La Autoridad Australiana de Regulación Prudencial (APRA) publicó recientemente hallazgos de un estudio examinando el nivel de resiliencia de la ciberseguridad de sus entidades reguladas, lo que reveló un número alarmante de brechas de seguridad. En este blog echamos un vistazo a aspectos de protección de identidad de estas brechas, y discutir cómo los equipos de identidad y seguridad pueden evaluar su postura de seguridad de identidad dentro del contexto de los hallazgos de APRA y luego tomar medidas para abordar su propia resiliencia a las amenazas de identidad. Cada brecha detectada por el APRA se complementa con su Protección de la identidad implicación y seguido de una pregunta de evaluación interna.
Además, presentamos Silverfort, Protección de identidad unificada plataforma, que muestra cómo puede permitir que las entidades reguladas por el APRA resuelvan el elemento de protección de identidad de estas brechas para garantizar que mantengan el más alto nivel de resiliencia ante las amenazas a la identidad.
Brecha No. 1: Identificación y Clasificación de Activos de Información – Identificación de Todas las Cuentas de Usuario
Pregunta de evaluación de protección de identidad: Tengo identificado todos interno y externo cuentas de usuario que tienen acceso a recursos de información críticos?
¿Por qué importa esto?
En el contexto de la protección de la identidad, las cuentas de usuario son la superficie de ataque que hay que vigilar. Porque si los adversarios logran comprometer estas credenciales, pueden acceder fácilmente a los recursos y causar graves daños. Por lo tanto, la tarea más fundamental es garantizar que cada cuenta de usuario sea conocida y monitoreada. Esto incluye usuarios estándar y administrativos, pero también de máquina a máquina. cuentas de servicio así como los terceros contratistas que tengan acceso al entorno de la entidad.
Brecha No. 2: Controles de seguridad de la información de terceros - Aplicación de la autenticación segura
Pregunta de evaluación de la protección de la identidad: ¿Cuento con una autenticación segura y sólida para los contratistas externos que tienen acceso a mis recursos internos?
¿Por qué importa esto?
Los adversarios se dirigen a las cadenas de suministro de terceros porque (con razón) asumen que se trata del eslabón más débil del conjunto de protección de una organización. El aspecto de protección de identidad aquí se relaciona con la capacidad de la organización para imponer una autenticación segura en su ecosistema de cadena de suministro y garantizar que pueda validar que el usuario que solicita acceso es de hecho el contratista mismo y no un adversario que ha logrado comprometer las credenciales del contratista.
Brecha No. 3: Programas de pruebas de control que incluyen el movimiento lateral en las evaluaciones del Equipo Rojo
Pregunta de evaluación de la protección de la identidad: ¿Tengo programas de prueba de resiliencia en mi entorno (es decir, Red Team) que incluyan el uso de credenciales comprometidas para acceder a los recursos?
¿Por qué importa esto?
Durante un ciberataque, la fase en la que un adversario comienza a moverse lateralmente en el entorno es el factor X que transforma un evento local en un incidente a nivel de organización. Si el propósito del ataque es ransomware, entonces la diferencia es poder cifrar varias máquinas en lugar de solo una. Si se trata de robo de datos, movimiento lateral es donde el atacante logra llegar desde la máquina del “paciente cero” hasta un recurso específico donde residen los datos confidenciales. Esto hace que la incorporación de esta parte de las pruebas de resiliencia sea de vital importancia.
Brecha n.° 4: Planes de respuesta a incidentes: conocimiento integral de las rutas de autenticación de usuarios
Pregunta de evaluación de la protección de la identidad: ¿Mi pila de visibilidad forense incluye la capacidad de ver y analizar fácilmente las autenticaciones y los intentos de acceso de todos los usuarios para poder rastrear la ruta de un adversario a través de mi entorno?
¿Por qué importa esto?
La parte central de un proceso de respuesta es poder rastrear la ruta completa de los ataques, desde el acceso inicial hasta las acciones objetivo, de modo que cada instancia de actividad y presencia maliciosa pueda identificarse y eliminarse. En el lado de la identidad de esta investigación, está la capacidad de ver el movimiento de las cuentas de los usuarios entre las máquinas, identificar el punto exacto donde fueron comprometidas y detectar las técnicas maliciosas involucradas en el ataque. Esto no se puede lograr a menos que haya un centro central donde se agreguen todas las autenticaciones e intentos de acceso.
Brecha No. 5: Revisiones de auditoría interna de los controles de seguridad de la información: cobertura real proporcionada por MFA y PAM
Pregunta de evaluación de la protección de la identidad: ¿Mis auditorías de seguridad internas implican verificar el alcance de las medidas de protección de la identidad (por ejemplo, MFA, PAM, autenticación basada en riesgos, etc.), incluida la cobertura y el uso real?
¿Por qué importa esto?
Al final del día, los controles de seguridad establecidos marcan la diferencia entre un intento fallido de ataque y una infracción exitosa. Además, no basta con disponer de soluciones de seguridad sino también garantizar su nivel de cobertura y uso correcto. Por ejemplo, la MFA que se aplica a los administradores solo deja expuestos a los usuarios habituales del dominio. Además, la AMF que, en teoría, se aplica a todos los usuarios pero que no se utiliza plenamente debido a las objeciones de la fuerza laboral revela una brecha similar. Además, la protección MFA en el acceso RDP sin una cobertura similar para el acceso a la línea de comandos tampoco es suficiente. Los controles de protección de la identidad solo pueden lograr protección en tiempo real si se implementan de manera integral y cubren a toda la fuerza laboral y todos los recursos.
Brecha No. 6: Notificación de Incidentes Materiales y Debilidades de Control – Detección de Amenazas a la Identidad
Pregunta de evaluación de la protección de la identidad: ¿Puedo identificar y analizar fácilmente los incidentes y las debilidades de la protección de la identidad en mis entornos?
¿Por qué importa esto?
Detección de un activo ataque basado en identidad puede ser un desafío complicado. A diferencia del malware, que deja distintos artefactos forenses en los puntos finales comprometidos, las amenazas a la identidad son solo una secuencia de autenticaciones. Además, determinar que una cuenta fue comprometida significa un reinicio inmediato o incluso la desactivación de esa cuenta, lo que hace que los falsos positivos sean una gran preocupación.
El Silverfort Plataforma: protección en tiempo real contra amenazas de identidad
Silverfort ha sido pionero en la primera plataforma de protección de identidad unificada especialmente diseñada que puede extender MFA a cualquier usuario y recurso, automatizar el descubrimiento, monitoreo y protección de cuentas de servicioy prevenir proactivamente movimiento lateral y el propagación de ransomware ataques.
Silverfort se conecta a todos dOmain cControladores y otros on-premise identadura pProveedores (IdP) en el entorno para monitoreo continuo, análisis de riesgos y aplicación de políticas de acceso. en cada intento de autenticación y acceso realizado por usuarios, administradores o cuentas de servicio a cualquier usuario, sistema y entorno.
Resuelva cada brecha detectada por APRA con Silverfort
En el contexto de las brechas detectadas por el APRA, Silverfort permite a los equipos de identidad y seguridad abordarlos todos. SilverfortLa integración de todos los IdP del entorno proporciona una visibilidad del 100 % de cada autenticación de usuario e intento de acceso. Su arquitectura sin agentes facilita la aplicación de MFA en el acceso de terceros y su MFA puede cubrir todos los recursos y métodos de acceso (incluidas aplicaciones heredadas y acceso a línea de comandos), así como cuenta privilegiada protección: proporciona la mayor resistencia contra el uso malicioso de credenciales comprometidas. SilverfortEl motor de riesgo de está diseñado específicamente para detectar amenazas a la identidad, desde fuerza bruta hasta Pass-the-Hash y otras técnicas, y sus registros de autenticación detallados brindan información clara sobre los intentos de acceso y autenticación de todos los usuarios.
¿Quiere aumentar su resiliencia ante las amenazas a la identidad y alinearse con las mejores prácticas de APRA? Programar una llamada con uno de nuestros expertos.