La evolución de la seguridad ante la identidad

A principios de este año, Gartner nombró a la seguridad ante la identidad como una de las principales tendencias de gestión de riesgos y seguridad para 2021

Las empresas se han alejado de los enfoques tradicionales de LAN Edge y ahora la identidad se encuentra en el centro de las estrategias de seguridad.

La autenticación multifactor ( MFA ) y el inicio de sesión único ( SSO ) han logrado asegurar aún más el proceso de inicio de sesión, yendo más allá de la combinación tradicional de nombre de usuario y contraseña. Sin embargo, esto ya no es suficiente para proteger contra atacantes sofisticados y capacitados que utilizan credenciales y derechos legítimos para obtener acceso a los recursos y datos que necesitan.

En cambio, las empresas deben adoptar una nueva capa de control, una que se base en las identidades y su acceso frente a una defensa de activos. Los sistemas de protección de identidad como la gestión de acceso de identidad ( IAM ), la gestión de acceso de privilegios ( PAM ) y la administración de gobierno de identidad ( IGA ) se centran en garantizar que las personas adecuadas puedan obtener acceso ininterrumpido a las cosas a las que necesitan acceder. Alternativamente, las soluciones de detección y respuesta de identidad (IDR) se centran en proteger las credenciales, los privilegios y los sistemas que los administran.

Evidencia de debilidad

Las catastróficas consecuencias de no priorizar la seguridad de la identidad son claras. El ataque SolarWinds es un excelente ejemplo de estas consecuencias después de que los productos SolarWinds modificados les dieran a los atacantes una puerta trasera a múltiples redes comerciales.

Estos delincuentes eludieron las defensas perimetrales que tenían esas empresas para violar sus redes, lo que les permitió acceder a archivos de datos con información confidencial. El acceso inadvertido del atacante también les permitió saltar de los sistemas locales a su entorno de nube.

Sin las defensas de IDR, las empresas tendrán dificultades para evitar que los atacantes accedan a objetivos rentables, como Active Directory (AD), y detecten a los atacantes que se hacen pasar por empleados.

Si bien las empresas han dedicado cada vez más recursos a fortalecer sus sistemas de inicio de sesión a través de MFA y SSO, no han prestado mucha atención a la supervisión de sistemas y la identificación de amenazas a estas soluciones. Tampoco tienen las herramientas para ver la deriva de las políticas, donde las políticas se han establecido pero no se siguen correctamente. Ahora, sin embargo, proteger las identidades y las puertas de enlace de sus sistemas debe convertirse en una prioridad.

Mantener una amplia cobertura de seguridad

Los avances tecnológicos recientes han brindado a las empresas una mayor visibilidad de sus sistemas y posibles rutas de ataque que crean riesgo. Ahora las empresas pueden identificar cuando alguien está usando credenciales robadas, ya sea un empleado, un proveedor o un atacante, para navegar por la red con éxito.

Las plataformas de detección de amenazas basadas en tecnologías de engaño y ocultación también se pueden utilizar para ocultar activos reales de la vista de los atacantes e identificar exploraciones de red no autorizadas, robo de credenciales e intentos de acceder o robar datos confidenciales.

La incorporación de tecnología de desvío de direcciones , que proporciona datos falsos, objetos AD y activos de red señuelo, también puede proporcionar valiosa inteligencia de amenazas centrada en la empresa sobre tácticas, técnicas y procedimientos ( TTP ) e indicadores de compromiso ( IoC ). A medida que el trabajo remoto parece estar listo para continuar, estas capacidades para detectar la escalada de privilegios dentro de la red y el movimiento lateral solo crecerán en importancia, al igual que la capacidad de engañar a los atacantes para que revelen rápidamente su presencia y descarrilen su ataque.

La importancia de Active Directory

A menudo visto como una mera "plomería", Active Directory no siempre recibe el enfoque necesario de las empresas con respecto a su seguridad. Sin embargo, cuando más del 90 por ciento de las organizaciones Global Fortune 1000 usan AD para autenticación, administración de identidad y control de acceso, naturalmente necesita priorizar una defensa basada en identidad.

Los atacantes y los equipos rojos ven constantemente a AD como un objetivo fácil. Desafortunadamente, una vez que los delincuentes obtienen acceso a AD, pueden moverse lateralmente a través de la red utilizando credenciales robadas. La explotación del acceso privilegiado es un elemento en el 80% de las violaciones de seguridad conocidas, incluidas las violaciones de SolarWinds y Microsoft. La pérdida del control del administrador de dominio sobre el entorno de AD también se considera una situación de "juego terminado".

Invertir en la seguridad de la identidad es un pilar fundamental de la seguridad en la actualidad. Tener una postura de seguridad que priorice la identidad requerirá que las organizaciones inviertan más en credenciales, AD y defensas de derechos de infraestructura en la nube para obtener una mejor visibilidad. Esto permitirá a las empresas comprender las rutas de ataque basadas en credenciales, ver el uso indebido de credenciales, exposiciones de riesgo y vulnerabilidades.

Fecha actualización el 2021-08-12. Fecha publicación el 2021-08-12. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: helpnetsecurity