La forma en que se definen actualmente las amenazas a la identidad y el enfoque y las herramientas de defensa que utilizan la mayoría de los equipos SOC son lamentablemente insuficientes.
Eso tiene que cambiar inmediatamente.
La mayoría de los equipos de los SOC consideran la seguridad de las identidades como la reparación de la higiene de las identidades y la actualización de la gestión de la postura previa al compromiso. Pero en este entorno de amenazas de identidad y GenAi en expansión, la seguridad de identidad integral también requiere capacidades de detección y respuesta post-compromiso impulsadas por IA para defenderse de los ataques en curso. Lo sabemos porque las organizaciones se están viendo sorprendidas por ataques basados en la identidad en todas sus superficies de amenazas híbridas, a pesar de contar con prevención de ataques a la identidad.
Este reto se hace aún más difícil porque la mayoría de los equipos SOC carecen de la pila tecnológica para obtener visibilidad de tales ataques de identidad hasta meses después, si es que alguna vez la tienen. En pocas palabras, si no puedes verlo, no puedes detenerlo. Se necesita una nueva comprensión de la identidad, así como un enfoque integral de la detección y la respuesta.
Una nueva definición de identidad: el centro de la empresa moderna
La identidad ya no es singular ni está encerrada bajo llave. Una definición más apropiada es que la identidad es el centro de la empresa moderna, ya que recorre sus redes locales y cloud , SaaS, PaaS, datos, trabajo remoto y otras superficies y numerosos dispositivos. Por desgracia, también permite a los ciberatacantes lanzar sus ataques a través de superficies híbridas a escala industrial. Lo que es más, basta una sola identidad comprometida para que los atacantes naveguen rápidamente por complejos sistemas de red y roben datos críticos de organizaciones de todo el mundo, sin ni siquiera ser detectados por la mayoría de los equipos SOC. La realidad es que todos los ataques híbridos acaban convirtiéndose en ataques de identidad.
Todos los ataques híbridos acaban convirtiéndose en ataques de identidad.
¿Cómo lo sabemos?
Y es que, a pesar de invertir millones de dólares en herramientas de seguridad para defender entornos híbridos, el 90% de las organizaciones han sufrido un ataque a la identidad. Además, los atacantes han comercializado técnicas como phishing y ransomware-as-service, lo que les permite replicar a gran escala ataques exitosos que involucran identidades.
cloud unificada y el acceso a la red son los nuevos frentes en la seguridad de la identidad
Antes sólo se podía acceder a la identidad si un atacante ya estaba en la red. Se creía que los cortafuegos, el EDR y las políticas eran suficientes para proteger las identidades y constituían la primera línea de defensa de la identidad. Eso ya no es así. Hoy en día, las identidades están más allá del perímetro y es fácil acceder a ellas fuera del entorno de red tradicional. Con este acceso externo convertido en la norma, cloud unificada y el acceso a la red se han convertido en las nuevas líneas de frente para los defensores.
Los atacantes necesitan dos cosas para tener éxito: una identidad y una red.
Esencialmente, los atacantes sólo necesitan dos cosas para tener éxito: una identidad y una red. En lo que respecta a la identidad, es una oportunidad rica en objetivos para los atacantes. A medida que el número de superficies de ataque a la identidad se amplía rápidamente, las oportunidades de comprometer la identidad aumentan exponencialmente. Cada usuario (clientes, empleados, socios y proveedores), dispositivo y cuenta de servicio en la cloud y en la red representa un vector potencial de ataque a la identidad.
Así, los atacantes pueden abusar de todo tipo de identidades, tanto humanas como relacionadas con máquinas, para propagar sus ataques, ya sea como punto de partida o para moverse lateralmente dentro de un entorno para acceder a datos sensibles y propagar ransomware. Además, la miríada de identidades de máquinas (como API, bots y cuentas de servicio) plantean desafíos de defensa únicos. A diferencia de los usuarios humanos, no pueden autenticarse mediante MFA (más sobre MFA en un momento).
La explosión de la identidad conlleva enormes puntos ciegos en la identidad de máquinas y servicios
Sin embargo, estas identidades de máquina tienen acceso a recursos críticos. Según Silverfort, el 31% de todos los usuarios son cuentas de servicio con altos privilegios de acceso y baja visibilidad. Además, una sola configuración errónea de AD introduce una media de 109 nuevos administradores en la sombra, lo que permite a los atacantes restablecer la contraseña de un verdadero administrador. *Informe Identity Underground de Silverfort
31% de todos los usuarios son cuentas de servicio con privilegios de acceso elevados y escasa visibilidad.
Además, las empresas tienen más identidades que proteger de lo que su equipo de SOC pueda imaginar. Según la Calculadora de Identidades de Vectra, las empresas tienen 3X identidades (cuentas de máquinas/servicios) por cada empleado. Esto significa que las empresas con 1.000 empleados tienen al menos 3.000 identidades que proteger. Además, según Okta, sólo el 64% de esos usuarios activan realmente la AMF, lo que da como resultado al menos 1.080 identidades (3.000 x (100%-64%) que no están protegidas por la AMF, o que ni siquiera la utilizan. Está claro que la forma en que pensamos en la identidad y abordamos la seguridad de la identidad debe ser más elástica e implicar una cobertura integral.
Además, mientras que los grupos de atacantes pivotan entre las superficies de ataque en la red y cloud nube a voluntad, con demasiada frecuencia, los equipos SOC dependen de herramientas aisladas para cada superficie de ataque, lo que añade más ruido, una cascada de alertas y menos visibilidad. Con el rápido aumento de las identidades empresariales unido a la falta de visibilidad, los atacantes obtienen más formas de penetrar en una red y progresar en sus ataques, mientras que los defensores están mal equipados para hacer frente a estos nuevos retos. En consecuencia, en la gran mayoría de los casos, los equipos SOC no están previniendo, viendo o deteniendo los ataques de identidad que entran en sus redes o roban sus datos.
Una superficie de ataque a la identidad en expansión aumenta el riesgo de amenazas
Del mismo modo, a medida que las organizaciones siguen migrando a Cloud, sus entornos abarcan infraestructuras locales, servicios cloud y espacios de trabajo remotos, creando un tejido cada vez más complejo de sistemas interconectados. Esta expansión ofrece a los atacantes múltiples puntos de entrada nuevos para iniciar un ataque. Este hecho por sí solo aumenta enormemente sus probabilidades de éxito. Incluso un punto de entrada comprometido puede dar lugar a brechas significativas a medida que los atacantes pivotan entre los entornos locales y cloud .
El MFA no es suficiente, si es que alguna vez lo fue
Para una parte significativa de los equipos SOC, la visión predominante de su seguridad de identidades es la de "Tenemos MFA, así que estamos listos". Como hemos visto con las recientes brechas de alto perfil, MFA no es suficiente. El hecho de que el 90 por ciento de las empresas que sufren ataques de identidad dispongan de MFA lo demuestra de forma inequívoca.
El 90% de las empresas que sufren ataques a la identidad tenían MFA en su lugar.
Así lo confirma la revelación de Microsoft en Ignite en 2023, según la cual el 62% de todos los usuarios activos mensuales no tenían activada la AMF. Esto significa que casi dos tercios de las identidades de una organización corren un riesgo mucho mayor de que se produzca una brecha en una cuenta. Por último, la brecha en la cadena de suministro de OKTA a finales de 2023 demostró la insuficiencia de la MFA para proteger las identidades. Los atacantes pueden eludir fácilmente la AMF mediante ingeniería social o dispositivos comprometidos, entre otras formas.
Eso es menos una crítica al AMF y más una comprobación de la realidad sobre el comportamiento humano.
Del mismo modo, las soluciones EDR tampoco son a prueba de balas. Son necesarias pero insuficientes, ya que pueden pasar por alto varios y sutiles signos de compromiso de la identidad. Las herramientas de prevención de intrusiones también son útiles, pero no perfectas. En resumen, de una forma u otra, los atacantes van a traspasar sus defensas. Según la investigación de Vectra AI, el 71% de los profesionales de la seguridad creen que su organización ha sido violada, sólo que no saben dónde. Los equipos de los SOC deben aumentar la prevención con sólidas capacidades de detección de identidades y respuesta tras la vulneración.
De una forma u otra, los atacantes van a saltarse la MFA o la EDR y a traspasar sus defensas.
El elemento humano y la fatiga de la seguridad de la identidad
También hay un elemento humano en la seguridad de la identidad que se refleja en las estadísticas de usuarios de Azure Active Directory de MFA mencionadas anteriormente. Es la constatación de que incluso cuando los empleados o incluso las empresas disponen de herramientas de seguridad, no siempre las utilizan o aplican de forma correcta o coherente, si es que lo hacen. Esto se manifiesta de todo tipo de formas, desde la simple fatiga de contraseñas hasta la incapacidad de aplicar o hacer cumplir las políticas a nivel organizativo. El spear phishing sigue teniendo éxito en parte debido a la simple fatiga de las alertas humanas, la distracción de la atención por la multitarea, las falsificaciones generadas por IA o la simple "curiosidad".
Pero la fatiga de la seguridad de la identidad es también una calle de doble sentido, que afecta también a los equipos de los SOC. La fatiga y el agotamiento de los analistas son factores reales y formidables que merman su eficacia. Manejar un número abrumador de alertas -casi 5.000 cada día- junto con tediosas tareas manuales y demasiadas horas extra deja a los equipos con exceso de trabajo, abrumados y faltos de personal. El resultado es una disminución de la confianza y la competencia a la hora de hacer su trabajo, así como altas tasas de abandono. A medida que los atacantes se vuelven más eficientes en sus ataques, los defensores se quedan cada vez más atrás de la curva de amenazas.
Superficie de ataque GenAI: aumento exponencial de la exposición a la identidad
Por último, la rápida adopción e integración de herramientas GenAI como Microsoft Copilot en entornos empresariales ya está creando nuevas superficies de ataque muy accesibles. Aunque las herramientas impulsadas por IA están pensadas para agilizar las operaciones, son objetivos principales para los ataques de identidad porque los grandes modelos de lenguaje (LLM) que las impulsan tienen acceso a datos corporativos patentados. Con sólo una brecha, los atacantes obtienen la misma ventaja impulsada por la IA, utilizando capacidades de IA de nivel empresarial contra la propia empresa, explotando identidades para propagar sus ataques a la velocidad y escala de la IA.
Para complicar las cosas, sin una solución de detección y respuesta de identidades posterior a la vulneración que aplique análisis de comportamiento a la velocidad de la IA, los equipos SOC tienen poca o ninguna visibilidad de la información que una herramienta impulsada por IA-Chat como Copilot devuelve al atacante. Esto añade aún más latencia a la detección y respuesta de la que ya existe. Los equipos SOC deben ser capaces de aprovechar las soluciones de detección y supervisión con velocidad y capacidades impulsadas por IA para prevenir y detener a los atacantes que abusan de las identidades a través de herramientas GenAI y acceden a datos e información sensibles.
La definición convencional de seguridad de identidades consistente en credenciales y el uso de AMF ya no es cierta ni utilizable, ya que se queda atrás con respecto a la realidad de la creciente superficie híbrida, la insuficiencia de la AMF, la producción masiva de identidades de máquina y la pronunciada curva de amenazas impulsada por la IA.
La conclusión es que las capacidades de ataque impulsadas por GenAI de una violación de Copilot aumentan la exposición de su identidad a una escala exponencial.
¿Cuál es el riesgo para las organizaciones de que su identidad se vea comprometida?
Alrededor del 98% de las organizaciones están experimentando un rápido aumento del número de identidades que deben proteger, pero no pueden hacerlo, por lo que es difícil exagerar el reto. Además, según la ISDA, el 84% de las organizaciones han sufrido un impacto directo en su negocio como consecuencia de una violación de identidad. La proliferación de identidades está ocurriendo y está aquí para quedarse. No es de extrañar que el 90% de las organizaciones sufran una brecha de identidad. La vulneración de la identidad es cada vez más fácil y proporciona a los atacantes las llaves de su reino de datos.
Por eso es asombroso que el 62% de los equipos SOC no tengan visibilidad alguna de las identidades humanas o de máquinas que tienen acceso a datos o activos sensibles de sus organizaciones. En otras palabras, una mayoría significativa de organizaciones son incapaces de proteger sus activos críticos frente a los ataques basados en identidades y ni siquiera son capaces de ver cuándo se está abusando, o se ha abusado, de una identidad.
¿Qué es más importante: el atacante que podría entrar... o el que ya está dentro?
Como se ha señalado anteriormente, el 71% de los analistas del SOC creen que ya están comprometidos, sólo que aún no lo saben. Sin duda, la postura preventiva y la higiene son fundamentales para la seguridad basada en la identidad. Sin embargo, con nuevos usuarios, dispositivos, sistemas y cargas de trabajo, es una lucha interminable de nuevas brechas que cerrar y más configuraciones que cambiar. Por no hablar de los errores de configuración que surgen de la automatización o de los cambios de sistema debidos a las actividades de fusión y adquisición.
A pesar de sus mejores esfuerzos, los atacantes sólo necesitan una abertura para progresar en un entorno. A medida que los atacantes siguen acelerando su velocidad en los ataques, los equipos de seguridad deben dar prioridad a la inversión en detección de amenazas tras el compromiso para detener a los atacantes que ya se han infiltrado en su entorno lo antes posible, antes de que se produzcan daños.
Todas las organizaciones necesitan estar al tanto de su seguridad de identidades, lo que comienza con el reconocimiento de las nuevas realidades de la seguridad de identidades en el entorno en expansión de la superficie de amenazas de identidad y GenAI. También requiere un enfoque equilibrado que incluya la optimización de la higiene de la identidad y la gestión de la postura, así como la detección y respuesta de la identidad después de un compromiso. También se recomienda un análisis de las brechas de exposición.
VectraIdentity Threat Detection and Response (ITDR) detecta los cambios en la postura de seguridad y ofrece detección y respuesta de identidades tras el compromiso a la velocidad y escala de la IA, para que su equipo pueda ver y detener el compromiso de identidades antes de que se produzca cualquier daño.