¿Qué es la detección de amenazas a la identidad y la respuesta a las mismas?

¿Qué tendencias de ciberseguridad han llevado al desarrollo y adopción de la amenaza de identidad?

A medida que las plataformas, los sistemas y las aplicaciones siguen cerrando sus vulnerabilidades, a los intrusos incipientes a menudo les resulta más fácil explotar otros puntos débiles como credenciales, configuraciones erróneas o API expuestas. Se utilizan diversas técnicas de phishing, key loggers y otras herramientas automatizadas que han demostrado ser más fáciles de ejecutar que enfrentarse directamente a las aplicaciones y a la seguridad a nivel de sistema. Mientras que la investigación de vulnerabilidades requiere bastante tiempo, habilidad y pruebas exhaustivas para identificar los puntos débiles explotables, los atacantes han optado cada vez más por centrarse en el relleno de credenciales para acceder rápidamente a estos servicios. Junto con su enfoque basado en credenciales, los atacantes han perfeccionado sus habilidades para identificar cuentas privilegiadas y formas de promover otras cuentas comprometidas. Estos ataques pueden ser amenazas persistentes que duren meses o incluso años. Por supuesto, las identidades más dañinas y buscadas son las de los propietarios de la información y otras cuentas similares con privilegios de acceso especiales. Por ello, el riesgo creciente para las organizaciones no eran sólo las cuentas basadas en credenciales, sino los ataques a los usuarios más privilegiados. Eran, y siguen siendo, las amenazas más complejas de proteger porque el intruso dispone de la información en la que tradicionalmente se basaba una persona o un proceso para identificarse.

El camino hacia la RIDT

¿Cómo se formalizaron las prácticas ITDR?

En 2022, Gartner introdujo el ITDR como práctica de ciberseguridad. En esa introducción, Gartner describió la ITDR como una forma de que las organizaciones adopten un enfoque más eficaz para responder a las crecientes amenazas dirigidas contra los sistemas de identidad, las credenciales y el acceso privilegiado. Hacer hincapié en la necesidad de que las organizaciones eleven su capacidad para detectar, investigar y mitigar los ataques basados en la identidad con mayor eficacia. A diferencia del enfoque tradicional de las herramientas de seguridad, ITDR integra la gestión de identidades y accesos (IAM), el análisis del comportamiento de usuarios y entidades (UEBA) y la detección y respuesta ampliadas (XDR) para defenderse de forma proactiva contra el uso indebido de credenciales, la escalada de privilegios y el movimiento lateral. Dado que las metodologías de seguridad actuales no han sido capaces de frenar la oleada de ciberamenazas, la ITDR ayuda a las organizaciones a mejorar la visibilidad, detectar anomalías y aplicar controles de acceso y autenticación más estrictos, todo lo cual reduce el riesgo de infracciones basadas en la identidad.

¿Qué diferencia a ITDR?

El reconocimiento de la ITDR por parte de Gartner en 2022 supuso un hito significativo en la fusión de las tecnologías de la información en un nuevo nivel de seguridad sinérgico, que aúna lo que con demasiada frecuencia son prácticas independientes para impulsar un escenario ampliado. Juntos, IAM y la gestión de eventos e información de seguridad (SIEM) pueden identificar y asignar con mayor precisión el riesgo a los eventos relacionados, así como ejecutar una respuesta a nivel de aplicación, servicio u otro recurso digital para asegurar la información protegida. Desde entonces, la ITDR ha cobrado impulso como categoría crítica de ciberseguridad para prevenir los ataques basados en la identidad. Algunos de los principales impulsores del ITDR son:

• Aumento de los ataques basados en la identidad: El robo de credenciales, el movimiento lateral y la escalada de privilegios se convirtieron en los principales métodos de ataque. La protección de seguridad actual es ineficaz. ITDR incorpora información de tipo XDR que identifica la actividad que indica un riesgo elevado para los usuarios y los recursos.
• Brechas en IAM y PAM: La intención general de la gestión de identidades y accesos es garantizar que las personas y los servicios tengan el acceso correcto a los recursos protegidos en el momento adecuado. Las herramientas IAM actuales controlaban el acceso pero carecían de detección de amenazas en tiempo real, y la gestión de accesos privileg iados (PAM) se centraba en las cuentas privilegiadas pero no en las amenazas generales a la identidad.
• Adopción de la confianza cero: Las organizaciones avanzaron hacia una seguridad que da prioridad a la identidad, lo que requiere una supervisión y respuesta continuas ante las amenazas a la identidad.

¿Cuáles son los componentes clave del ITDR?

Aunque la TDR puede destacar en la supervisión en tiempo real y las respuestas automatizadas, su incapacidad para vincular los ataques a identidades específicas a lo largo del tiempo limita su eficacia. Se necesitan más componentes para ampliar la capacidad del TDR de identificar comportamientos sospechosos.

Detección y respuesta ampliadas
La detección y respuesta ampliada (XDR) es una solución de ciberseguridad avanzada que integra múltiples herramientas de seguridad y fuentes de datos para proporcionar un enfoque unificado de detección, investigación y respuesta a las amenazas en toda la superficie de ataque de una organización.

A diferencia de las soluciones SIEM o EDR tradicionales, XDR recopila y correlaciona datos sobre amenazas a través de múltiples capas de seguridad, incluida la detección y correlación entre capas. A diferencia de las soluciones SIEM o EDR tradicionales, XDR recopila y correlaciona datos sobre amenazas a través de múltiples capas de seguridad, incluidos puntos finales (EDR), redes (NDR), correos electrónicos, cargas de trabajo en la nube y gestión de identidades y accesos (IAM). Esto mejora la visibilidad de los ataques complejos que abarcan múltiples puntos de entrada.

Investigación y respuesta automatizadas ante amenazas: XDRprioriza automáticamente las alertas y conecta los incidentes de seguridad relacionados para reducir la fatiga por alertas. Utiliza IA y aprendizaje automático para identificar patrones de ataque y mitigar las amenazas con mayor rapidez.

Búsqueda proactivade amenazas: los analistas de seguridad pueden buscar amenazas ocultas utilizando datos históricos y análisis de comportamiento. El marco MITRE ATT&CK se integra a menudo en XDR para mapear las tácticas y técnicas del adversario.

Integración con la pila de seguridad-XDRfunciona con soluciones SIEM, SOAR, ITDR y EDR para agilizar las operaciones de seguridad (SOC). También proporciona alertas en tiempo real y acciones correctivas automatizadas a través de diferentes herramientas de seguridad.

XDR en relación con otras soluciones de seguridad
En la tabla siguiente se enumeran las tecnologías utilizadas actualmente por los equipos de seguridad informática para mejorar la detección de amenazas y las respuestas automatizadas. Por sí solas, no son tan completas ni están tan integradas como la XDR.

¿Qué mecanismos de respuesta tiene el ITDR?

Cuando surge un comportamiento sospechoso, como un inicio de sesión inusual, cambios rápidos de privilegios o acceso desde ubicaciones que no son de confianza, XDR desencadena acciones automatizadas, como el bloqueo de las cuentas comprometidas, la aplicación de MFA o la finalización instantánea de las sesiones no autorizadas. ITDR, que correlaciona la información de identidad con los controladores XDR, aprovecha la información derivada de XDR y automatiza la respuesta necesaria para evitar que los atacantes exploten las credenciales robadas restringiendo el acceso y aplicando controles de autenticación dinámicos. La actividad con privilegios se supervisa continuamente y las escaladas no autorizadas se bloquean antes de que provoquen una infracción. Las capacidades de orquestación de XDR garantizan que ITDR se integre a la perfección con los sistemas SIEM, SOAR e IAM, agilizando los flujos de trabajo de corrección automatizados. Esta respuesta automatizada impulsada por ITDR refuerza a los equipos de seguridad con una defensa proactiva automatizada, que detiene los ataques basados en la identidad antes de que se conviertan en infracciones a gran escala.

Gestión de la seguridad de las identidades
Un componente central del motor de respuesta de ITDR es la capacidad de gestionar continuamente (evaluar y responder) el panorama de seguridad de una organización gestión de la postura de seguridad de la identidad (ISPM) a nivel de identidad. A medida que las empresas amplían sus ecosistemas digitales, el enorme volumen de identidades humanas y de máquinas crea una superficie de ataque en constante expansión. ISPM proporciona visibilidad en tiempo real de los riesgos de identidad, las configuraciones erróneas y las infracciones de las políticas, lo que permite una defensa proactiva contra las amenazas basadas en la identidad. Al aprovechar la automatización, el análisis de riesgos y la aplicación de políticas, ISPM garantiza que las identidades se adhieran a las mejores prácticas de seguridad, reduciendo la exposición a los ataques basados en credenciales, la escalada de privilegios y el acceso no autorizado.

El núcleo de GISP es la capacidad de analizar dinámicamente la situación de las identidades en varios entornos, incluidas las infraestructuras locales, en la nube e híbridas. Esto implica supervisar los derechos de acceso, aplicar los principios de privilegio mínimo y detectar comportamientos anómalos indicativos de peligro. Integrado con la detección y respuesta a amenazas de identidad, ISPM mejora la capacidad de una organización para abordar preventivamente las vulnerabilidades de identidad antes de que sean explotadas. Las amenazas cibernéticas se basan a menudo en credenciales comprometidas, por lo que la GISP basada en la identidad sirve como una capa crítica de defensa, alineando la postura de seguridad con los cambiantes panoramas de riesgo. Esto se hace definiendo el nivel de riesgo que la organización está dispuesta a tolerar y evaluando continuamente el entorno para responder cuando se alcance ese nivel. Las NIMI son un componente clave del ITDR porque permiten a las organizaciones mantener la resistencia frente a ciberadversarios sofisticados.

Potenciar la respuesta a las amenazas mediante la identidad
Las soluciones de gestión de identidades y accesos permiten a las organizaciones vincular los eventos indicadores de violaciones o amenazas a las identidades, así como dirigir la respuesta al nivel más eficaz: esa(s) sesión(es) o aplicación(es). IAM es la "I" de ITDR. Para automatizar eficazmente las respuestas, estas dos tecnologías deben funcionar juntas a la perfección. Cuando lo hacen, la integración mejora la visibilidad y la detección de amenazas y responde rápidamente a los ataques basados en la identidad.

Las soluciones IAM de OpenText™ generan registros de autenticación, solicitudes de acceso y cambios de privilegios. La solución de detección avanzada de amenazas de OpenText & insider threat management los correlaciona con datos de endpoints, redes y entornos en la nube. Además, OpenText TDR ofrece análisis adicionales del comportamiento de usuarios y entidades (UEBA) más allá de lo que suele estar disponible en los servicios de riesgo basados en identidades. Detectan el riesgo mediante indicadores de infracción derivados del acceso y el uso de aplicaciones cuando se reúnen. Las métricas de riesgo tradicionales basadas en la identidad y el acceso se limitan a criterios prescritos, como si se conoce o no la instancia del navegador o el dispositivo físico y si los intentos de inicio de sesión son infructuosos. Estos mismos controles adaptativos ponen condiciones o límites a los intervalos de tiempo y las geolocalizaciones, además de identificar escenarios de viaje imposibles. Aunque los controles de acceso adaptativos tradicionales también pueden aprovechar el historial de estas condiciones prescritas, las métricas XDR pueden ser mucho más sofisticadas.

Las tecnologías XDR controlan un espectro de información mucho más amplio que el disponible en la infraestructura IAM. A partir de esos datos, la automatización XDR puede correlacionar los datos observados en patrones de comportamiento que son más discernibles que los controles basados en reglas. Disciernen qué sesiones indican factores de riesgo a partir de anomalías o patrones de ataque. Cuando las capacidades de supervisión XDR se fusionan con la información de identidad que forma un nivel de seguridad ITDR, las actividades pueden correlacionarse y calcularse en patrones, patrones que abarcan largos periodos. Con la identidad, los datos de actividad recogidos de redes, dispositivos e información de sesión se correlacionan con mayores niveles de interacción que las identidades (personas o procesos) tienen con servicios digitales que se extienden durante un periodo más largo. Estos datos de actividad persistentes basados en la identidad permiten a los motores de riesgo calcular el riesgo de las actividades relacionadas con las infracciones que se utilizan para penetrar en las prácticas de seguridad habituales. Estos patrones se fortalecen con el tiempo de forma que la ITDR es más eficaz a la hora de identificar anomalías de los usuarios o posibles infracciones a medida que crece el modelo de cada usuario activo. Además de reforzar los modelos de amenazas, ITDR puede responder a través de sus plataformas de orquestación, automatización y respuesta de seguridad (SOAR), mucho más de lo que está disponible en un entorno IAM. Además, el departamento de TI puede utilizar esta plataforma de seguridad ampliada para iniciar flujos de trabajo predefinidos, como bloquear IP maliciosas, alertar a los analistas de seguridad o aislar los dispositivos afectados.

¿Qué papel debe desempeñar el ITDR en su organización?

Dado que cada entorno es único, el camino hacia un nivel de seguridad ITDR también lo es. Esto significa que la necesidad de ITDR puede existir o no para un entorno específico, y el nivel de sofisticación de la ITDR variará. La composición de su entorno actual influirá en lo que ponga en práctica.

Algunas de las dinámicas que pueden ayudar a determinar cuánto invertir en una forma de seguridad ITDR son las siguientes:

• Riesgo: todo el espectro de riesgos debe ser un factor dominante. ¿Cuáles son los costes totales de una infracción? ¿Cuáles son las consecuencias empresariales de no superar una auditoría de cumplimiento o de no cumplir los requisitos de un ciberseguro?
• Coste y experiencia: en el entorno actual, algunos de los obstáculos más infravalorados a la ITDR son el coste y la experiencia en el sector. A las organizaciones con soluciones IAM, PAM y SIEM sólidas les resultará más fácil actualizarse a una capa de seguridad ITDR. Sin embargo, la IAM puede ser una necesidad más inmediata si la seguridad de la identidad es incompleta o débil.
• Otro factor determinante es la capacidad de una organización para integrar la ITDR con su pila de seguridad existente. La perfecta integración con las soluciones IAM, SIEM, SOAR y EDR/XDR garantiza que ITDR pueda proporcionar supervisión y respuesta a incidentes en tiempo real sin crear silos operativos.
• Escalabilidad: dado que las organizaciones adoptan cada vez más entornos híbridos y multicloud, ITDR debe cubrir las identidades en la nube, el acceso privilegiado y la autenticación federada. Resulta especialmente valioso para las empresas que gestionan grandes plantillas remotas y un amplio acceso de terceros, ya que garantiza la verificación segura de la identidad en entornos dispersos.
• Prioridad y presupuesto de confianza cero: sitúe la ITDR en la vanguardia de las estrategias modernas de ciberseguridad. La ITDR permite la verificación continua de la identidad, el análisis del comportamiento y las respuestas basadas en el riesgo, principios básicos de un modelo de confianza cero. A medida que las organizaciones se alejan de la seguridad tradicional basada en el perímetro, la ITDR desempeña un papel crucial en la protección de las identidades como nuevo perímetro.

¿Es la ITDR la nueva capa de seguridad de acceso?

La ITDR ha evolucionado desde la seguridad tradicional de la identidad hasta convertirse en una disciplina de seguridad específica que aborda las modernas ciberamenazas basadas en la identidad. A medida que los ciberdelincuentes siguen apuntando cada vez más a las credenciales, las cuentas privilegiadas y los sistemas de identidad, la ITDR puede convertirse en una capa de seguridad estándar de la estrategia de seguridad de una organización.