Basta un error, un dispositivo sin asegurar o una contraseña débil para abrir la puerta a los atacantes y que puedan penetrar a la red de una compañía. Una vez dentro, pueden moverse lateralmente con gran facilidad, obtener privilegios, cifrar y extraer datos sensibles de las organizaciones.

El factor humano sigue siendo el eslabón más débil de la cadena de seguridad. De acuerdo con el tradicional reporte de Verizon, éste representó en 2021 el 85% de las brechas; de esos incidentes, el robo y mal uso de datos de identidades equivale al 61%.

Es claro que los atacantes buscan constantemente acceder a credenciales válidas y utilizarlas para transitar por las redes sin ser detectados. Al poner un pie dentro de la organización mediante un usuario legítimo ya comprometido, ponen en práctica tácticas de ataque que incluyen la reutilización de credenciales robadas, la explotación de vulnerabilidades de día cero e incluso ya conocidas desde hace tiempo, malas prácticas de ciber higiene para implementar el ransomware y seguir aprovechándose de empleados confiados, de ahí que proteger las credenciales y los repositorios donde éstas residen, es una prioridad para los profesionales de la seguridad (CISOs).

Detectar estas y otras amenazas oportunamente es crítico. No obstante, descubrir aquellas dirigidas a las identidades requiere un enfoque distinto que no siempre se encuentra en las soluciones de defensa tradicionales. En esta categoría se incluyen, por ejemplo, soluciones de Identity and Access Management (IAM), Privileged Access Management (PAM) y Identity Governance and Administration (IGA).

Con estas herramientas se asegura que los usuarios correctos tengan el acceso que requieren y que se utilice la verificación continua y la seguridad de confianza cero. No obstante, la gestión de identidades y de acceso es el punto de partida para la seguridad en este ámbito, la cual debe ampliarse más allá de la autenticación y el control de acceso a otros componentes como las credenciales, los privilegios, los derechos y los sistemas que los gestionan.

Cuando se habla de identidades, es inevitable no hablar del Active Directory (AD), pues es ahí donde las identidades y sus principales componentes radican, por lo que es el blanco preferido de los atacantes y, por tanto, encabeza la estrategia de seguridad empresarial. La protección del AD puede llegar a complicarse a medida que se acelera la migración a la nube, pues es necesario añadir una capa de protección adicional.

La respuesta efectiva

Una nueva generación de soluciones de seguridad de identidades brinda visibilidad de las credenciales que están almacenadas en los endpoints, de los errores de configuración del AD, y del crecimiento de los derechos en la nube. Destacan especialmente las soluciones enfocadas a la detección de identidades y respuesta (IDR), que van más allá de la gestión de acceso a identidades tradicional, y opera en combinación con la tecnología ya conocida (EDR, añadir visibilidad para arquitecturas XDR, NDR y otras.

Los usuarios correctos que tienen acceso a la red requieren y que se utilice la verificación continua y la seguridad de confianza cero

Esta conjunción plantea un nuevo enfoque de protección de identidades y robustece considerablemente las estrategias de ciberseguridad. Por un lado, EDR se encarga de detectar ataques a los endpoints y reúne datos para su análisis, en tanto las soluciones de IDR identifican los ataques que apuntan a las identidades y evita que el atacante salga del punto final comprometido. Cuando IDR advierte un ataque, agrega una capa de defensa mediante el uso de datos falsos que dirigen al atacante a un señuelo y aísla automáticamente el sistema comprometido. EDR e IDR se acoplan perfectamente para frustrar los intentos de un atacante.

Por su parte, la capa de Extended Detection and Response (XDR) mejora la confiabilidad y eficiencia de las operaciones de seguridad con capacidades mejoradas de detección y respuesta incluyendo mecanismos de ingesta de otras fuentes de datos. Reúne varios productos de seguridad en una sola plataforma de detección y respuesta a incidentes de seguridad capaz de identificar actividad sospechosa en casi tiempo real. Asimismo, ofrece la capacidad de unificar múltiples flujos de telemetría y presenta opciones para numerosas formas de detección y respuesta con la capacidad de entender fácilmente todo el flujo de la intrusión.

Las organizaciones utilizan Network Detection and Response (NDR) mediante herramientas de análisis de tráfico de la red haciendo uso de puntos de captura de información, de metadatos o de flujos a este nivel para afrontar las amenazas que viajan de un punto a otro. Actualmente, el alto grado de sofisticación de la analítica de comportamientos, el machine learning y la inteligencia artificial (IA) en la nube, las redes virtuales y locales confirman la columna vertebral de las soluciones NDR. Al aprovechar estas tecnologías, las empresas pueden mejorar las capacidades de detección, determinar la confianza y los niveles de riesgo y automatizar las tareas de los analistas para categorizar las amenazas de acuerdo a peligrosidad y brindar una respuesta rápida.

El nuevo enfoque

A juzgar por lo que sucede en el panorama de la seguridad, es evidente que los ataques dirigidos a las identidades continuarán aumentando. Por ello las empresas necesitan la capacidad de detectar cuándo los atacantes roban las identidades empresariales, las explotan y hacen mal uso de ellas. Y esta necesidad se eleva a medida que las organizaciones aceleran la adopción de las nubes públicas, y las identidades humanas y no humanas siguen creciendo exponencialmente.

Dada la tendencia de los criminales informáticos de utilizar las credenciales para lanzar ataques dirigidos a fin de penetrar a las redes y moverse lateralmente por ellas, adoptar un nuevo enfoque para asegurar las identidades, particularmente en el AD, ayudará a optimizar la protección en el perímetro y ampliarla a la nube, así como reforzar la visibilidad, la detección y la respuesta.

El Vicepresidente de Investigación de Gartner, Peter Firstbrook, sostiene que los ciber actores patrocinados por el estado, continúan atacando la infraestructura de las identidades y los grupos de ransomware no se quedarán atrás. La “Detección y respuesta de amenazas a las identidades” es una capacidad crítica de cualquier solución que se auto denomine XDR.