Guía de soluciones para la detección y respuesta ante amenazas de identidad

15 de agosto de 2024Las noticias de los hackersSeguridad de la identidad / Detección de amenazas

El surgimiento de la detección y respuesta a amenazas de identidad

La detección y respuesta ante amenazas de identidad (ITDR) ha surgido como un componente fundamental para detectar y responder eficazmente a los ataques basados ​​en identidad. Los actores de amenazas han demostrado su capacidad para comprometer la infraestructura de identidad y moverse lateralmente hacia entornos de IaaS, SaaS, PaaS y CI/CD. Las soluciones de detección y respuesta ante amenazas de identidad ayudan a las organizaciones a detectar mejor la actividad sospechosa o maliciosa en su entorno. Las soluciones ITDR brindan a los equipos de seguridad la capacidad de ayudar a los equipos a responder la pregunta “¿Qué está sucediendo ahora mismo en mi entorno? ¿Qué están haciendo mis identidades en mis entornos?”.

Identidades humanas y no humanas

Como se describe en la Guía de soluciones ITDR, las soluciones ITDR integrales cubren identidades tanto humanas como no humanas. Las identidades humanas incluyen la fuerza laboral (empleados), los invitados (contratistas) y los proveedores. Las identidades no humanas incluyen tokens, claves, cuentas de servicio y bots. Las soluciones ITDR multientorno pueden detectar y responder a todos los riesgos de entidad de identidad, por ejemplo, desde el IdP hasta las capas IaaS y SaaS, en lugar de proteger las identidades en un nivel fragmentado específico de capa.

Capacidades básicas de ITDR

Las capacidades esenciales de una solución ITDR incluyen:

1. Desarrollar un perfil de identidad universal para todas las entidades, incluidas las identidades humanas y no humanas, la actividad en las capas de servicios en la nube y las aplicaciones y servicios locales.
2. Combinación del análisis estático, la gestión de la postura y la configuración de esas identidades con la actividad en tiempo de ejecución de esas identidades en el entorno.
3. Monitoreo y seguimiento de rutas de acceso directas e indirectas y monitoreo de la actividad de todas las identidades en el entorno.
4. Orquestación de seguimiento y detecciones de identidad en múltiples entornos que abarcan proveedores de identidad, IaaS, PaaS, SaaS y aplicaciones CI/CD para seguir la identidad dondequiera que vaya en el entorno.
5. Detección y respuesta de alta fidelidad en múltiples entornos que permite a las organizaciones tomar medidas ante amenazas a la identidad a medida que se manifiestan en toda la superficie de ataque, en lugar de reaccionar a alertas atómicas de gran volumen basadas en eventos individuales.

Para obtener una lista completa de las capacidades de ITDR, puede acceder a la Guía de soluciones para detección y respuesta a amenazas de identidad.

Casos de uso de amenazas a la identidad

Para protegerse eficazmente contra ataques de identidad, las organizaciones deben elegir una solución ITDR con capacidades avanzadas para detectar y mitigar ataques. Estas capacidades deben abordar una variedad de casos de uso tanto para identidades humanas como no humanas, que incluyen, entre otros:

1. Detección de apropiación de cuentas: Detecta cualquiera de las numerosas variantes que indican que una identidad ha sido comprometida.
2. Detección de violación de credenciales: Identificar y alertar sobre el uso de credenciales robadas o comprometidas dentro del entorno.
3. Detección de escalada de privilegios: Detectar intentos no autorizados de escalar privilegios dentro de sistemas y aplicaciones.
4. Detección de comportamiento anómalo: Monitorear las desviaciones del comportamiento normal del usuario que puedan indicar actividad maliciosa.
5. Detección de amenazas internas: Identificar y responder ante acciones maliciosas o negligentes por parte de usuarios internos.

Para obtener una lista completa de casos de uso de amenazas a la identidad, puede acceder a la Guía de soluciones para detección y respuesta a amenazas de identidad.

Preguntas que una solución ITDR eficaz debería responder

1. INVENTARIO DE IDENTIDAD Y GESTIÓN DE ACCESO

¿Qué identidades de entidad están presentes en nuestro entorno?

• Inventario completo de identidades humanas y no humanas en todos los entornos.

¿Qué roles y permisos tienen estas identidades?

• Detalles sobre roles, grupos y permisos específicos que tiene cada identidad en diferentes entornos locales y de nube.

¿Qué rol o grupo le dio a un usuario en particular acceso a un recurso? ¿Cuál es el alcance del permiso para ese acceso?

• Detalles sobre roles/grupos y permisos que otorgan acceso a los recursos.

2. EVALUACIÓN DE RIESGOS Y DETECCIÓN DE ANOMALÍAS

¿Cuáles son las 10 identidades más riesgosas en mi capa de servicios en la nube? ¿Cuál sería el radio de acción si una de esas identidades se viera comprometida?

• Identificación de las identidades de mayor riesgo y evaluación del impacto potencial de su vulneración.

¿Existen anomalías en el comportamiento de la identidad?

• Detección de desviaciones de los patrones de comportamiento normales para cada identidad, destacando la posible actividad maliciosa.

¿Se han visto comprometidas algunas credenciales?

• Alertas sobre el uso de credenciales robadas o comprometidas dentro del entorno.

3. PATRONES DE AUTENTICACIÓN Y ACCESO

¿Cómo se autentican y acceden las identidades?

• Seguimiento de métodos de autenticación y rutas de acceso para todas las identidades, incluidos puntos de acceso federados y no federados.

¿Cuáles son las fuentes y ubicaciones de los intentos de inicio de sesión?

• Registros detallados de intentos de inicio de sesión, incluidas direcciones IP, ubicaciones geográficas e información del dispositivo.

¿Cómo acceden diferentes tipos de entidades (humanas y no humanas) a mi entorno actual?

• Monitoreo de patrones de acceso para diferentes tipos de entidades en el entorno.

¿Con qué amplitud se está aplicando MFA en las capas de aplicaciones y servicios en la nube de mi entorno?

• Evaluación de la implementación y aplicación de la autenticación multifactor (MFA) en todo el entorno.

4. MONITOREO DE ACTIVIDADES Y SEGUIMIENTO DE CAMBIOS

¿Qué cambios se acaban de realizar en mi entorno, quién es responsable de esos cambios y se realizaron cambios similares en otras capas de servicios en la nube?

• Seguimiento e informes de cambios recientes, usuarios responsables y coherencia entre capas.

¿Qué identidades han accedido a datos confidenciales o sistemas críticos?

• Monitoreo e informes sobre acceso de identidad a repositorios de datos confidenciales, sistemas críticos y aplicaciones de alto riesgo.

5. CORRELACIÓN Y RESPUESTA A INCIDENTES

¿Cómo se correlacionan los incidentes relacionados con la identidad en diferentes entornos?

• Correlación de actividades e incidentes de identidad en entornos IdP, IaaS, PaaS, SaaS, CI/CD y locales para proporcionar una visión unificada.

¿Qué acciones se deben tomar para mitigar las amenazas identificadas?

• Recomendaciones prácticas y opciones de respuesta automatizadas para mitigar las amenazas de identidad detectadas y prevenir incidentes futuros.

Para obtener una lista completa de preguntas y casos de uso comercial, puede acceder al sitio web completo. Guía de soluciones para detección y respuesta a amenazas de identidad.