15 de agosto de 2024The Hacker NewsSeguridad de identidad / Detección de amenazas El surgimiento de la detección y respuesta a amenazas de identidad La detección y respuesta a amenazas de identidad (ITDR) ha surgido como un componente crítico para detectar y responder de manera efectiva a los ataques basados ​​en identidad. Los actores de amenazas han demostrado su capacidad para comprometer la infraestructura de identidad y moverse lateralmente hacia entornos IaaS, Saas, PaaS y CI/CD. Las soluciones de detección y respuesta a amenazas de identidad ayudan a las organizaciones a detectar mejor la actividad sospechosa o maliciosa en su entorno. Las soluciones ITDR brindan a los equipos de seguridad la capacidad de ayudar a los equipos a responder la pregunta «¿Qué está sucediendo ahora mismo en mi entorno? ¿Qué están haciendo mis identidades en mis entornos?». Identidades humanas y no humanas Como se describe en la Guía de soluciones ITDR, las soluciones integrales ITDR cubren identidades humanas y no humanas. Las identidades humanas implican la fuerza laboral (empleados), los invitados (contratistas) y los proveedores. Las identidades no humanas incluyen tokens, claves, cuentas de servicio y bots. Las soluciones ITDR multientorno pueden detectar y responder a todos los riesgos de entidad de identidad, por ejemplo, desde el IdP hasta las capas IaaS y SaaS, en lugar de proteger las identidades en un nivel específico de capa fragmentado. Capacidades básicas de ITDR Las capacidades esenciales de una solución ITDR incluyen: Desarrollar un perfil de identidad universal para todas las entidades, incluida la identidad humana y no humana, la actividad en las capas de servicio en la nube y las aplicaciones y servicios locales. Emparejar el análisis estático, la gestión de la postura y la configuración de esas identidades con la actividad en tiempo de ejecución de esas identidades en el entorno. Monitorear y rastrear las rutas de acceso directo e indirecto y monitorear la actividad de todas las identidades en el entorno. Orquestar el seguimiento y las detecciones de identidad en múltiples entornos que abarcan proveedores de identidad, IaaS, PaaS, SaaS y aplicaciones CI/CD para seguir la identidad donde sea que vayan en el entorno. Detección y respuesta de alta fidelidad en múltiples entornos que permite a las organizaciones tomar medidas sobre las amenazas de identidad a medida que se manifiestan en toda la superficie de ataque, en lugar de reaccionar a alertas atómicas de alto volumen basadas en eventos únicos. Para obtener una lista completa de las capacidades de ITDR, puede acceder a la Guía de soluciones de respuesta y detección de amenazas de identidad completa. Casos de uso de amenazas de identidad Para protegerse eficazmente contra ataques de identidad, las organizaciones deben elegir una solución de ITDR con capacidades avanzadas para detectar y mitigar ataques. Estas capacidades deben abordar una variedad de casos de uso para identidades humanas y no humanas, que incluyen, entre otros: Detección de apropiación de cuentas: detecta cualquiera de las numerosas variantes que indican que una identidad se ha visto comprometida. Detección de vulneración de credenciales: identifica y alerta sobre el uso de credenciales robadas o comprometidas dentro del entorno. Detección de escalada de privilegios: detecta intentos no autorizados de escalar privilegios dentro de sistemas y aplicaciones. Detección de comportamiento anómalo: supervisa las desviaciones del comportamiento normal del usuario que pueden indicar una actividad maliciosa. Detección de amenazas internas: identifica y responde a acciones maliciosas o negligentes de los usuarios internos. Para obtener una lista completa de los casos de uso de amenazas de identidad, puede acceder a la Guía de soluciones de respuesta y detección de amenazas de identidad completa. Preguntas que una solución ITDR eficaz debe responder 1. INVENTARIO DE IDENTIDADES Y GESTIÓN DE ACCESO ¿Qué identidades de entidad están presentes en nuestro entorno? Inventario completo de identidades humanas y no humanas en todos los entornos. ¿Qué roles y permisos tienen estas identidades? Detalles sobre roles, grupos y permisos específicos que tiene cada identidad en diferentes entornos locales y en la nube. ¿Qué rol/grupo le dio a un usuario en particular acceso a un recurso? ¿Cuál es el alcance del permiso para ese acceso? Detalles específicos sobre roles/grupos y permisos que otorgan acceso a recursos. 2. EVALUACIÓN DE RIESGOS Y DETECCIÓN DE ANOMALÍAS ¿Cuáles son las 10 identidades más riesgosas en mi capa de servicios en la nube? ¿Cuál sería el radio de explosión si una de esas identidades se viera comprometida? Identificación de las identidades con mayor riesgo y evaluación del impacto potencial de su compromiso. ¿Existen anomalías en el comportamiento de la identidad? Detección de desviaciones de los patrones de comportamiento normales para cada identidad, destacando la posible actividad maliciosa. ¿Se han comprometido algunas credenciales? Alertas sobre el uso de credenciales robadas o comprometidas dentro del entorno. 3. PATRONES DE ACCESO Y AUTENTICACIÓN ¿Cómo se autentican y se accede a las identidades? Seguimiento de los métodos de autenticación y las rutas de acceso para todas las identidades, incluidos los puntos de acceso federados y no federados. ¿Cuáles son las fuentes y las ubicaciones de los intentos de inicio de sesión? Registros detallados de los intentos de inicio de sesión, incluidas las direcciones IP, las ubicaciones geográficas y la información del dispositivo. ¿Cómo acceden a mi entorno actual los diferentes tipos de entidades (humanas y no humanas)? Monitoreo de los patrones de acceso para los diferentes tipos de entidades del entorno. ¿Con qué amplitud se aplica la MFA en las capas de aplicaciones y servicios en la nube de mi entorno? Evaluación de la implementación y la aplicación de la autenticación multifactor (MFA) en todo el entorno. 4. MONITOREO DE ACTIVIDADES Y SEGUIMIENTO DE CAMBIOS ¿Qué cambios se acaban de realizar en mi entorno, quién es responsable de esos cambios y se realizaron cambios similares en otras capas de servicios en la nube? Seguimiento e informes de cambios recientes, usuarios responsables y coherencia entre capas. ¿Qué identidades han accedido a datos confidenciales o sistemas críticos? Monitoreo e informes sobre el acceso de identidad a repositorios de datos confidenciales, sistemas críticos y aplicaciones de alto riesgo. 5. CORRELACIÓN Y RESPUESTA A INCIDENTES ¿Cómo se correlacionan los incidentes relacionados con la identidad en diferentes entornos? Correlación de actividades e incidentes de identidad en entornos de IdP, IaaS, PaaS, SaaS, CI/CD y locales para proporcionar una vista unificada. ¿Qué acciones se deben tomar para mitigar las amenazas identificadas? Recomendaciones prácticas y opciones de respuesta automatizadas para mitigar las amenazas de identidad detectadas y prevenir incidentes futuros. Para obtener una lista completa de preguntas y casos de uso empresarial, puede acceder a la Guía de soluciones de detección y respuesta a amenazas de identidad completa. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.