06 de agosto de 2024The Hacker NewsSeguridad SaaS / Detección de amenazasA todo el mundo le encanta el giro de trama del agente doble en una película de espías, pero es una historia diferente cuando se trata de proteger los datos de la empresa. Ya sean intencionales o no, las amenazas internas son una preocupación legítima. Según la investigación de CSA, el 26% de las empresas que informaron un incidente de seguridad SaaS fueron atacadas por un infiltrado. El desafío para muchos es detectar esas amenazas antes de que conduzcan a infracciones totales. Muchos profesionales de la seguridad asumen que no hay nada que puedan hacer para protegerse de un usuario administrado legítimo que inicia sesión con credenciales válidas utilizando un método MFA de la empresa. Los infiltrados pueden iniciar sesión durante el horario comercial habitual y pueden justificar fácilmente su acceso dentro de la aplicación. Señal del giro de la trama: con las herramientas adecuadas, las empresas pueden protegerse del enemigo desde dentro (y desde fuera). Aprenda a proteger toda su pila SaaS de amenazas internas y externas Cómo controlar las amenazas centradas en la identidad con ITDR En la seguridad de SaaS, una plataforma de detección y respuesta a amenazas de identidad (ITDR) busca pistas de comportamiento que indiquen que una aplicación se ha visto comprometida. Cada evento en una aplicación SaaS es capturado por los registros de eventos de la aplicación. Esos registros se monitorean y, cuando ocurre algo sospechoso, se genera una señal de alerta, llamada Indicador de compromiso (IOC). Con amenazas externas, muchos de estos IOC se relacionan con los métodos y dispositivos de inicio de sesión, así como con el comportamiento del usuario una vez que ha obtenido acceso. Con amenazas internas, los IOC son principalmente anomalías de comportamiento. Cuando los IOC alcanzan un umbral predeterminado, el sistema reconoce que la aplicación está bajo amenaza. La mayoría de las soluciones ITDR abordan principalmente la protección de Active Directory local y de puntos finales. Sin embargo, no están diseñadas para abordar amenazas SaaS, que requieren una profunda experiencia en la aplicación y solo se pueden lograr mediante referencias cruzadas y análisis de eventos sospechosos de múltiples fuentes. Ejemplos de amenazas internas en el mundo del SaaS Robo o exfiltración de datos: descarga o intercambio excesivo de datos o enlaces, en particular cuando se envían a direcciones de correo electrónico personales o de terceros. Esto puede ocurrir después de que un empleado haya sido despedido y crea que la información podría ser útil en su próximo puesto, o si el empleado está muy descontento y tiene malas intenciones. Los datos robados pueden incluir propiedad intelectual, información del cliente o procesos comerciales patentados. Manipulación de datos: la eliminación o modificación de datos críticos dentro de la aplicación SaaS, lo que puede causar pérdidas financieras, daños a la reputación o interrupciones operativas. Uso indebido de credenciales: compartir credenciales de inicio de sesión con usuarios no autorizados, ya sea intencional o involuntariamente, lo que permite el acceso a áreas confidenciales de la aplicación SaaS. Abuso de privilegios: un usuario privilegiado aprovecha sus derechos de acceso para modificar configuraciones, eludir medidas de seguridad o acceder a datos restringidos para beneficio personal o con intenciones maliciosas. Riesgos de proveedores externos: los contratistas o proveedores externos con acceso legítimo a la aplicación SaaS hacen un uso indebido de su acceso. Aplicaciones fantasma: los insiders instalan software o complementos no autorizados dentro del entorno SaaS, lo que puede introducir vulnerabilidades o malware. Esto no es intencional, pero aún así lo introduce un insider. Cada uno de estos IOC por sí solo no indica necesariamente una amenaza interna. Puede haber razones operativas legítimas que puedan justificar cada acción. Sin embargo, a medida que los IOC se acumulan y alcanzan un umbral predefinido, los equipos de seguridad deben investigar al usuario para comprender por qué está tomando estas acciones. Analice en profundidad cómo funciona ITDR junto con SSPM Cómo ITDR y SSPM trabajan juntos para prevenir y detectar amenazas internas El principio del mínimo privilegio (PoLP) es uno de los enfoques más importantes en la lucha contra las amenazas internas, ya que la mayoría de los empleados suelen tener más acceso del necesario. SaaS Security Posture Management (SSPM) e ITDR son dos partes de un programa integral de seguridad SaaS. SSPM se centra en la prevención, mientras que ITDR se centra en la detección y la respuesta. SSPM se utiliza para aplicar una sólida estrategia de seguridad de identidad primero, prevenir la pérdida de datos mediante la supervisión de la configuración de uso compartido en documentos, detectar aplicaciones ocultas utilizadas por los usuarios y supervisar el cumplimiento de los estándares diseñados para detectar amenazas internas. Los ITDR eficaces permiten a los equipos de seguridad supervisar a los usuarios que participan en actividades sospechosas, lo que les permite detener las amenazas internas antes de que puedan causar un daño significativo. Obtenga una demostración de 15 minutos y obtenga más información sobre ITDR y sus diferentes casos de uso Nota: ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.