas las autenticaciones que el usuario realiza en cualquier red, nube o recurso local, no solo en el inicio de sesión inicial en la red sino también en cualquier inicio de sesión posterior dentro de estos entornos. Este contexto permite un análisis de riesgos de alta precisión en tiempo real que proporciona el contexto necesario para determinar si las credenciales proporcionadas podrían verse comprometidas.
3. Cumplimiento de Autenticación adaptable y políticas de acceso en todos los intentos de acceso
   Para hacer cumplir la protección en tiempo real, es necesario ampliar los controles de seguridad como MFA, autenticación basada en riesgos y acceso condicional a todos los recursos empresariales en todos los entornos. Sin embargo, como explicamos antes, no es práctico implementar sistemas de protección por sistema. Esto se debe tanto a la naturaleza dinámica de los entornos modernos, que los convertirá en una tarea interminable, como a la realidad de que muchos activos simplemente no están cubiertos por las soluciones de seguridad IAM existentes. Para que todo esto sea alcanzable para las empresas, es preferible aplicar estos controles sin tener que integrarlos directamente con cada uno de los diferentes dispositivos, servidores y aplicaciones, y sin requerir cambios masivos de arquitectura. Es necesario que haya una manera de hacer cumplir las protecciones de manera holística y unificada.

Integración de protección de identidad unificada con soluciones IAM existentes

Es importante aclarar que la Protección de Identidad Unificada no reemplaza las existentes Soluciones de gestión de identidades y accesos. En cambio, consolida sus capacidades de seguridad y extiende su cobertura a todos los activos, incluidos aquellos que no admiten de forma nativa, para garantizar que las organizaciones puedan administrar y proteger todos los recursos empresariales en todos los entornos con políticas y visibilidad unificadas.

Sobre SilverfortPlataforma unificada de protección de identidad 

Silverfort ahora ofrece la primera Plataforma Unificada de Protección de Identidad que cierra las brechas de detección y prevención, y previene la amplia gama de ataques de identidad que apuntan a las empresas modernas. Utilizando una arquitectura única sin agentes y sin proxy, Silverfort monitorea todas las solicitudes de acceso tanto de usuarios como de cuentas de servicio, en todos los activos y entornos, ampliando las políticas de análisis basado en riesgos, acceso condicional y autenticación multifactor de alta precisión para cubrir todos los recursos en el entorno empresarial híbrido. Debido a su arquitectura sin agentes ni proxy, Silverfort También puede extender estas protecciones a activos que no podían protegerse antes, para garantizar que ningún sistema quede desprotegido.

Este breve vídeo explica los casos de uso clave. SilverfortLa Plataforma Unificada de Protección de Identidad aborda:

¿Quiere obtener más información o ver una demostración? Programe una reunión con uno de nuestros expertos esta página.