Introducción: ¿Por qué piratear cuándo puedes iniciar sesión?
Las aplicaciones SaaS son la columna vertebral de las organizaciones modernas, que alimenta la productividad y la eficiencia operativa. Pero cada nueva aplicación presenta riesgos de seguridad críticos a través de integraciones de aplicaciones y múltiples usuarios, creando puntos de acceso fáciles para los actores de amenazas. Como resultado, las violaciones de SaaS han aumentado, y según un informe cibernético XM de mayo de 2024, las configuraciones erróneas de identidad y credenciales causadas 80% de las exposiciones de seguridad.
Los signos sutiles de un compromiso se pierden en el ruido, y luego los ataques de varias etapas se desarrollan sin ser detectados debido a las soluciones aisladas. Piense en una toma de cuenta en Entra ID, luego la escalada de privilegios en GitHub, junto con la exfiltración de datos de Slack. Cada uno parece no estar relacionado cuando se ve de forma aislada, pero en una línea de tiempo conectada de eventos, es una violación peligrosa.
Plataforma SaaS de Wing Security es una solución de múltiples capas que combina la gestión de la postura con la detección y respuesta de amenazas de identidad en tiempo real. Esto permite a las organizaciones obtener un mapa de identidad verdadero de su ecosistema SaaS, detectar y responder rápidamente a las amenazas y prevenir futuros ataques.
Comenzando con la visibilidad y cobertura de SaaS
No puedes proteger lo que no sabes. La mayoría de las soluciones existentes (IAM, PAM, IAM, etc.) no cubren aplicaciones SaaS o carecen de la profundidad necesaria para detectar las amenazas de SaaS. Es por eso que el primer paso es superar la sombra y obtener una visibilidad completa en la pila de la organización, incluidas todas las aplicaciones, cuentas y todas las integraciones ocultas de terceros de las que los equipos de seguridad no tienen idea.
El enfoque de descubrimiento de Wing no es intrusivo, sin agentes ni proxies. Simplemente se conecta a través de API a los principales desplazados internos (como Okta, Google Workspace y Azure AD) y a aplicaciones SaaS críticas de negocios (desde Microsoft 365 y Salesforce hasta Slack, Github, etc.).
Wing descubre:
- Identidades humanas (usuarios) y no humanos (cuentas de servicio, claves API, etc.).
- Conectividad de aplicación a la aplicación e integraciones de terceros y sus ámbitos de permiso.
- Aplicaciones y uso de datos con AI.
- Estado de MFA, administradores en las diferentes aplicaciones SaaS (incluidos los administradores rancios)
La visibilidad por sí sola no es suficiente. Comprender el comportamiento de identidad en las aplicaciones SaaS es clave para detectar y responder a las amenazas reales en el tiempo. Ahí es donde entra la capa de detección de amenazas centrada en la identidad de Wing.
¿Quieres ver el ala en acción? Solicitar una demostración con uno de nuestros expertos en seguridad.
Detección de amenazas de identidad de SaaS – De registros dispersos a una historia de ataque claro
Wing mapea eventos de identidad y COI para representar cómo piensan los atacantes. Luego los correlaciona con las técnicas de Mitre ATT & CK para transformar los registros de SaaS largos y desordenados en una historia de ataque claro: simplificar las investigaciones, reducir la fatiga de alerta y acelerar el tiempo medio de la resolución (MTTR).
Cada detección está enriquecida con inteligencia de amenazas para el contexto: reputación de IP (geolocalización y privacidad), uso de VPN/tor, y más. Entonces, en lugar de cavar registros en bruto durante días, los analistas pueden entender el libro de jugadas del atacante en unos minutos.
Un ejemplo de la vida real de cómo los hackers intentan explotar las identidades:
- Paso 1 – Intento de spray de contraseña: Un ataque de spray de contraseña dirigido a múltiples cuentas de usuario dentro del entorno de ID de Entra. El atacante intentó iniciar sesión utilizando ataques basados en credenciales para comprometer una o más cuentas de usuario sin activar mecanismos de bloqueo.
- Paso 2 – Superposición de agente de usuario de cuenta cruzada: Los intentos de inicio de sesión en múltiples cuentas del mismo agente de usuario (UA) confirmaron que el atacante estaba probando sistemáticamente credenciales a escala durante la fase de reconocimiento.
- Paso 3 – Iniciar sesión exitoso después del reclamo: El atacante inició sesión con éxito en una cuenta. Este inicio de sesión coincidió con el mismo agente de usuario utilizado durante la fase de reconocimiento, lo que indica que las credenciales se comprometieron a través de la actividad de pulverización de contraseña anterior.
- Paso 4 – Escalación de privilegios a través de la asignación de roles: El atacante intensificó los privilegios de la cuenta comprometida al asignar funciones administrativas de TI en la identificación de Entrad. Esto otorgó al atacante una visibilidad y control más amplios, incluido el acceso a servicios de terceros conectados a OAuth como GitHub.
- Paso 5 – Exfiltración de datos de GitHub: Con privilegios elevados, el atacante aprovechó el acceso de GitHub vinculado a la cuenta de ID de Entra a los repositorios internos infiltrados. Los registros de actividad indican que se descargaron repositorios privados, incluidos proyectos que pueden contener código fuente, claves API o documentación interna. El atacante usó este punto de apoyo para exfiltrar la propiedad intelectual sensible directamente desde Github.
Línea de tiempo del camino de ataque
La línea de tiempo de amenaza (Ref. Imagen #2) es más útil que los registros solo, ya que presenta todas las detecciones SaaS con contexto. Cada detección tiene un contexto detallado sobre la identidad afectada, el desencadenante y dónde y cuándo ocurrió (aplicación, marca de tiempo, geolocalización).
La línea de tiempo de la ruta de ataque ayuda a los equipos de operaciones de seguridad:
- Visualice cómo se desarrolló el ataque con una visión cronológica de las detecciones relacionadas.
- Mapee cada detección a las técnicas de Mitre ATT & CK, como escaneo activo, cuentas válidas, manipulación de cuentas, etc.
- Enriquezca la alerta con contexto y COI, IPS, agentes de usuarios, geolocalización, VPN/TOR y evidencia.
- Conecte anomalías con actividad de rutina (por ejemplo, cambia el permiso después de una fuerza bruta exitosa).
Priorizar las amenazas
No todas las amenazas de seguridad son iguales. A cada amenaza se le asigna un puntaje de confianza de incumplimiento, cuantificando la probabilidad de que una amenaza resulte en una violación exitosa. Esta métrica se calcula en función de factores como:
- El tipo de detecciones (es decir, spray de contraseña, pico en la actividad, etc.)
- El número de detecciones por amenaza (es decir, una identidad tiene 4 detecciones)
- La táctica del ataque basada en Mitre ATT & CK (es decir, acceso inicial, exfiltración, etc.)
Secops puede clasificar y centrarse primero en las amenazas más críticas. Por ejemplo, un solo inicio de sesión fallido de una nueva IP podría ser de baja prioridad cuando se ve por sí solo, pero un inicio de sesión exitoso seguido de la exfiltración de datos obtendría un puntaje de confianza más alto. En el tablero, puede ver una cola de amenazas priorizada, con amenazas de alta severidad en la parte superior que merecen una atención inmediata y las de menor riesgo más abajo, reduciendo la fatiga de la alerta y proporcionando una detección de amenazas real.
¿Quieres ver el ala en acción? Solicitar una demostración con uno de nuestros expertos en seguridad.
Rastrear el estado y el progreso de la amenaza
La estructura de seguimiento de Wing ayuda a Secops a mantenerse organizados y evitar amenazas que se deslizan a través de las grietas. Los equipos pueden actualizar los estados y rastrear todas las amenazas desde la creación hasta la resolución.
Las principales funcionalidades:
- Amenazas de indicador para el seguimiento para una priorización eficiente o para monitorear casos específicos.
- La bandera amenaza para activar un evento webhook para que aparezcan en sistemas externos como Siem o Soar y no se pasen por alto.
- Actualice el estado de la amenaza basado en las investigaciones realizadas por los equipos SOC e IR.
Resolver rápido con guías de mitigación concisas
Cuando Secops profundiza en una amenaza específica, obtienen un libro de jugadas de mitigación personalizado con pasos adaptados al tipo de ataque específico y la aplicación SaaS. Las guías de mitigación incluyen:
- Recomendaciones personalizadas para cada tipo de detección
- Documentación relevante (por ejemplo, cómo configurar las políticas de OKTA)
- Las mejores prácticas para abordar la causa raíz y la prevención de la recurrencia (postura)
Prevención: verificación de la causa raíz
Después de que se haya detenido la amenaza, deberá preguntarse qué facilitó esta amenaza para tener éxito y cómo puede asegurarse de que no vuelva a suceder.
Los equipos de seguridad deben verificar si estos eventos están relacionados con los factores de riesgo subyacentes en las configuraciones SaaS de la organización, por lo que no solo tratan los síntomas (la violación activa) sino que abordan la causa raíz.
Esto es posible porque la plataforma de Wing está en capas, combinando gestión de postura de seguridad SaaS (SSPM) con capacidades de detección de amenazas de identidad. Wing monitorea continuamente para configuraciones erróneas (basadas en el marco de buceo de CISA), identificando esas configuraciones de riesgo, como cuentas sin MFA o tokens de administración que nunca caducan.
Envolviendo: cerrar el bucle de seguridad
Wing Security aporta claridad al caos de SaaS a través de una plataforma de seguridad de múltiples capas que combina una visibilidad profunda, la gestión de riesgos priorizada y la detección en tiempo real. Al combinar la gestión de la postura (SSPM) y la detección y respuesta de amenazas de identidad (ITDR), las organizaciones pueden reducir la exposición al riesgo, responder a las amenazas con contexto y mantenerse por delante de los ataques de identidad SaaS.
Reserve una demostración con ala Para encontrar puntos ciegos, capturar amenazas temprano y arreglar lo que pone en riesgo su negocio.
About the Author
