La identidad es ahora una máxima prioridad para los responsables de la toma de decisiones en materia de seguridad. La necesidad de superar los TTP maliciosos, como el acceso a credenciales, la escalada de privilegios y movimiento lateral, nunca ha sido más urgente. Cuando más del 80% de las infracciones implican el uso de credenciales comprometidas y los ataques de ransomware acaban incluso con las organizaciones más grandes, el precio de descuidar seguridad de identidad es inasequible.
Esta situación ha llevado al surgimiento de una categoría de producto diseñada específicamente para la protección de la superficie de ataque de identidad: Detección y respuesta a amenazas de identidad (ITDR). Sin embargo, la introducción de una nueva categoría conlleva inevitablemente un período de confusión para los compradores, durante el cual los equipos de seguridad de identidad deben averiguar qué ITDR capacidades que son obligatorias y que “es bueno tener”.
Este artículo ayuda a las organizaciones en este viaje al proporcionar los cinco criterios de evaluación principales para evaluar qué tan bien funciona una organización. ITDR La solución puede cumplir sus promesas.
Criterio de evaluación n.º 1: amplitud y profundidad de la cobertura
La ataque de identidad La superficie es extremadamente heterogénea y está formada por múltiples componentes. Podemos clasificarlos en los siguientes grupos:
Recursos
El entorno local incluye estaciones de trabajo y servidores, infraestructura de TI, bases de datos y aplicaciones heredadas. Algunas máquinas virtuales se administran en servidores del centro de datos, mientras que las máquinas virtuales IaaS residen en la nube pública. A ellos se suman el SaaS corporativo y las aplicaciones web para almacenamiento, correo electrónico y otros fines.
Protocolos y métodos de acceso.
Active Directory utiliza protocolos como NTLM, Kerberosy LDAP para gestionar el acceso a servidores, estaciones de trabajo y otros recursos locales. Este acceso se realiza de varias maneras: línea de comando, RDP y herramientas de acceso remoto dedicadas (Teamviewer y otras similares). El acceso remoto VPN generalmente se realiza a través de RADIUS, mientras que los servidores de federación y los IdP en la nube emplean SAML, OpenID y OAuthor para acceder a aplicaciones SaaS a través de los navegadores web de los usuarios.
Además, existen varios tipos de usuarios: estándar, privilegiados, humanos y no humanos. Algunos son más fáciles de detectar y monitorear, mientras que otros son más desafiantes. Un ejemplo destacado son las identidades no humanas (NHI), como cuentas de servicio in Active Directory entornos, que son extremadamente difíciles de localizar y cartografiar.
Una solución ITDR debe poder aplicar sus capacidades a todos los usuarios, recursos y métodos de acceso en el entorno híbrido..
¿Por qué importa esto?
Para proteger verdaderamente a un superficie de ataque Debes protegerlo todo sin dejar puntos ciegos. Proteger solo una parte simplemente deja el camino libre para que los adversarios ataquen la parte desprotegida. Por eso, por ejemplo, el movimiento lateral y la propagación del ransomware se llevan a cabo principalmente a través del acceso a la línea de comandos (como PsExec, PowerShell y herramientas WMI) en lugar de con RDP. Mientras que este último suele estar protegido con MFA, el primero no lo apoya. Asegurar un único método de acceso a un servidor no es protección suficiente cuando hay otros puntos de acceso no seguros.
Criterio de evaluación n.º 2: lo más cercano posible al tiempo real
Las soluciones ITDR analizan las autenticaciones de usuarios y los intentos de acceso para revelar amenazas potenciales. El análisis en tiempo real proporciona al ITDR visibilidad de cada autenticación desde las etapas de inicio y verificación hasta su finalización y acceso. La alternativa es analizar el registro de autenticación después de que se apruebe o deniegue el intento de acceso.
¿Por qué importa esto?
El objetivo del ITDR es detectar sospechas de actividad maliciosa. Cuanto más cerca esté este análisis del evento de autenticación en tiempo real, mayores serán sus posibilidades de detectar acceso malicioso antes de que pueda convertirse en una amenaza real. Además, existen varias anomalías que sólo pueden detectarse durante la autenticación real; estos serían un punto ciego para las soluciones ITDR que se basan en análisis de registros retroactivos.
Criterio de evaluación n.º 3: motor de detección multicapa
La detección de actividad maliciosa se basa en detectar anomalías que se desvían del comportamiento legítimo estándar. Sin embargo, este no es un juego de suma cero y, si bien algunas anomalías están claramente asociadas con actividad maliciosa, la mayoría puede ocurrir por otras razones no relacionadas. El uso de un motor de riesgos que sea capaz de detectar diferentes tipos de anomalías puede aumentar la precisión y reducir el riesgo de falsos positivos. Las anomalías que normalmente debería buscar un ITDR incluyen:
Anomalías de protocolo
Estas anomalías son el resultado de técnicas de ataque que aprovechan las debilidades de los protocolos de autenticación para obtener acceso malicioso (pasar el ticket, pasar el hash, etc.). Se denominan anomalías de protocolo porque implican una alteración del proceso de autenticación.
Anomalías de comportamiento
Estas anomalías ocurren como resultado de la actividad de movimiento lateral. El movimiento lateral es por naturaleza una actividad oportunista en la que el adversario salta de una máquina a otra en busca de usuarios y máquinas almacenados que puedan ayudarle a alcanzar su objetivo. Por ejemplo, un atacante que haya aterrizado en la máquina del paciente cero la usaría como punto de partida para acceder a otras una por una, buscando credenciales de administrador almacenadas o el nombre de la computadora de un servidor crítico. Este tipo de búsqueda y movimiento varía mucho del acceso estándar de usuarios legítimos.
Anomalías del usuario
Cada usuario tiene su propia base de acceso a los recursos. Esto es especialmente cierto para identidades no humanas Al igual que las cuentas de servicio de AD, pero también se aplica a la mayoría de los usuarios humanos. Excluyendo a los administradores de TI y de soporte técnico que necesitan acceso a varias máquinas para solucionar problemas, la mayoría de los usuarios tienen un conjunto definido de recursos a los que acceden en su rutina de trabajo. Una vez que un adversario compromete una cuenta de usuario para realizar un movimiento lateral, existe una gran probabilidad de que intente acceder a recursos a los que este usuario nunca ha accedido antes.
¿Por qué importa esto?
Si bien cada anomalía por sí sola conlleva un porcentaje de falsos positivos, el cruce entre ellos es significativamente más confiable. He aquí un ejemplo:
El usuario Bob accede a un recurso al que nunca antes había accedido. ¿Eso significa que Bob está comprometido? No necesariamente. Este tipo de anomalías ingenuas también ocurren dentro de la actividad legítima de cada usuario. Supongamos ahora que la autenticación que Bob realizó para acceder a este recurso utilizó un algoritmo de cifrado más débil de lo esperado. Si bien es sospechoso, esto tampoco es necesariamente malicioso. Sin embargo, si ambas anomalías ocurren en el mismo intento de acceso, la probabilidad de que sea malicioso aumenta significativamente.
Criterio de evaluación n.º 4: capacidad de activar controles de seguridad de identidad en tiempo real
La seguridad de la identidad se lleva a cabo con controles dedicados para evitar el acceso malicioso, como el bloqueo de acceso, MFA y el acceso justo a tiempo. La función central del ITDR es detectar si un intento de acceso es malicioso. Sin embargo, es esencial que el ITDR también tenga las integraciones necesarias para activar controles de seguridad de identidad en tiempo real. Los más críticos son MFA y bloque de acceso.
¿Por qué importa esto?
Las alertas requieren clasificación e investigaciones manuales y, como regla general, resolverlas todas está más allá de la capacidad del equipo de SecOps. Un ITDR que sea capaz de utilizar sus señales de detección para activar MFA y bloquear el acceso puede proporcionar protección automatizada en tiempo real y bloquear actividades maliciosas en lugar de simplemente alertar de su presencia.
Criterio de evaluación n.º 5: integración perfecta con la pila de seguridad
Si bien el ITDR es responsable del aspecto de identidad de los ciberataques, esto es sólo una parte (aunque significativa) de toda la historia de la protección contra amenazas. Para ofrecer una protección integral, una solución ITDR debe poder intercambiar datos y señales de riesgo con los otros componentes clave de la pila de seguridad. Por ejemplo, el EDR/XDR debería poder proporcionar al ITDR datos sobre procesos y archivos sospechosos, y al firewall o ZTNA sobre puertos abiertos y origen/destino del tráfico. Además, el ITDR debería poder compartir datos con la solución SIEM para agregar señales de seguridad de identidad al contexto completo de la red y la actividad de archivos, así como también tener lugar en flujos de trabajo SOAR automatizados.
¿Por qué importa esto?
Aumenta la precisión
Cada solución de seguridad tiene un tipo de actividad que puede monitorear y analizar y otras que no ve. Por ejemplo, de la misma manera que las soluciones de protección de endpoints no ven el proceso de autenticación, el ITDR no ve los procesos en ejecución ni la ejecución de archivos. La intersección de las dos perspectivas aumenta la precisión y la eficiencia.
Mejor operatividad
Los equipos de SecOps emplean una multitud de herramientas de seguridad. Sin embargo, suele haber un componente (SIEM o XDR) que funciona como interfaz principal desde la que se gestionan las alertas. El ITDR debe poder adaptarse perfectamente a los flujos de trabajo de esta interfaz para ofrecer su valor de seguridad.
ITDR es un factor clave para reducir la probabilidad y el impacto de las amenazas a la identidad
El objetivo del ITDR es reducir la probabilidad y el impacto de un ataque exitoso relacionado con la identidad. Los criterios discutidos en este artículo se destacan en función de su contribución a esta causa.
¿Ya ha seleccionado algunas soluciones ITDR? Utilice estos criterios para hacer las preguntas difíciles. Las respuestas le permitirán saber si la solución que está buscando puede reducir su riesgo de identidad y brindarle la resiliencia que está buscando.
