Las amenazas basadas en identidad en las aplicaciones SaaS son una preocupaci\u00f3n creciente entre los profesionales de seguridad, aunque pocos tienen la capacidad de detectarlas y responder a ellas. <\/p>\n
Seg\u00fan la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), El 90% de todos los ciberataques<\/a> Si comenzamos con el phishing, una amenaza basada en la identidad, a la que a\u00f1adimos ataques que utilizan credenciales robadas, cuentas con exceso de proveedores y amenazas internas, queda bastante claro que la identidad es un vector de ataque principal.<\/p>\n Para empeorar las cosas, no solo se atacan cuentas humanas. Los actores de amenazas tambi\u00e9n secuestran identidades no humanas, incluidas cuentas de servicio y autorizaciones OAuth, y las introducen en aplicaciones SaaS. <\/p>\n Cuando los actores de amenazas logran atravesar las defensas iniciales, contar con un sistema s\u00f3lido de detecci\u00f3n y respuesta a amenazas de identidad (ITDR) como parte integral de la seguridad de la identidad puede prevenir infracciones masivas. Copo de nieve<\/a> La brecha de seguridad es un ejemplo perfecto. Los actores de amenazas aprovecharon la autenticaci\u00f3n de un solo factor para acceder a la cuenta. Una vez dentro, la empresa carec\u00eda de cualquier capacidad de detecci\u00f3n de amenazas significativa, lo que permiti\u00f3 a los actores de amenazas exfiltrar m\u00e1s de 560 millones de registros de clientes. <\/p>\n ITDR<\/a> Combina varios elementos para detectar amenazas de SaaS. Monitorea eventos de toda la pila de SaaS y utiliza informaci\u00f3n de inicio de sesi\u00f3n, datos del dispositivo y comportamiento del usuario para identificar anomal\u00edas de comportamiento que indican una amenaza. Cada anomal\u00eda se considera un indicador de compromiso (IOC) y, cuando esos IOC alcanzan un umbral predefinido, el ITDR activa una alerta. <\/p>\n Por ejemplo, si un administrador descarga una cantidad inusual de datos, ITDR lo considerar\u00e1 un IOC. Sin embargo, si la descarga se realiza en mitad de la noche o en una computadora inusual, la combinaci\u00f3n de esos IOC puede llegar a considerarse una amenaza. <\/p>\n De manera similar, si un usuario inicia sesi\u00f3n desde un ASN sospechoso luego de intentos de inicio de sesi\u00f3n por fuerza bruta, el ITDR clasifica el inicio de sesi\u00f3n como una amenaza, lo que desencadena una respuesta ante incidentes. Al utilizar un conjunto de datos enriquecido de m\u00faltiples aplicaciones, el ITDR puede detectar amenazas en funci\u00f3n de los datos de diferentes aplicaciones. Si un usuario inicia sesi\u00f3n en una aplicaci\u00f3n desde Nueva York y en una segunda aplicaci\u00f3n desde Par\u00eds al mismo tiempo, podr\u00eda parecer un comportamiento normal si el ITDR se limitara a revisar los registros de eventos de una sola aplicaci\u00f3n. El poder del ITDR de SaaS proviene de la supervisi\u00f3n de datos de toda la pila de SaaS. <\/p>\n En una reciente vulneraci\u00f3n detectada por Adaptive Shield, los actores de amenazas se infiltraron en un sistema de n\u00f3minas de RR.HH. y cambiaron los n\u00fameros de cuenta de las cuentas bancarias de varios empleados. Afortunadamente, los motores ITDR detectaron las acciones an\u00f3malas y los datos de la cuenta se corrigieron antes de que se transfirieran fondos a los actores de amenazas. <\/p>\n Hay una serie de medidas que las organizaciones deben adoptar para reducir el riesgo de amenazas basadas en la identidad y fortalecer su tejido de identidad.<\/p>\n La autenticaci\u00f3n multifactor (MFA) y el inicio de sesi\u00f3n \u00fanico (SSO) son fundamentales para lograr estos objetivos. La limitaci\u00f3n de permisos, la adhesi\u00f3n al principio de privilegio m\u00ednimo (PoLP) y el control de acceso basado en roles (RBAC) tambi\u00e9n limitan el acceso de los usuarios y reducen la superficie de ataque. <\/p>\n Lamentablemente, muchas herramientas de gesti\u00f3n de identidad no se utilizan lo suficiente. Las organizaciones desactivan la autenticaci\u00f3n multifactor y la mayor\u00eda de las aplicaciones SaaS requieren que los administradores tengan capacidades de inicio de sesi\u00f3n local en caso de que falle el inicio de sesi\u00f3n \u00fanico. <\/p>\n A continuaci\u00f3n se presentan algunas medidas de gesti\u00f3n de identidad proactiva para mitigar el riesgo de violaciones basadas en la identidad:<\/p>\n Las cuentas de alto riesgo generalmente se dividen en varias categor\u00edas. Para crear una gesti\u00f3n y gobernanza de identidades s\u00f3lidas, los equipos de seguridad deben comenzar por clasificar los diferentes tipos de usuarios. Pueden ser cuentas de antiguos empleados, cuentas con privilegios elevados, cuentas inactivas, cuentas no humanas o cuentas externas.<\/p>\n Las cuentas activas de antiguos empleados pueden suponer un riesgo importante para las organizaciones. Muchos administradores de SaaS suponen que, una vez que un empleado es dado de baja del proveedor de identidad (IdP), su acceso se elimina autom\u00e1ticamente de las aplicaciones SaaS de la empresa. <\/p>\n Si bien esto puede ser cierto para las aplicaciones SaaS conectadas al IdP, muchas aplicaciones SaaS no est\u00e1n conectadas. En esas circunstancias, los administradores y los equipos de seguridad deben trabajar juntos para deshabilitar las credenciales locales de los antiguos usuarios. <\/p>\n Las cuentas inactivas deben identificarse y desactivarse siempre que sea posible. A menudo, los administradores utilizan estas cuentas para ejecutar pruebas o configurar la aplicaci\u00f3n. Tienen privilegios elevados y son compartidas por varios usuarios con una contrase\u00f1a f\u00e1cil de recordar. Estas cuentas de usuario representan un riesgo importante para la aplicaci\u00f3n y sus datos. <\/p>\n Las cuentas externas tambi\u00e9n deben ser monitoreadas. A menudo, las cuentas se asignan a agencias, socios o trabajadores aut\u00f3nomos, pero la organizaci\u00f3n no tiene un control real sobre qui\u00e9n accede a sus datos. Cuando finalizan los proyectos, estas cuentas suelen permanecer activas y cualquier persona con credenciales puede usarlas para comprometer la aplicaci\u00f3n. En muchos casos, estas cuentas tambi\u00e9n tienen privilegios.<\/p>\n Como se mencion\u00f3 anteriormente, los permisos excesivos ampl\u00edan la superficie de ataque. Al aplicar el principio de privilegio m\u00ednimo (POLP), cada usuario tiene acceso solo a las \u00e1reas y los datos dentro de la aplicaci\u00f3n que necesita para hacer su trabajo. Reducir la cantidad de cuentas con privilegios elevados reduce significativamente la exposici\u00f3n de una empresa a una infracci\u00f3n importante. <\/p>\n Las cuentas de administrador son de alto riesgo. Si se ven comprometidas, exponen a las organizaciones a importantes violaciones de datos.<\/p>\n Cree controles de seguridad que env\u00eden alertas cuando los usuarios act\u00faen de forma sospechosa. Algunos ejemplos de comportamiento sospechoso incluyen inicios de sesi\u00f3n inusuales a altas horas de la noche, conexiones a una estaci\u00f3n de trabajo desde el extranjero o descargas de grandes vol\u00famenes de datos. Los administradores que crean cuentas de usuario con privilegios elevados pero no las asignan a una direcci\u00f3n de correo electr\u00f3nico administrada pueden ser sospechosos. <\/p>\n Definir controles de seguridad que monitoreen este tipo de comportamientos puede darle a su equipo de seguridad una ventaja para identificar un ataque en etapa temprana. <\/p>\n A medida que se coloca m\u00e1s informaci\u00f3n corporativa confidencial detr\u00e1s de un per\u00edmetro basado en identidades, es cada vez m\u00e1s importante que las organizaciones prioricen su estructura de identidad. Cada capa de seguridad que se coloca alrededor de la identidad hace que sea a\u00fan m\u00e1s dif\u00edcil para los actores de amenazas obtener acceso. <\/p>\n Para aquellos que logran superar las defensas iniciales, contar con un sistema ITDR s\u00f3lido como parte integral de la estructura de identidad es esencial para mantener la seguridad y proteger los datos confidenciales de la exposici\u00f3n. Identifica amenazas activas y alerta a los equipos de seguridad o toma medidas automatizadas para evitar que los actores de amenazas causen da\u00f1os. <\/p>\n Obtenga m\u00e1s informaci\u00f3n sobre c\u00f3mo detectar amenazas en su pila SaaS<\/a><\/p>\nC\u00f3mo funciona ITDR<\/h2>\n
Reducci\u00f3n de los riesgos basados \u200b\u200ben la identidad<\/h2>\n
Clasifique sus cuentas<\/h3>\n
1. Desactivar cuentas de usuarios inactivas y dar de baja a antiguos empleados<\/h3>\n
2. Monitorizar a los usuarios externos<\/h3>\n
3. Recortar permisos de usuario<\/h3>\n
4. Crear cheques para cuentas privilegiadas<\/h3>\n
Hacer de la detecci\u00f3n de amenazas a la identidad una prioridad<\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Prevencion-y-deteccion-de-amenazas-en-entornos-SaaS-conceptos-basicos.png\")