Es la era de la seguridad de la identidad. La explosión de ataques de ransomware dirigidos ha hecho que los CISO y los equipos de seguridad se den cuenta de que la protección de la identidad va 20 años por detrás de sus endpoints y redes. Esta constatación se debe principalmente a la transformación del movimiento lateral, que ha pasado de ser un arte sutil, que solo se encuentra en los grupos de APT y de los principales cibercriminales, a una habilidad básica que se utiliza en casi todos los ataques de ransomware. El movimiento lateral utiliza credenciales comprometidas para el acceso malicioso, un punto ciego crítico que las soluciones XDR, de red y SIEM existentes no logran bloquear.
Detección y respuesta ante amenazas de identidad (ITDR) En los últimos años ha surgido una nueva forma de cerrar esta brecha. Este artículo desglosa las cinco principales capacidades de ITDR y proporciona las preguntas clave que debe plantear a su proveedor de ITDR. Solo un «SÍ» rotundo a estas preguntas puede garantizar que la solución que evalúe pueda cumplir con su promesa de seguridad de identidad.
Cobertura para todos los usuarios, recursos y métodos de acceso
¿Por qué es importante?
Una protección parcial es tan buena como no tener protección alguna. Si la identidad es el objetivo, entonces la La protección ITDR debe abarcar todas las cuentas de usuariorecursos locales y en la nube y, no menos importante, todos los métodos de acceso.
¿Qué preguntas hacer?
- ¿El ITDR también cubre identidades no humanas, como las cuentas de servicio de Active Directory (AD)?
- ¿Puede el ITDR analizar el registro de autenticación completo de los usuarios, en recursos locales, cargas de trabajo en la nube y aplicaciones SaaS?
- ¿El ITDR detectaría acceso malicioso a través de herramientas de acceso a la línea de comandos como PsExec o PowerShell?
En tiempo real (o lo más cercano posible)
¿Por qué es importante?
La velocidad de detección de amenazas es importante. En muchos casos, podría ser la diferencia entre detectar y mitigar una amenaza en una etapa temprana o investigar una vulneración activa de gran magnitud. Para lograrlo, el ITDR debe aplicar su análisis sobre las autenticaciones y los intentos de acceso lo más cerca posible del momento en que se producen.
¿Qué preguntas hacer?
- ¿La solución ITDR se integra directamente con los proveedores de identidad locales y en la nube para analizar las autenticaciones a medida que ocurren?
- ¿El ITDR consulta al IDP para detectar cambios en la configuración de la cuenta (por ejemplo, OU, permisos, SPN asociado, etc.)?
Detección de anomalías multidimensionales
¿Por qué es importante?
Ningún método de detección es inmune a los falsos positivos. La mejor manera de aumentar la precisión es buscar varios tipos diferentes de anomalías. Si bien cada una de ellas puede ocurrir por sí sola durante una actividad legítima del usuario, la ocurrencia simultánea de varias de ellas aumentaría la probabilidad de que se detectara un ataque real.
¿Qué preguntas hacer?
- ¿Puede la solución ITDR detectar anomalías en el protocolo de autenticación (por ejemplo, uso de hash, colocación de tickets, cifrado más débil, etc.)?
- ¿La solución ITDR perfila el comportamiento estándar de los usuarios para detectar el acceso a recursos a los que nunca antes se accedió?
- ¿La solución ITDR analiza los patrones de acceso asociados? con movimiento lateral (por ejemplo, acceder a múltiples destinos en un corto período de tiempo, pasar de la máquina A a la máquina B y posteriormente de B a C, etc.)?
¿Necesita una solución ITDR para proteger la superficie de ataque de identidad de sus entornos locales y en la nube? Descubra cómo funciona Silverfort ITDR y Solicite una demostración para ver cómo podemos abordar sus necesidades específicas.
Detección de cadena con MFA y bloqueo de acceso
¿Por qué es importante?
La detección precisa de amenazas es el punto de partida, no el final de la carrera. Como hemos mencionado anteriormente, el tiempo y la precisión son la clave para una protección eficaz. Al igual que un EDR que termina un proceso malicioso o un SSE que bloquea el tráfico malicioso, la capacidad de activar el bloqueo automático de los intentos de acceso malicioso es imprescindible. Si bien el ITDR por sí solo no puede hacerlo, debería poder comunicarse con otros controles de seguridad de identidad para lograr este objetivo.
¿Qué preguntas hacer?
- ¿Puede el ITDR dar seguimiento a la detección de un acceso sospechoso activando una verificación intensificada desde una solución MFA?
- ¿Puede el ITDR realizar un seguimiento de la detección de acceso sospechoso ordenando al proveedor de identidad que bloquee el acceso por completo?
Integración con XDR, SIEM y SOAR
¿Por qué es importante?
La protección contra amenazas se logra mediante el funcionamiento conjunto de varios productos. Estos productos pueden especializarse en una determinada faceta de la actividad maliciosa, agregar señales a una vista contextual cohesiva u organizar un manual de respuesta. Además de las capacidades que hemos enumerado anteriormente, ITDR también debe integrarse sin problemas con la pila de seguridad ya instalada, preferiblemente de la manera más automatizada posible.
¿Qué preguntas hacer?
- ¿Puede la solución ITDR enviar señales de riesgo de usuario XDR e importar señales de riesgo en procesos y máquinas?
- ¿El ITDR comparte sus hallazgos de seguridad con el SIEM vigente?
- ¿Puede la detección por parte del ITDR de acceso de usuarios maliciosos activar la estrategia SOAR en el usuario y los recursos en los que ha iniciado sesión?
Silverfort ITDR
ITDR de Silverfort es parte de una plataforma de seguridad de identidad consolidada que incluye, entre otras funciones, autenticación multifactor (MFA), seguridad de acceso privilegiado, protección de cuentas de servicio y firewalls de autenticación. Desarrollado sobre la base de la integración nativa con AD, Entra ID, Okta, ADFS y Ping Federate, ITDR de Silverfort analiza cada intento de acceso y autenticación en el entorno híbrido y aplica múltiples métodos de análisis de riesgos que se entrecruzan para detectar la actividad maliciosa de los usuarios y activar controles de seguridad de identidad en tiempo real.
Obtenga más información en Silverfort ITDR aquí o programar una manifestación con uno de nuestros expertos.