Las amenazas basadas en identidad en las aplicaciones SaaS son una preocupación creciente entre los profesionales de seguridad, aunque pocos tienen la capacidad de detectarlas y responder a ellas.
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), El 90% de todos los ciberataques Si comenzamos con el phishing, una amenaza basada en la identidad, a la que añadimos ataques que utilizan credenciales robadas, cuentas con exceso de proveedores y amenazas internas, queda bastante claro que la identidad es un vector de ataque principal.
Para empeorar las cosas, no solo se atacan cuentas humanas. Los actores de amenazas también secuestran identidades no humanas, incluidas cuentas de servicio y autorizaciones OAuth, y las introducen en aplicaciones SaaS.
Cuando los actores de amenazas logran atravesar las defensas iniciales, contar con un sistema sólido de detección y respuesta a amenazas de identidad (ITDR) como parte integral de la seguridad de la identidad puede prevenir infracciones masivas. Copo de nieve La brecha de seguridad es un ejemplo perfecto. Los actores de amenazas aprovecharon la autenticación de un solo factor para acceder a la cuenta. Una vez dentro, la empresa carecía de cualquier capacidad de detección de amenazas significativa, lo que permitió a los actores de amenazas exfiltrar más de 560 millones de registros de clientes.
Cómo funciona ITDR
ITDR Combina varios elementos para detectar amenazas de SaaS. Monitorea eventos de toda la pila de SaaS y utiliza información de inicio de sesión, datos del dispositivo y comportamiento del usuario para identificar anomalías de comportamiento que indican una amenaza. Cada anomalía se considera un indicador de compromiso (IOC) y, cuando esos IOC alcanzan un umbral predefinido, el ITDR activa una alerta.
Por ejemplo, si un administrador descarga una cantidad inusual de datos, ITDR lo considerará un IOC. Sin embargo, si la descarga se realiza en mitad de la noche o en una computadora inusual, la combinación de esos IOC puede llegar a considerarse una amenaza.
De manera similar, si un usuario inicia sesión desde un ASN sospechoso luego de intentos de inicio de sesión por fuerza bruta, el ITDR clasifica el inicio de sesión como una amenaza, lo que desencadena una respuesta ante incidentes. Al utilizar un conjunto de datos enriquecido de múltiples aplicaciones, el ITDR puede detectar amenazas en función de los datos de diferentes aplicaciones. Si un usuario inicia sesión en una aplicación desde Nueva York y en una segunda aplicación desde París al mismo tiempo, podría parecer un comportamiento normal si el ITDR se limitara a revisar los registros de eventos de una sola aplicación. El poder del ITDR de SaaS proviene de la supervisión de datos de toda la pila de SaaS.
En una reciente vulneración detectada por Adaptive Shield, los actores de amenazas se infiltraron en un sistema de nóminas de RR.HH. y cambiaron los números de cuenta de las cuentas bancarias de varios empleados. Afortunadamente, los motores ITDR detectaron las acciones anómalas y los datos de la cuenta se corrigieron antes de que se transfirieran fondos a los actores de amenazas.
Reducción de los riesgos basados en la identidad
Hay una serie de medidas que las organizaciones deben adoptar para reducir el riesgo de amenazas basadas en la identidad y fortalecer su tejido de identidad.
La autenticación multifactor (MFA) y el inicio de sesión único (SSO) son fundamentales para lograr estos objetivos. La limitación de permisos, la adhesión al principio de privilegio mínimo (PoLP) y el control de acceso basado en roles (RBAC) también limitan el acceso de los usuarios y reducen la superficie de ataque.
Lamentablemente, muchas herramientas de gestión de identidad no se utilizan lo suficiente. Las organizaciones desactivan la autenticación multifactor y la mayoría de las aplicaciones SaaS requieren que los administradores tengan capacidades de inicio de sesión local en caso de que falle el inicio de sesión único.
A continuación se presentan algunas medidas de gestión de identidad proactiva para mitigar el riesgo de violaciones basadas en la identidad:
Clasifique sus cuentas
Las cuentas de alto riesgo generalmente se dividen en varias categorías. Para crear una gestión y gobernanza de identidades sólidas, los equipos de seguridad deben comenzar por clasificar los diferentes tipos de usuarios. Pueden ser cuentas de antiguos empleados, cuentas con privilegios elevados, cuentas inactivas, cuentas no humanas o cuentas externas.
1. Desactivar cuentas de usuarios inactivas y dar de baja a antiguos empleados
Las cuentas activas de antiguos empleados pueden suponer un riesgo importante para las organizaciones. Muchos administradores de SaaS suponen que, una vez que un empleado es dado de baja del proveedor de identidad (IdP), su acceso se elimina automáticamente de las aplicaciones SaaS de la empresa.
Si bien esto puede ser cierto para las aplicaciones SaaS conectadas al IdP, muchas aplicaciones SaaS no están conectadas. En esas circunstancias, los administradores y los equipos de seguridad deben trabajar juntos para deshabilitar las credenciales locales de los antiguos usuarios.
Las cuentas inactivas deben identificarse y desactivarse siempre que sea posible. A menudo, los administradores utilizan estas cuentas para ejecutar pruebas o configurar la aplicación. Tienen privilegios elevados y son compartidas por varios usuarios con una contraseña fácil de recordar. Estas cuentas de usuario representan un riesgo importante para la aplicación y sus datos.
2. Monitorizar a los usuarios externos
Las cuentas externas también deben ser monitoreadas. A menudo, las cuentas se asignan a agencias, socios o trabajadores autónomos, pero la organización no tiene un control real sobre quién accede a sus datos. Cuando finalizan los proyectos, estas cuentas suelen permanecer activas y cualquier persona con credenciales puede usarlas para comprometer la aplicación. En muchos casos, estas cuentas también tienen privilegios.
3. Recortar permisos de usuario
Como se mencionó anteriormente, los permisos excesivos amplían la superficie de ataque. Al aplicar el principio de privilegio mínimo (POLP), cada usuario tiene acceso solo a las áreas y los datos dentro de la aplicación que necesita para hacer su trabajo. Reducir la cantidad de cuentas con privilegios elevados reduce significativamente la exposición de una empresa a una infracción importante.
4. Crear cheques para cuentas privilegiadas
Las cuentas de administrador son de alto riesgo. Si se ven comprometidas, exponen a las organizaciones a importantes violaciones de datos.
Cree controles de seguridad que envíen alertas cuando los usuarios actúen de forma sospechosa. Algunos ejemplos de comportamiento sospechoso incluyen inicios de sesión inusuales a altas horas de la noche, conexiones a una estación de trabajo desde el extranjero o descargas de grandes volúmenes de datos. Los administradores que crean cuentas de usuario con privilegios elevados pero no las asignan a una dirección de correo electrónico administrada pueden ser sospechosos.
Definir controles de seguridad que monitoreen este tipo de comportamientos puede darle a su equipo de seguridad una ventaja para identificar un ataque en etapa temprana.
Hacer de la detección de amenazas a la identidad una prioridad
A medida que se coloca más información corporativa confidencial detrás de un perímetro basado en identidades, es cada vez más importante que las organizaciones prioricen su estructura de identidad. Cada capa de seguridad que se coloca alrededor de la identidad hace que sea aún más difícil para los actores de amenazas obtener acceso.
Para aquellos que logran superar las defensas iniciales, contar con un sistema ITDR sólido como parte integral de la estructura de identidad es esencial para mantener la seguridad y proteger los datos confidenciales de la exposición. Identifica amenazas activas y alerta a los equipos de seguridad o toma medidas automatizadas para evitar que los actores de amenazas causen daños.
Obtenga más información sobre cómo detectar amenazas en su pila SaaS
