El 90% de los ciberataques comienzan con phishing, según la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA). Los ataques que utilizan credenciales robadas, cuentas sobreprovisionadas y amenazas internas también representan una amenaza, lo que destaca la importancia de la seguridad de la identidad como un vector de ataque principal.
Además, los actores de amenazas ahora están secuestrando identidades no humanas, como cuentas de servicio y autorizaciones OAuth, para infiltrarse en aplicaciones de SaaS.
Un sistema robusto de Detección y Respuesta a Amenazas de Identidad (ITDR) es crucial para prevenir brechas masivas. Por ejemplo, el incidente reciente con Snowflake resalta la importancia de tener un sistema de ITDR. Los actores de amenazas accedieron a la cuenta debido a la autenticación de un solo factor y, al carecer la empresa de capacidades significativas de detección de amenazas, los atacantes lograron extraer más de 560 millones de registros de clientes.
ITDR monitorea eventos en la pila de SaaS y utiliza información de inicio de sesión, datos del dispositivo y comportamiento del usuario para detectar anomalías de comportamiento. Estas anomalías se consideran indicadores de compromiso (IOC) y, al alcanzar un umbral predefinido, activan una alerta.
Por ejemplo, un administrador que descarga una cantidad inusual de datos sería considerado un IOC. Del mismo modo, un inicio de sesión desde una ASN sospechosa después de intentos de inicio de sesión por fuerza bruta clasificaría el inicio de sesión como una amenaza, lo que activaría una respuesta ante el incidente.
Una reciente brecha detectada por Adaptive Shield demostró la efectividad de ITDR al detectar y corregir acciones anómalas realizadas por actores de amenazas.
Para reducir los riesgos basados en la identidad, las organizaciones deben implementar medidas como autenticación multifactor (MFA), inicio de sesión único (SSO), recorte de permisos, principio de menor privilegio (PoLP) y control de acceso basado en roles (RBAC).
Es crucial clasificar las cuentas en categorías de riesgo, anular el permiso de ex empleados y desactivar cuentas inactivas, monitorear a usuarios externos y reducir los permisos de usuario. Además, es importante crear controles para cuentas de privilegio, ya que estas representan un alto riesgo en caso de compromiso.
La detección de amenazas de identidad debe ser una prioridad para las organizaciones, ya que cada capa de seguridad alrededor de la identidad dificulta que los actores de amenazas obtengan acceso.
Las organizaciones deben priorizar su estructura de identidad implementando sistemas de ITDR sólidos como parte integral de su seguridad, ya que estos sistemas detectan amenazas activas y toman medidas automatizadas para evitar daños.
Descubre más sobre cómo detectar amenazas en tu pila de SaaS.
Vía The Hacker News
