La Detección y Respuesta de Amenazas de Identidad (ITDR, por sus siglas en inglés) ha surgido como un componente crítico para detectar y responder de manera efectiva a ataques basados en identidades. Los actores de amenazas han demostrado su capacidad para comprometer la infraestructura de identidad y moverse lateralmente hacia entornos de IaaS, SaaS, PaaS y CI/CD. Las soluciones de ITDR ayudan a las organizaciones a detectar mejor actividades sospechosas o maliciosas en su entorno. Estas soluciones ofrecen a los equipos de seguridad la capacidad de responder a la pregunta «¿Qué está sucediendo en este momento en mi entorno? ¿Qué están haciendo mis identidades en mis entornos?»
Identidades Humanas y No Humanas
Como se describe en la Guía de Soluciones de ITDR, las soluciones integrales de ITDR cubren tanto las identidades humanas como las no humanas. Las identidades humanas incluyen la fuerza laboral (empleados), los invitados (contratistas) y los proveedores. Las identidades no humanas incluyen tokens, claves, cuentas de servicio y bots. Las soluciones de ITDR de múltiples entornos pueden detectar y responder a todos los riesgos de entidades de identidad, desde el IdP hasta las capas de IaaS y SaaS, en lugar de asegurar identidades en un nivel fragmentado específico de la capa.
Capacidades Principales de ITDR
Las capacidades esenciales de una solución de ITDR incluyen:
– Desarrollo de un perfil de identidad universal para todas las entidades, incluidas las identidades humanas y no humanas, la actividad en todas las capas de servicios en la nube y las aplicaciones y servicios locales.
– Combinación de análisis estático, gestión de postura y configuración de esas identidades con la actividad en tiempo de ejecución de esas identidades en el entorno.
– Monitoreo y rastreo de accesos directos e indirectos, así como supervisión de la actividad de todas las identidades en el entorno.
– Orquestación de la detección y el seguimiento de identidades en múltiples entornos que abarcan proveedores de identidad, IaaS, PaaS, SaaS y aplicaciones de CI/CD para seguir la identidad dondequiera que vaya en el entorno.
– Detección y respuesta de alta fidelidad en múltiples entornos que permiten a las organizaciones tomar medidas sobre las amenazas de identidad a medida que se manifiestan en toda la superficie de ataque, en lugar de reaccionar a alertas de alto volumen basadas en eventos individuales.
Casos de Uso de Amenazas de Identidad
Para salvaguardarse de manera efectiva contra los ataques a la identidad, las organizaciones deben elegir una solución de ITDR con capacidades avanzadas para detectar y mitigar los ataques. Estas capacidades deben abordar una variedad de casos de uso tanto para identidades humanas como no humanas, que incluyen, entre otros:
– Detección de toma de control de cuentas: Detectar cualquiera de las numerosas variantes que indiquen que una identidad ha sido comprometida.
– Detección de compromiso de credenciales: Identificar y alertar sobre el uso de credenciales robadas o comprometidas dentro del entorno.
– Detección de escalada de privilegios: Detectar intentos no autorizados de escalar privilegios dentro de sistemas y aplicaciones.
– Detección de comportamiento anómalo: Monitorear desviaciones del comportamiento normal del usuario que puedan indicar actividad maliciosa.
– Detección de amenazas internas: Identificar y responder a acciones maliciosas o negligentes por parte de usuarios internos.
Preguntas que Debería Responder una Solución de ITDR Efectiva
1. INVENTARIO DE IDENTIDAD Y GESTIÓN DE ACCESO
– ¿Qué identidades de entidades están presentes en nuestro entorno?
– ¿Qué roles y permisos tienen estas identidades?
– ¿Qué rol/grupo le dio a un usuario en particular acceso a un recurso? ¿Cuál es el alcance del permiso para ese acceso?
2. EVALUACIÓN DE RIESGOS Y DETECCIÓN DE ANOMALÍAS
– ¿Cuáles son las 10 identidades de mayor riesgo en mis capas de servicios en la nube? ¿Cuál sería el impacto si una de esas identidades fuera comprometida?
– ¿Hay anomalías en el comportamiento de las identidades?
– ¿Se han comprometido credenciales?
3. PATRONES DE AUTENTICACIÓN Y ACCESO
– ¿Cómo se están autenticando y accediendo las identidades?
– ¿Cuáles son las fuentes y ubicaciones de intentos de inicio de sesión?
– ¿Cómo se está accediendo a mi entorno actual por diferentes tipos de entidades (humanas y no humanas)?
– ¿En qué medida se está aplicando la autenticación multifactor en las capas de aplicaciones y servicios en la nube de mi entorno?
4. MONITOREO DE ACTIVIDAD Y SEGUIMIENTO DE CAMBIOS
– ¿Qué cambios se acaban de realizar en mi entorno, quién es responsable de esos cambios y se hicieron cambios similares en otras capas de servicios en la nube?
– ¿Qué identidades han accedido a datos sensibles o sistemas críticos?
5. CORRELACIÓN DE INCIDENTES Y RESPUESTA
– ¿Cómo se correlacionan los incidentes relacionados con la identidad en diferentes entornos?
– ¿Qué acciones se deben tomar para mitigar las amenazas identificadas?
Vía The Hacker News
