Wiz Rechaza la Oferta Multimillonaria de Google Buscara IPO

Perspectivas de Amenazas H2 2024: Informe de Google Cloud Security

Adaptación de Google Cloud por FLUXROOT y PINEAPPLE: Phishing y Malware en Arquitecturas sin Servidor

Impacto Global: Cómo 8.5 Millones de Dispositivos Windows Fueron Afectados por una Actualización Defectuosa y las Soluciones Disponibles

Estrategias Avanzadas del Malware SocGholish: Explotación de la Plataforma BOINC

Descubren Exploits de Correo: 20 Millones de Dominios en Riesgo

Realiza tu evaluación
Realiza tu evaluación
Categoria: Noticias

Protección de Identidades: El Nuevo Pilar en la Lucha contra el Ransomware

  • Keblar

La Era de la Seguridad de Identidades: Un Enfoque Evolutivo en la Ciberseguridad

La Evolución de los Ataques de Ransomware y la Importancia de la Protección de Identidades

En el contexto actual, la seguridad de identidades ha cobrado una relevancia crucial. La explosión de ataques de ransomware ha obligado a los CISOs (Chief Information Security Officers) y a los equipos de seguridad a reconocer que la protección de identidades va a la zaga en comparación con la seguridad de endpoints y redes. Este desfase se debe principalmente a la transformación del movimiento lateral, una táctica de ataque que utiliza credenciales comprometidas para acceder de manera maliciosa. Este tipo de amenaza representa un punto ciego crítico que las soluciones de XDR, redes y SIEM existentes no logran bloquear eficazmente.

En respuesta a esta problemática, ha emergido el concepto de Identity Threat Detection and Response (ITDR), una herramienta diseñada para cerrar esta brecha y ofrecer una protección integral de identidades.

Capacidades Clave de ITDR

Para que una solución ITDR sea realmente eficiente, debe cumplir con ciertos criterios esenciales. A continuación, se detallan las capacidades fundamentales que cualquier solución ITDR debe incluir:

Cobertura para Todos los Usuarios, Recursos y Métodos de Acceso

¿Por qué es importante?

Una protección parcial es equivalente a no tener protección. Si la seguridad de identidad es la prioridad, entonces la cobertura de ITDR debe abarcar todas las cuentas de usuario, recursos tanto on-premise como en la nube, y todos los métodos de acceso.

Preguntas relevantes a hacer:

  • ¿La solución ITDR también cubre identidades no humanas, tales como cuentas de servicio de Active Directory (AD)?
  • ¿Puede la ITDR analizar el rastro completo de autenticación de los usuarios, en recursos on-premise, cargas de trabajo en la nube y aplicaciones SaaS?
  • ¿La ITDR detecta accesos maliciosos a través de herramientas de línea de comandos como PsExec o PowerShell?

Detección en tiempo real (o lo más cercano posible)

¿Por qué es importante?

La velocidad en la detección de amenazas es crucial. En muchos casos, puede ser la diferencia entre identificar y mitigar una amenaza en una etapa temprana o investigar una brecha activa a gran escala. Para lograr esto, la ITDR debe aplicar su análisis en autenticaciones e intentos de acceso tan cerca de su ocurrencia como sea posible.

Preguntas relevantes a hacer:

  • ¿La solución ITDR se integra directamente con los proveedores de identidad on-premise y en la nube para analizar autenticaciones a medida que ocurren?
  • ¿La ITDR consulta al IDP (Identity Provider) para detectar cambios en la configuración de las cuentas (por ejemplo, unidad organizativa, permisos, SPN asociados, etc.)?

Detección de Anomalías Multidimensional

¿Por qué es importante?

Ningún método de detección es inmune a falsos positivos. La mejor manera de aumentar la precisión es buscar múltiples tipos de anomalías diferentes. Aunque cada uno por sí mismo puede ocurrir durante la actividad legítima del usuario, la ocurrencia mutua de varios aumentaría la probabilidad de que se haya detectado un ataque real.

Preguntas relevantes a hacer:

  • ¿La solución ITDR puede detectar anomalías en el protocolo de autenticación (por ejemplo, uso de hash, colocación de tickets, criptografía más débil, etc.)?
  • ¿La solución ITDR perfila el comportamiento estándar de los usuarios para detectar accesos a recursos que nunca se habían accedido antes?
  • ¿La solución ITDR analiza patrones de acceso que están asociados con el movimiento lateral (por ejemplo, acceder a múltiples destinos en un corto periodo de tiempo, mover de la máquina A a la B y posteriormente de la B a la C, etc.)?

Integración con MFA y Bloqueo de Acceso

¿Por qué es importante?

La detección precisa de amenazas es solo el punto de inicio, no el final. La capacidad de bloquear automáticamente los intentos de acceso maliciosos es fundamental para una protección eficaz. Aunque la ITDR en sí no puede hacerlo, debe poder comunicarse con otros controles de seguridad de identidad para lograr este objetivo.

Preguntas relevantes a hacer:

  • ¿La ITDR puede seguir la detección de acceso sospechoso mediante la activación de una verificación adicional de una solución MFA?
  • ¿La ITDR puede seguir la detección de acceso sospechoso instruyendo al proveedor de identidad que bloquee el acceso por completo?

Integración con XDR, SIEM y SOAR

¿Por qué es importante?

La protección contra amenazas se logra mediante la operación conjunta de múltiples productos. Estos productos pueden especializarse en un cierto aspecto de la actividad maliciosa, agregar señales a una vista contextual cohesiva, u orquestar un libro de jugadas de respuesta. Además de las capacidades mencionadas anteriormente, la ITDR debe integrarse de manera fluida con la pila de seguridad ya existente, preferiblemente de una manera lo más automatizada posible.

Preguntas relevantes a hacer:

  • ¿La solución ITDR puede enviar señales de riesgo de usuario a la XDR e importar señales de riesgo en procesos y máquinas?
  • ¿La ITDR comparte sus hallazgos de seguridad con el SIEM en uso?
  • ¿La detección de acceso malicioso por parte de la ITDR puede activar un libro de jugadas en SOAR para el usuario y los recursos en los que ha iniciado sesión?

Para aquellos interesados en cómo una solución ITDR puede asegurar la superficie de ataque de identidad en entornos on-premise y en la nube, pueden solicitar una demostración para ver cómo se pueden abordar necesidades específicas.

Fuente: https://thehackernews.com/2024/07/true-protection-or-false-promise.html

Más de la categoria
Noticias
Wiz Rechaza la Oferta Multimillonaria de Google Buscara IPO
Noticias
Perspectivas de Amenazas H2 2024: Informe de Google Cloud Security
Noticias
Adaptación de Google Cloud por FLUXROOT y PINEAPPLE: Phishing y Malware en Arquitecturas sin Servidor
Noticias
Impacto Global: Cómo 8.5 Millones de Dispositivos Windows Fueron Afectados por una Actualización Defectuosa y las Soluciones Disponibles

Enlaces rapidos

Comparte nuestro blog e informa a los que más quieres sobre ciberseguridad
© 2024 Keblar seguros cyber Todos Los Derechos Reservados
Diseñado por Ailynmss
Asegura tu negocio con nuestra póliza contra ciberataques
Cotizar ahora