Seguridad Cloud
En la mesa redonda sobre seguridad de la semana pasada, me uní a Sarah Armstrong-Smith, de Microsoft, y Lisa Forte, de Red Goat Cyber Security, para hablar de cómo la pandemia ha afectado a la transformación digital y compartir cómo pueden adaptarse las organizaciones.
Este debate se produjo tras la publicación de los resultados de una reciente encuesta realizada a 1.112 responsables de seguridad informática de todo el mundo. En la encuesta se les pedía su opinión sobre las principales amenazas a las que se enfrentan sus entornos de Microsoft Office 365 y su capacidad para defenderse de ellas.El cambio a cloud y la adopción del trabajo remoto han aumentado la amenaza de ciberataques, y cuatro de cada cinco profesionales de la seguridad afirman que los riesgos de ciberseguridad han aumentado en los últimos doce meses.
Durante la mesa redonda, Sarah comentó: "Creo que en el último año, muchas empresas se han enfrentado a verdaderos retos en lo que respecta al trabajo a distancia. Muchas de ellas no estaban preparadas para poder trabajar a distancia en masa y a escala". Sin embargo, un año después de la pandemia, afirma que las organizaciones han pasado de gestionar las crisis a ser más estratégicas.
Lisa y yo reafirmamos este sentimiento en la conversación sobre el regreso a los lugares de trabajo físicos, la adhesión a las normas de cumplimiento, la navegación por las amenazas emergentes y mucho más.
Ahora, profundicemos en la información que no hemos tenido oportunidad de tratar en el debate.
Microsoft Office 365 y el nuevo panorama de cloud
La adopción de Cloud , y la eficiencia y agilidad que proporciona, ha estado a la cabeza de los debates de los consejos de administración desde hace varios años, y las capacidades de cloud han pasado rápidamente de ser una ventaja estratégica a una necesidad empresarial.
Según nuestra encuesta, el 97% de los responsables de la seguridad informática han ampliado el uso de Microsoft Office 365 como consecuencia de la pandemia. Se trata de una de las plataformas de software como servicio (SaaS) más utilizadas para la colaboración empresarial, por lo que no es de extrañar. En marzo de 2020, Microsoft informó de 258 millones de usuarios activos, un aumento de más de 70 millones con respecto al año anterior.
Microsoft Office 365 constituye a menudo la base de las operaciones comerciales de una empresa, ya que facilita casi todo el almacenamiento e intercambio de datos, además de ser el proveedor de identidades que facilita el acceso a otras aplicaciones SaaS.Este tipo de centralización es una ventaja tanto para los empleados como para las amenazas. ¿Por qué? Microsoft Office 365 y otros entornos cloud son mucho más accesibles que una aplicación tradicional protegida tras un perímetro.
El rápido cambio y el consiguiente aumento de las implementaciones de Microsoft Office 365 y Azure AD han obligado a muchas empresas a contar con superficies de ataque ampliadas y fuerzas de trabajo aisladas que pueden no estar equipadas para supervisar y proteger de forma eficaz. El 48% de los encuestados afirmó que su principal prioridad es proteger Microsoft Office 365. Las siguientes preocupaciones principales empataron con un 45% cada una: 1) el riesgo de abuso de credenciales que conduce a la toma de cuentas por usuarios no autorizados, y 2) la capacidad de los hackers para ocultar sus bastidores utilizando herramientas legítimas de Microsoft como Power Automate y e-Discovery. En total, el 71% de los usuarios de Microsoft Office 365 sufrieron una media de 7 apropiaciones de cuentas de usuarios legítimos en el último año.
Adquisición de cuentas, movimiento lateral y reconocimiento, ¡vaya por Dios!
Las cuentas comprometidas de Microsoft Office 365 se pueden explotar para infligir daños masivos en poco tiempo. Nuestro informe Spotlight sobre Microsoft Office 365, en el que se investigaron más de cuatro millones de cuentas, reveló que el 96 % presentaba algún signo de movimiento lateral. Las altas cantidades de movimiento lateral sugieren que los atacantes acceden rápidamente a la información y comienzan el reconocimiento una vez que logran eludir la seguridad del perímetro. Aunque la mayor parte del movimiento lateral podría ser benigno, una actividad normal del usuario, el verdadero reto es identificar la actividad lateral maliciosa. Buscar entre este ruido para discernir el comportamiento de los atacantes exige muchos recursos a los centros de operaciones de seguridad (SOC), especialmente sin la ayuda de la inteligencia artificial.
A pesar de ello, el 76% de los encuestados seguía confiando en su capacidad para detectar movimientos laterales y el 79% creía tener una buena visibilidad de los ataques que eluden las defensas de seguridad preventivas. En caso de ataque, una minoría de los encuestados afirmó que necesitaría semanas para reparar una cuenta comprometida. Por otro lado, el 64% afirma que podría detener las apropiaciones de cuentas en cuestión de horas o días, y casi el 30% afirma que su equipo podría identificar y detener las apropiaciones de cuentas inmediatamente. La diferencia entre horas, días y semanas es muy grande a la hora de responder a las amenazas, por lo que las respuestas rápidas son vitales para contener los ataques en cuanto se detectan.
Si se tiene en cuenta que el tiempo medio de permanencia de un ataque se estima en 43 días, es posible que una empresa no disponga de "semanas" para hacer frente a una amenaza. Los ataques que logran largos tiempos de permanencia representan la mayor amenaza para las organizaciones, especialmente si implican una cuenta de Microsoft Office 365 comprometida. Esto quizás habla del 58% de los encuestados, en particular entre los directores y ejecutivos de nivel C, que creen que la brecha entre las capacidades de los atacantes y los defensores es cada vez mayor.
Otras conclusiones importantes del informe son:
- Los dispositivos IoT/Conectados y los ataques basados en la identidad son las dos principales preocupaciones en materia de seguridad para 2021
- El 58% de las empresas tiene previsto invertir más dinero en personal y tecnología, y el 52% invertirá en IA y automatización en 2021
- La mayor frustración con las soluciones de seguridad existentes es la cantidad de tiempo que se necesita para gestionarlas.
Protección de Office 365 y las implantaciones cloud relacionadas
En última instancia, a menos que las inversiones en seguridad se destinen a las capacidades de respuesta, la brecha en las capacidades de seguridad crecerá. El hecho de que tres de cada cuatro empresas hayan sufrido ataques maliciosos de apropiación de cuentas pone de manifiesto la necesidad de rastrear y proteger las identidades a medida que se trasladan de la nube a la cloud.
Dado que Microsoft Office 365 sigue desempeñando un papel esencial en el mantenimiento de las operaciones empresariales, las organizaciones deben asegurarse de que disponen de las capacidades necesarias para proteger sus entornos cloud . Se trata de un reto especialmente acuciante para aquellas organizaciones que han tenido que adaptar rápidamente sus operaciones durante el último año y pueden tener dificultades para adaptar las defensas basadas en el perímetro a las fronteras más insustanciales que presenta la cloud. La principal prioridad debe ser la planificación para la inevitabilidad de algún punto de apoyo adversario, que puede incluir la toma de control de cuentas.
En Vectra, podemos proteger las cargas de trabajo de Microsoft Office 365 y Azure AD con nuestra solución de detección y respuesta de red (NDR) basada en IA, Detect for Office 365. Cognito puede identificar y detener a los atacantes que operan en su entorno de Microsoft Office 365, así como en cualquier aplicación SaaS federada que utilice Azure AD. Sabemos que los atacantes no operan en silos, y podemos rastrear signos de comportamiento de atacantes en toda la empresa, híbrido, centro de datos, IaaS y SaaS, todo desde un único punto de control.
Para obtener más información sobre cómo su organización puede defenderse mejor contra los ataques basados en la identidad en Microsoft Office 365, compartimos diez pasos en el eBook de la encuesta.
Esté atento a nuestros próximos blogs, que entrarán en detalle sobre las formas en que puede prevenir y remediar estos ataques basados en la identidad. Mientras tanto, si desea probar nuestra solución para Office 365, obtenga una demostración ahora.