La detección y respuesta a amenazas de identidad (Identity Threat Detection and Response – ITDR) se ha convertido en un componente crítico para detectar y responder
eficazmente a los ataques basados en la identidad.
Los actores de amenazas han demostrado su capacidad para comprometer la
infraestructura de identidad y moverse lateralmente hacia entornos IaaS, Saas,
PaaS y CI/CD.
Las soluciones de detección y respuesta a amenazas de identidad ayudan a
las organizaciones a detectar mejor actividades sospechosas o maliciosas en
su entorno.
Las soluciones ITDR brindan la capacidad de ayudar a responder la pregunta
«¿Qué está sucediendo ahora mismo en mi entorno? ¿Qué están haciendo mis
identidades en mis entornos?».
Identidades humanas y no humanas
Como se describe en la
Guía de soluciones ITDR de la empresa Permiso, las soluciones ITDR integrales cubren identidades tanto humanas como no
humanas.
-
Las identidades humanas involucran a la fuerza laboral (empleados),
invitados (contratistas) y proveedores. -
Las identidades no humanas incluyen tokens, claves, cuentas de servicio y
bots.
Las soluciones ITDR multientorno pueden detectar y responder a todos los
riesgos de las entidades de identidad, por ejemplo, desde el IdP hasta las
capas IaaS y SaaS, en lugar de proteger las identidades en un nivel
fragmentado específico de la capa.
Capacidades principales del ITDR
Las capacidades esenciales de una solución ITDR incluyen:
-
Desarrollar un perfil de identidad universal para todas las entidades,
incluidas las identidades humanas y no humanas, la actividad en las capas de
servicios en la nube y las aplicaciones y servicios locales. -
Emparejar el análisis estático, la gestión de posturas y la configuración de
esas identidades con la actividad de tiempo de ejecución de esas identidades
en el entorno. -
Monitorear y rastrear rutas de acceso directo e indirecto y monitorear la
actividad de todas las identidades en todo el entorno. -
Orquestar detecciones y seguimiento de identidades en múltiples entornos que
abarcan proveedores de identidades, aplicaciones IaaS, PaaS, SaaS y CI/CD
para seguir la identidad donde quiera que vayan en el entorno. -
Detección y respuesta de alta fidelidad en múltiples entornos que permite a
las organizaciones tomar medidas sobre las amenazas a la identidad a medida
que se manifiestan en toda la superficie de ataque, en lugar de reaccionar a
alertas atómicas de gran volumen basadas en eventos únicos.
Casos de uso de amenazas a la identidad
Para protegerse eficazmente contra ataques de identidad, las organizaciones
deben elegir una solución ITDR con capacidades avanzadas para detectar y
mitigar ataques. Estas capacidades deben abordar una variedad de casos de uso
para identidades humanas y no humanas, que incluyen, entre otros:
-
Detección de apropiación de cuentas: detectar cualquiera de las numerosas
variantes que indican que una identidad ha sido comprometida. -
Detección de credenciales comprometidas: identificar y alertar sobre el uso
de credenciales robadas o comprometidas dentro del entorno. -
Detección de escalada de privilegios: detectar intentos no autorizados de
escalamiento de privilegios dentro de sistemas y aplicaciones. -
Detección de comportamiento anómalo: supervisar las desviaciones del
comportamiento normal del usuario que puedan indicar actividad maliciosa. -
Detección de amenazas internas: identificar y responder a acciones
maliciosas o negligentes por parte de usuarios internos.
1. INVENTARIO DE IDENTIDAD Y GESTIÓN DE ACCESO
-
¿Qué identidades de entidades están presentes en nuestro entorno?
Inventario
completo de identidades humanas y no humanas en todos los entornos. -
¿Qué roles y permisos tienen estas identidades?
Detalles sobre roles,
grupos y permisos específicos que cada identidad tiene en diferentes
entornos locales y de nube. -
¿Qué rol/grupo le dio a un usuario particular acceso a un recurso? ¿Cuál es
el alcance del permiso para ese acceso?
2. EVALUACIÓN DE RIESGOS Y DETECCIÓN DE ANOMALÍAS
-
¿Cuáles son las 10 identidades más riesgosas en mi capa de servicios en la
nube? ¿Cuál sería el radio de la explosión si una de esas identidades se
viera comprometida?Identificación de las identidades de mayor riesgo y
evaluación del impacto potencial de su compromiso. -
¿Hay alguna anomalía en el comportamiento de identidad?
Detección de
desviaciones de los patrones de comportamiento normales para cada identidad,
destacando posibles actividades maliciosas. -
¿Se ha comprometido alguna credencial?
Alertas sobre el uso de
credenciales robadas o comprometidas dentro del entorno.
3. PATRONES DE AUTENTICACIÓN Y ACCESO
-
¿Cómo se autentican y se accede a las identidades?
Seguimiento de
métodos de autenticación y rutas de acceso para todas las identidades,
incluidos puntos de acceso federados y no federados. -
¿Cuáles son las fuentes y ubicaciones de los intentos de inicio de
sesión?
Registros detallados de intentos de inicio de sesión, incluidas
direcciones IP, ubicaciones geográficas e información del dispositivo. -
¿Cómo acceden a mi entorno actual los diferentes tipos de entidades (humanas
y no humanas)?
Monitorear patrones de acceso para diferentes tipos de
entidades en el entorno. -
¿Con qué amplitud se aplica MFA en todas las capas de aplicaciones y
servicios en la nube de mi entorno?
Evaluación de la implementación y
cumplimiento de la autenticación multifactor (MFA) en todo el entorno.
4. SEGUIMIENTO DE ACTIVIDADES Y SEGUIMIENTO DE CAMBIOS
-
¿Qué cambios se acaban de realizar en mi entorno, quién es responsable de
esos cambios y se realizaron cambios similares en otras capas de servicios
en la nube?
Seguimiento e informes de cambios recientes, usuarios
responsables y coherencia entre capas. -
¿Qué identidades han accedido a datos sensibles o sistemas críticos?
Monitorear
e informar sobre el acceso de identidad a repositorios de datos
confidenciales, sistemas críticos y aplicaciones de alto riesgo.
5. CORRELACIÓN Y RESPUESTA AL INCIDENTE
-
¿Cómo se correlacionan los incidentes relacionados con la identidad en
diferentes entornos?
Correlación de actividades e incidentes de
identidad en IdP, IaaS, PaaS, SaaS, CI/CD y entornos locales para
proporcionar una vista unificada. -
¿Qué acciones se deben tomar para mitigar las amenazas identificadas?
Recomendaciones
procesables y opciones de respuesta automatizadas para mitigar las amenazas
de identidad detectadas y prevenir incidentes futuros.
Fuente: THN