6 capacidades que toda plataforma de seguridad de identidad debe tener 

Índice del Contenido

Comparte este artículo:

La identidad ha cambiado: en un mundo donde los negocios se realizan a través de sistemas, zonas horarias e incluso entre personas y no personas, la "identidad" ya no significa que una sola persona inicie sesión en un solo dispositivo en un solo lugar. Entonces, ¿por qué seguimos abordando la identidad? seguridad ¿Como si fuera 2005? Debe haber una mejor manera: una que no considere un conjunto inconexo de IAM, IGA y Soluciones PAM la opción único opción, pero también considera dónde entran en juego la visibilidad, la postura, la protección y el análisis de amenazas. Aquí es donde seguridad de identidad se sienta – yendo más allá de la autorización y la gestión de acceso y entrando en el ámbito de la prevención, detección y respuesta en tiempo real. 

De acuerdo con la investigación de la Protección de la superficie de ataque a la identidad (reporte)El 75 % de las detecciones están libres de malware (un ataque sin malware permite a los adversarios operar de forma discreta y navegar sin problemas entre los dominios de endpoints y la nube). Así que sí, ese dicho «Los atacantes no entran ilegalmente, sino que inician sesión» es más cierto que nunca, y ya no hay vuelta atrás.  

Sin embargo, mientras que la identidad management no equivale a identidad seguridadLos equipos de IAM, cumplimiento y seguridad aún se enfrentan a la necesidad de resolver los mismos problemas que antes, cuando proteger las identidades implicaba controlar el acceso de una persona, un dispositivo y una ubicación. Estos desafíos, que siguen vigentes, incluyen: 

  • Obtenga visibilidad de todas las identidades, en todas partes 
  • Reducir la complejidad operativa y de los sistemas 
  • Mejorar los procesos y la comunicación 
  • Reducir la probabilidad de incidentes de seguridad (o al menos contenerlos cuando ocurren) 

Por eso hemos creado el Primera lista de verificación de RFP de seguridad de identidad de la industria, un recurso diseñado para que los equipos de identidad, cumplimiento y seguridad evalúen a los proveedores en seis áreas de enfoque para que puedan hacer las preguntas correctas que conduzcan a la selección de soluciones integrales y de primera clase.  

En este blog, abordaremos brevemente estas seis capacidades fundamentales que toda solución de seguridad de identidad debe tener y que, cuando se satisfacen, preparan a su organización para el éxito independientemente del entorno, el tamaño de la empresa o la industria.  

Para acceder a la lista completa de verificación de RFP de seguridad de identidad, haga clic aquí. 

Capacidad n.° 1: Habilitar la autenticación multifactor (MFA) universal  

La mayoría de las Soluciones MFA No fueron diseñados para cubrirlo todo, dejando tras de sí un rastro de sistemas desprotegidos, protocolos heredados e interfaces no administradas. Para complicar aún más las cosas, incluso donde MFA Se implementa, la implementación suele ser compleja (requiere agentes o servidores proxy) y la gestión de múltiples herramientas MFA en las instalaciones locales y en la nube genera costos redundantes y una experiencia de usuario inconsistente.  

Lo que realmente necesitan las organizaciones es MFA universal:la capacidad de ampliar la protección a cualquier recurso, sin modificar servidores ni aplicaciones y sin estar limitado a un único proveedor de MFA.  

Para llegar a la raíz del problema de si un proveedor de soluciones ofrece MFA universal, las preguntas clave que se deben plantear incluyen: 

  1. ¿Su solución extiende MFA para sistemas que son más desafiantes, es decir, herramientas de línea de comandos como PsExec ¿A infraestructura de TI/OT y aplicaciones personalizadas? 
  1. ¿Su solución elimina la necesidad de agentes o servidores proxy con aplicación en tiempo real o en línea? 
  1. ¿Puede su solución proporcionar MFA para todas las autenticaciones de AD, incluidas? NTLM¿Kerberos, LDAP y LDAPS? 
  1. ¿Su solución se extiende? Entra ID ¿Acceso condicional a recursos administrados por AD? 
  1. ¿Su solución se integra con? Okta ¿MFA? 
MFA universal de Silverfort 

Capacidad n.° 2: Imponer acceso con privilegios mínimos 

Una vez que un atacante logra establecerse en los sistemas, a menudo no hay forma de detener el movimiento lateral o escalada de privilegios Sin afectar los sistemas centrales. Peor aún, la mayoría de las herramientas de detección se activan solo después de que el daño ya está hecho.  

Lo que se necesita es Aplicación en línea en el punto de autenticación En lo profundo de la infraestructura de identidad, para que el acceso pueda bloquearse o cuestionarse incluso antes de que se establezca una sesión. Es necesario poder inspeccionar cada intento de inicio de sesión y evaluar continuamente el riesgo para aplicar la política antes de que se inicie una sesión.  

Para llegar a la raíz del problema de si un proveedor de soluciones permite a su equipo aplicar privilegios mínimos acceso, las preguntas clave que debe plantearse incluyen: 

  1. ¿Su solución tiene protección de acceso en tiempo de ejecución, que ofrece controles de seguridad preventivos en línea? autenticación ¿capa? 
  1. ¿Puede su solución prevenir? movimiento lateral ¿Y la propagación del ransomware a medida que ocurre? 
  1. ¿Puede su solución evitar que los administradores omitan PAM al iniciar sesión directamente en los recursos? 
Firewall de autenticación de Silverfort

Capacidad n.° 3: Proteger a los usuarios y cuentas privilegiados 

Cuentas privilegiadas Siguen siendo uno de los puntos de entrada más utilizados para las brechas de seguridad y las amenazas internas. Como señala Rob Ainscough, asesor principal de seguridad de identidad (EMEA), en su seminario web. “Ganar la batalla del acceso privilegiado: de la extinción de incendios al control de campo” Los equipos de seguridad suelen recurrir a soluciones de gestión de acceso privilegiado (PAM) para evitar el abuso de cuentas privilegiadas. Sin embargo, las soluciones PAM son difíciles de escalar y de garantizar una cobertura integral (especialmente donde... identidades no humanas (por ejemplo, las cuentas de servicio) y puede llevar meses o años proteger sólo una cuenta.  

La implementación de soluciones PAM requiere tiempo y recursos, pero aún así no proporciona protección integral para todas las cuentas privilegiadas. 

Lo que las organizaciones necesitan es un enfoque que reduzca los gastos generales, elimine los puntos ciegos y aplique el mínimo privilegio de forma dinámica. Para llegar a la raíz del problema de si un proveedor de soluciones... protege a los usuarios y cuentas privilegiadosLas preguntas clave que debemos plantearnos incluyen: 

  1. ¿Puede su solución descubrir cuentas privilegiadas desconocidas? 
  1. ¿Puede su solución imponer el acceso con privilegios mínimos restringiendo dónde se pueden usar las cuentas a través de un cercado virtual? 
  1. ¿Cómo evita su solución el abuso de cuentas privilegiadas sin interrumpir los flujos de trabajo legítimos? 
Seguridad de acceso privilegiado desde Silverfort

Capacidad n.° 4: Descubrir, clasificar y proteger identidades no humanas, como cuentas de servicio 

Identidades no humanas (NHI), como cuentas de servicio y claves API superan en número a los usuarios humanos en al menos 50:1Y esta brecha sigue creciendo. Sin embargo, estas identidades a menudo operan en la sombra. Son difíciles de descubrir, carecen de una propiedad clara y con frecuencia se les conceden privilegios excesivos.  

Las soluciones de seguridad de identidad modernas deben brindar visibilidad completa, control activo y automatización escalable para administrar las NHI a escala durante todo su ciclo de vida, ya sea en la nube o en las instalaciones locales.  

Para llegar a la raíz del problema de si un proveedor de soluciones Protege cada NHI en la nube y en las instalacionesLas preguntas clave que debemos plantearnos incluyen: 

  1. ¿Puede su solución descubrir y clasificar automáticamente los siguientes tipos de NHI o credenciales de acceso programables? 
    • Cuentas de servicio de AD locales 
    • OAuth o tokens de acceso 
    • Claves de la API 
    • Certificados 
    • Roles de IAM en la nube 
    • Directores de servicio 
    • Claves criptográficas 
  1. ¿Puede su solución ver cada solicitud de autenticación que se envía? Active Directory
  2. ¿Su solución automatiza la protección de identidades de máquina ¿A escala utilizando API, motores de políticas inteligentes e integraciones como CMDB o sistemas de tickets? 
  3. ¿Puede su solución proporcionar identificación e inventario de cuentas de servicio
  4. ¿Puede su solución facilitar la incorporación de cuentas de servicio a PAM? 
Seguridad del NHI de Silverfort 

Capacidad n.° 5: Detectar y bloquear el abuso de credenciales, detener el movimiento lateral, reducir los falsos positivos y activar la respuesta en tiempo real 

Según el Informe de investigaciones de violación de datos de Verizon 2024Más del 80 % de las brechas de seguridad se deben al robo o la vulneración de credenciales. Sin embargo, la mayoría de las herramientas de detección y respuesta no se diseñaron considerando la identidad. Además, con las plataformas SIEM tradicionales, resulta difícil escalar las detecciones centradas en la identidad, lo que dificulta que los equipos de SOC e IR se mantengan al día con la evolución de las amenazas. Mientras tanto, los EDR, XDR y CDR solo analizan una parte del rompecabezas, en lugar de ofrecer una visión completa de las amenazas en el entorno.  

Para cerrar esas brechas, las organizaciones necesitan: Soluciones ITDR Que son proactivas y nativas de la identidad. La plataforma adecuada puede identificar las amenazas que están en el origen de muchas brechas a gran escala: movimiento lateral, escalada de privilegios y patrones de acceso sospechosos.  

Para llegar a la raíz del problema de si un proveedor de soluciones puede detectar y responder a amenazas basadas en la identidad en tiempo real, las preguntas clave que se deben plantear incluyen: 

  1. ¿Su solución ofrece detección avanzada de amenazas con reconocimiento de identidad que inspecciona cada intento de acceso a los recursos locales y en la nube? 
  1. ¿Puede su solución ir más allá de la detección pasiva para permitir respuestas en línea y en tiempo real al comportamiento malicioso? 
  1. ¿Su solución detiene a los atacantes mediante autenticación reforzada, bloqueo de acceso o reautenticación forzada? ¿Y puede hacerlo sin afectar la productividad del usuario? 
  1. Si ocurre una vulneración, ¿puede su solución contener el ataque y garantizar que no se propague a recursos adicionales? 
Detección y respuesta a amenazas de identidad desde Silverfort (específico de la nube) 

Capacidad n.° 6: Mejorar la postura de seguridad de la identidad, descubrir riesgos de forma proactiva y remediar debilidades en entornos híbridos 

Puntos débiles en el infraestructura de identidad Los riesgos, como configuraciones incorrectas, protocolos obsoletos y privilegios excesivos, suelen pasar desapercibidos hasta que es demasiado tarde, lo que provoca robos de cuentas, movimientos laterales y auditorías fallidas. Mapear y remediar los riesgos a escala requiere visibilidad centralizada, protección integral y resultados medibles para mejorar y mantener la higiene de la identidad. 

Para llegar a la raíz del problema de si un proveedor de soluciones ofrece soluciones integrales Gestión de la postura de seguridad de la identidad (ISPM)Las preguntas clave que debemos plantearnos incluyen: 

  1. ¿Puede su solución proporcionar un inventario priorizado de debilidades de identidad dentro de la organización? 
  1. ¿Puede su solución identificar exposiciones asociadas con la actividad del usuario y las solicitudes de autenticación, como los protocolos heredados? 
  1. ¿Cómo identificar cuentas de servicio que están inactivas o que ya no se utilizan? 
  1. ¿Puede su plataforma detectar usuarios que no están en administradores de dominio u otros grupos obvios, pero que aún tienen permisos de nivel de administrador?administradores en la sombra)? 
Gestión de la postura de seguridad de la identidad desde Silverfort (Específico de las instalaciones locales) 

Descargue la lista de verificación de RFP de seguridad de identidad 

Estas preguntas son una pequeña muestra de lo que está disponible en la lista de verificación completa. Descargalo hoy para ver la lista completa de cada una de las seis capacidades. Lo mejor es que también hicimos la lista de verificación interactiva para que puedas... Personalízalo según las necesidades de tu equipo; una vez que lo descargues, tendrás la opción de obtener la lista de preguntas en formato de Google Sheet o Microsoft Excel (¡lo que prefieras!).  

Es hora de convertir la seguridad de la identidad en su ventaja estratégica. Con base en la lista de preguntas elaborada por nuestros expertos en seguridad de la identidad para los proveedores, terminará las conversaciones con ellos con una idea clara de cómo conectar los puntos, tomar decisiones informadas y anticiparse a las amenazas.  

Interesado en ver como Silverfort ¿Cumple con las capacidades incluidas en la Lista de verificación RFP de seguridad de identidad? Explora nuestra plataforma ahora.  

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración