10 de julio de 2024The Hacker NewsSeguridad de endpoints / Seguridad de identidad Es la era de la seguridad de la identidad. La explosión de ataques de ransomware impulsados ​​ha hecho que los CISO y los equipos de seguridad se den cuenta de que la protección de la identidad va 20 años por detrás de sus endpoints y redes. Esta constatación se debe principalmente a la transformación del movimiento lateral de un arte fino, que solo se encuentra en APT y los principales grupos de delitos cibernéticos, a una habilidad básica que se utiliza en casi todos los ataques de ransomware. El movimiento lateral utiliza credenciales comprometidas para el acceso malicioso, un punto ciego crítico que las soluciones XDR, de red y SIEM existentes no logran bloquear. La detección y respuesta a amenazas de identidad (ITDR) ha surgido en los últimos años para cerrar esta brecha. Este artículo desglosa las cinco principales capacidades de ITDR y proporciona las preguntas clave que debe hacerle a su proveedor de ITDR. Solo un «SÍ» definitivo a estas preguntas puede garantizar que la solución que evalúe pueda cumplir su promesa de seguridad de identidad. Cobertura para todos los usuarios, recursos y métodos de acceso ¿Por qué es importante? La protección parcial es tan buena como ninguna protección. Si la identidad es el nombre del juego, entonces la protección ITDR debe abarcar todas las cuentas de usuario, recursos locales y en la nube, y no menos importante, todos los métodos de acceso. Qué preguntas hacer: ¿El ITDR también cubre identidades no humanas, como cuentas de servicio de Active Directory (AD)? ¿Puede el ITDR analizar el rastro de autenticación completo de los usuarios, en recursos locales, cargas de trabajo en la nube y aplicaciones SaaS? ¿El ITDR detectaría el acceso malicioso a través de herramientas de acceso de línea de comandos como PsExec o PowerShell? Tiempo real (o lo más cerca posible) ¿Por qué es importante? La velocidad de detección de amenazas es importante. En muchos casos, podría ser la diferencia entre detectar y mitigar una amenaza en una etapa temprana o investigar una violación activa de tamaño completo. Para lograrlo, el ITDR debe aplicar su análisis a las autenticaciones e intentos de acceso lo más cerca posible de su ocurrencia. Qué preguntas hacer: ¿La solución ITDR se integra directamente con los proveedores de identidad locales y en la nube para analizar las autenticaciones a medida que ocurren? ¿La solución ITDR consulta al IDP para detectar cambios en la configuración de la cuenta (por ejemplo, OU, permisos, SPN asociado, etc.)? Detección de anomalías multidimensionales ¿Por qué es importante? Ningún método de detección es inmune a los falsos positivos. La mejor manera de aumentar la precisión es buscar varios tipos diferentes de anomalías. Si bien cada una de ellas por sí sola puede ocurrir durante la actividad legítima del usuario, la ocurrencia mutua de varias aumentaría la probabilidad de que se detecte un ataque real. ¿Qué preguntas hacer? ¿Puede la solución ITDR detectar anomalías en el protocolo de autenticación (por ejemplo, uso de hash, ubicación de tickets, cifrado más débil, etc.)? ¿La solución ITDR perfila el comportamiento estándar de los usuarios para detectar el acceso a recursos a los que nunca se accedió antes? ¿La solución ITDR analiza los patrones de acceso asociados con el movimiento lateral (por ejemplo, acceder a múltiples destinos en un corto período de tiempo, pasar de la máquina A a la máquina B y, posteriormente, de B a C, etc.)? ¿Necesita una solución ITDR para proteger la superficie de ataque de identidad de sus entornos locales y en la nube? Descubra cómo funciona Silverfort ITDR y solicite una demostración para ver cómo podemos abordar sus necesidades específicas. Detección de cadenas con MFA y bloqueo de acceso ¿Por qué es importante? La detección precisa de amenazas es el punto de partida, no el final de la carrera. Como mencionamos anteriormente, el tiempo y la precisión son la clave para una protección eficiente. Al igual que un EDR que finaliza un proceso malicioso o un SSE que bloquea el tráfico malicioso, la capacidad de activar el bloqueo automático de los intentos de acceso malicioso es imperativa. Si bien el ITDR por sí solo no puede hacer eso, debería poder comunicarse con otros controles de seguridad de identidad para lograr este objetivo. ¿Qué preguntas hacer? ¿Puede el ITDR realizar un seguimiento de la detección de acceso sospechoso activando una verificación intensificada desde una solución MFA? ¿Puede el ITDR realizar un seguimiento de la detección de acceso sospechoso instruyendo al proveedor de identidad para bloquear el acceso por completo? Integración con XDR, SIEM y SOAR ¿Por qué es importante? La protección contra amenazas se logra mediante la operación conjunta de múltiples productos. Estos productos pueden especializarse en una determinada faceta de la actividad maliciosa, agregar señales a una vista contextual cohesiva u orquestar un manual de respuesta. Además de las capacidades que hemos enumerado anteriormente, ITDR también debe integrarse sin problemas con la pila de seguridad ya instalada, preferiblemente de la manera más automatizada posible. ¿Qué preguntas hacer? ¿Puede la solución ITDR enviar las señales de riesgo de usuario XDR e importar señales de riesgo en procesos y máquinas? ¿ITDR comparte sus hallazgos de seguridad con el SIEM implementado? ¿Puede la detección de acceso de usuario malintencionado por parte de ITDR activar el manual SOAR en el usuario y los recursos en los que ha iniciado sesión? ITDR de Silverfort ITDR de Silverfort es parte de una plataforma de seguridad de identidad consolidada que incluye, entre otras capacidades, MFA, seguridad de acceso privilegiado, protección de cuentas de servicio y firewalls de autenticación. Desarrollado sobre la integración nativa con AD, Entra ID, Okta, ADFS y Ping Federate, Silverfort ITDR analiza cada intento de autenticación y acceso en el entorno híbrido y aplica múltiples métodos de análisis de riesgo que se cruzan para detectar la actividad de usuarios maliciosos y activar controles de seguridad de identidad en tiempo real. Obtenga más información sobre Silverfort ITDR aquí o programe una demostración con uno de nuestros expertos. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.