Detección y respuesta a las amenazas contra la identidad

Identity Threat Detection and Response (ITDR) representa un avance crucial en ciberseguridad, centrado en la protección de identidades y credenciales, que suelen ser los objetivos principales de los ciberataques. Al detectar y responder a las amenazas contra las identidades de los usuarios, ITDR ayuda a asegurar el acceso a los recursos de la organización, garantizando que sólo los usuarios legítimos tengan acceso.

¿Qué es la identidad y cuál es el reto de la defensa contra los ataques a la identidad?

La identidad es el centro de la empresa moderna. Existen identidades de cloud y de red, así como identidades de máquina y humanas, que abarcan aplicaciones SaaS, nubes públicas, puertas de enlace web seguras, servicios AD y servicios locales. El año pasado, el 98% de las empresas experimentaron un aumento de las ^identidades1. Por cada identidad humana, hay 45 identidades de máquinas o ^servicios2. Esto supone un reto importante para los defensores, ya que el 62% no tiene visibilidad de las personas o máquinas que acceden a datos y ^activos sensibles2.

¿Por qué necesita mi organización el ITDR?

La identidad se ha convertido en el centro de los ataques modernos, ya que diferentes tipos de atacantes, como las bandas de ransomware, los atacantes de estados-nación y los ciberdelincuentes profesionales, abusan de la identidad en sus ataques. Por ello, el 90% de las organizaciones han sufrido un ataque de identidad en el último ^año1.

Además, los ataques a la identidad que tienen éxito suponen un coste enorme para las organizaciones. Por ejemplo, Okta sufrió una pérdida de 2.000 millones de dólares en capitalización bursátil y perdió los datos de todos los usuarios de atención al cliente; MGM sufrió pérdidas de hasta 8,4 millones de dólares al día; Caesars Palace pagó 15 millones de dólares en concepto de rescate. De hecho, el 68% de las empresas sufrieron un impacto comercial directo por una violación de ^identidad1.

Las organizaciones que cuentan con prevención y gestión de la postura de identidad siguen siendo vulnerables a los ataques de identidad, ya que los atacantes eluden cada vez más la AMF y la prevención. Según Gartner, la ITDR funciona como segunda y tercera capa de defensa después de que falle la prevención.

La detección y respuesta a amenazas de identidad (ITDR) es crucial para que las organizaciones protejan sus activos valiosos y detengan las amenazas de identidad antes de que causen daños y tengan un impacto en el negocio.

La visión de Gartner sobre ITDR

El Gartner Hype Cycle for Security Operations 2023 destaca que ITDR tiene una alta calificación de beneficio. Se afirma que proteger la infraestructura de identidad de la organización es fundamental para las operaciones de seguridad.

Si las cuentas de la organización se ven comprometidas, los permisos se configuran incorrectamente o la propia infraestructura de identidad se ve comprometida, los atacantes pueden hacerse con el control de los sistemas.

Por lo tanto, la protección de la infraestructura de identidad y la defensa contra los ataques a la identidad deben ser una prioridad absoluta.

¿Cómo funciona la Detección y Respuesta ante Amenazas de Identidad?

Las soluciones ITDR altamente eficientes emplean algoritmos de aprendizaje automático de última generación y modelos de IA para analizar el comportamiento de las identidades (identidades de red, de cloud, humanas, de máquinas y de servicios) dentro de la red y la cloud de una organización.

Estas soluciones rastrean las actividades, permisos y patrones de acceso de los usuarios para identificar desviaciones de las normas establecidas. Al asignar estos comportamientos a modelos de amenazas conocidos, las soluciones ITDR pueden identificar amenazas potenciales con un alto grado de precisión.  

Las soluciones ITDR proporcionan alertas e información en tiempo real, lo que permite a los equipos de seguridad responder rápidamente a las amenazas potenciales. También se integran a la perfección con otras herramientas y soluciones de ciberseguridad, como los sistemas de gestión de identidades y accesos (IAM) y las plataformas de gestión de eventos e información de seguridad (SIEM), para ofrecer un enfoque integral de la detección y respuesta a las amenazas.

¿Cuáles son las ventajas de la detección y respuesta ante amenazas a la identidad?  

1. Supervisión continua de las identidades en toda la superficie de ataque híbrida
   Las soluciones ITDR ofrecen visibilidad continua de todas las identidades, incluidas las cuentas de red, de cloud, humanas y de máquinas, los permisos de acceso y las actividades relacionadas, en toda la red y el entorno de cloud de una organización. Esta visibilidad se extiende desde el centro de datos hasta la cloud, abarcando varios tipos de usuarios, ubicaciones y tipos de dispositivos, incluidos los dispositivos IoT y las impresoras.    
2. Protege las cuentas de servicio y administración
   Las soluciones ITDR líderes utilizan activamente la IA para descubrir y supervisar las cuentas de servicio y administración, proporcionando protección a estas cuentas incluso cuando no están claramente definidas o etiquetadas.      
3. Análisis del comportamiento e IA para la detección avanzada de amenazas
   Las principales soluciones ITDR aprovechan el análisis del comportamiento y el aprendizaje automático para modelar y detectar actividades inusuales y amenazas asociadas a las identidades. En lugar de depender de la detección basada en firmas, estas soluciones se centran en la identificación de ataques activos, incluyendo la persistencia, la escalada de privilegios, la evasión de defensas, el acceso a credenciales, el descubrimiento, el movimiento lateral, la recopilación de datos, las actividades de mando y control (C2) y la exfiltración de datos.    
4. La IA mejora la eficiencia de los centros de operaciones de seguridad (SOC)
   al reducir el ruido Las soluciones ITDR basadas en IA comprenden los privilegios y ofrecen una claridad de señal que las simples anomalías UEBA no pueden ofrecer. Automatizan muchos aspectos de la detección y respuesta a amenazas, mejorando significativamente la eficiencia de los centros de operaciones de seguridad (SOC) al reducir el ruido. A pesar de la continua escasez de expertos en ciberseguridad, estas soluciones proporcionan reconstrucciones detalladas de los ataques en lenguaje natural, lo que permite a los analistas disponer de la información necesaria para responder a las alertas de forma rápida y exhaustiva.    
5. Respuesta automatizada en tiempo real
   Además de detectar ataques sofisticados y comportamientos sospechosos, las soluciones ITDR ofrecen la capacidad de responder automáticamente y detener los ataques en tiempo real. También se integran perfectamente con otros productos de ciberseguridad, como Endpoint Detection and Response (EDR), para mejorar las medidas de seguridad.  

¿Cuál es el valor de una solución eficaz de detección y respuesta a las amenazas de identidad?

Una solución ITDR eficaz se correlaciona con la detección de la red y cloud y funciona dentro del ámbito de sus otras herramientas, no en un silo. La solución debe permitir a su organización:  

• Detenga el ransomware a tiempo
• Basta de compromisos impulsados por phishing
• Despliegue seguro de cuentas de servicio  
• Defender las identidades privilegiadas  
• Defender la infraestructura de identidad  
• Detener el movimiento lateral basado en la identidad  
• Conexiones seguras de ZScaler  
• Vigilancia de las amenazas internas  
• Control proactivo del uso de identidades

Evolución de la detección y respuesta a las amenazas contra la identidad  

Según Gartner, la ITDR requiere la coordinación entre los equipos de IAM y de seguridad. Se sugiere a las organizaciones que combinen la higiene fundacional de la infraestructura IAM, como PAM e IGA, con la ITDR y la integren en el programa IAM. Es importante dar prioridad a la seguridad de la infraestructura de identidad con herramientas para supervisar las técnicas de ataque a la identidad, proteger los controles de identidad y acceso, detectar cuándo se producen los ataques y permitir una reparación rápida. El marco MITRE ATT&CK también debería utilizarse para correlacionar las técnicas ITDR con los escenarios de ataque para garantizar que se abordan al menos los vectores de ataque conocidos.

Las identidades están cada vez más en el punto de mira de los adversarios y la implementación de ITDR no es sólo una opción, sino una necesidad. Vectra AI está a la vanguardia en el suministro de soluciones ITDR avanzadas que permiten a los equipos de seguridad detectar y responder de forma proactiva a las amenazas contra la identidad. Póngase en contacto con nosotros para saber cómo podemos ayudarle a proteger los activos más importantes de su organización: sus identidades.

Más información sobre Vectra AI ITDR >