Los ataques basados en la identidad son una de las mayores amenazas para la seguridad de TI en la actualidad, ya que las redes corporativas híbridas modernas ofrecen a los ciberdelincuentes numerosos puntos de entrada. Un comentario de Martin Kulendik, Director Regional de Ventas DACH en Silverfort.
Por ejemplo, los piratas informáticos usan cuentas secuestradas para obtener acceso inicial a través de aplicaciones SaaS e IaaS en la nube pública, o penetran en el perímetro corporativo a través de conexiones VPN o Protocolo de escritorio remoto (RDP) comprometidas. Luego, los piratas informáticos pueden continuar sus ataques de una máquina a otra utilizando credenciales comprometidas. El movimiento lateral de este tipo ocurre tanto en amenazas persistentes avanzadas (APT) como en la distribución automatizada de malware o ransomware.
Debilidades en las soluciones de seguridad de identidad
Las altas tasas de éxito de estos ataques, ya sea en forma de apropiación de cuentas, acceso remoto malicioso o movimiento lateral, revelan las debilidades inherentes que prevalecen en las soluciones y prácticas de seguridad de identidad actuales. Este artículo explica las razones de esto y presenta un nuevo concepto de seguridad para la protección holística de las identidades, con el que las empresas pueden cerrar las brechas existentes en la seguridad de su identidad y recuperar la ventaja frente a los ataques basados en la identidad.
Brechas críticas en la seguridad de identidad tradicional
La seguridad de la identidad empresarial actual tiene deficiencias tanto para detectar si la autenticación del usuario representa un riesgo como para prevenir intentos de autenticación maliciosos. La brecha de detección se deriva del hecho de que las organizaciones ahora utilizan múltiples soluciones de administración de acceso e identidad (IAM) en la red híbrida. Una empresa típica implementa al menos un directorio local como Active Directory, un proveedor de identidad en la nube (IdP) para aplicaciones web modernas, una VPN para acceso remoto a la red y una solución de administración de acceso privilegiado (PAM) para administrar el acceso privilegiado.
Sin embargo, lo que suele faltar es una solución única y unificada que supervise y analice todas las actividades de autenticación de los usuarios en todos los recursos y entornos. Esto limita gravemente la capacidad de comprender el contexto completo de cada intento de acceso y detectar anomalías que indiquen un comportamiento de riesgo o un uso malintencionado de credenciales comprometidas.
Los controles de seguridad de IAM como MFA no son suficientes
La brecha de prevención se debe al hecho de que los controles de seguridad esenciales de IAM, como la autenticación multifactor (MFA), la autenticación basada en riesgos (RBA) y la aplicación de acceso condicional, no cubren todos los recursos de la empresa, lo que deja brechas de seguridad críticas. Como resultado, muchos activos y recursos permanecen desprotegidos: incluidas aplicaciones propietarias y propias, infraestructura de TI, bases de datos, recursos compartidos de archivos, herramientas de línea de comandos, sistemas industriales y muchos otros activos confidenciales que pueden convertirse en objetivos principales para los atacantes. Estos activos aún dependen de mecanismos basados en contraseñas y protocolos heredados que no pueden protegerse con las soluciones actuales basadas en agentes o proxy. Esto se debe a que la mayoría de las soluciones de seguridad de IAM no pueden integrarse con ellas o no son compatibles con sus protocolos.
Cuando considera todos los diferentes activos en una red empresarial híbrida y todas las posibles rutas de acceso a cada uno, queda claro que proteger solo algunos de estos activos no es suficiente. Porque todo sistema desprotegido deja una posible puerta de entrada para los atacantes. Sin embargo, proteger todos los sistemas empresariales individualmente mediante la implementación de agentes de software, servidores proxy y kits de desarrollo de software (SDK) ya no es realista. Como resultado, las soluciones de seguridad de IAM actuales no brindan una manera efectiva de prevenir de manera efectiva el uso de credenciales comprometidas para el acceso malicioso y el movimiento lateral.
Protección de identidad unificada
Protección de identidad uniforme para cerrar las brechas de seguridad
Para abordar los vectores de amenazas basados en la identidad y cerrar las brechas de detección y prevención mencionadas anteriormente, el enfoque de seguridad para una protección holística de las identidades (Protección de Identidad Unificada) debe basarse en los siguientes tres pilares básicos:
1. Monitoreo continuo y unificado de todas las solicitudes de acceso
Se requiere un monitoreo continuo y holístico de todas las solicitudes de acceso en todos los protocolos de autenticación (tanto acceso de usuario a máquina como de máquina a máquina) y en todos los recursos y entornos para una visibilidad completa y un análisis de riesgo preciso. Esto incluye cualquier intento de acceso, ya sea a terminales, cargas de trabajo en la nube, aplicaciones SaaS, servidores de archivos locales, aplicaciones comerciales heredadas o cualquier otro recurso.
Todos los datos de monitoreo deben agregarse en un repositorio unificado para permitir un análisis posterior. Dicho repositorio puede ayudar a las organizaciones a superar el problema inherente de los silos de IAM y permitir la detección y el análisis de amenazas.
2. Análisis de riesgos en tiempo real para cada intento de acceso
Para detectar y responder eficazmente a las amenazas, cada solicitud de acceso debe analizarse para comprender su contexto, en tiempo real. Esto requiere la capacidad de analizar todo el comportamiento del usuario: es decir, todas las autenticaciones que el usuario realiza en una red, nube o recurso local, no solo el primer inicio de sesión en la red, sino todos los registros posteriores dentro de estos entornos. Esto permite un análisis de riesgos en tiempo real altamente preciso que proporciona el contexto necesario para determinar si las credenciales proporcionadas podrían verse comprometidas.
3. Aplique políticas de autenticación y acceso adaptables en todos los intentos de acceso
Para hacer cumplir la protección en tiempo real, los controles de seguridad como MFA, la autenticación basada en riesgos y el acceso condicional deben extenderse a todos los activos corporativos en todos los entornos. Como ya se explicó, no es práctico implementar medidas de protección sistema por sistema. Esto se debe, por un lado, al carácter dinámico de los entornos modernos, que hace de esta una tarea interminable; segundo, el hecho de que muchos activos simplemente no están cubiertos por las soluciones de seguridad IAM existentes.
Para lograr una protección verdaderamente completa y unificada, por lo tanto, se requiere una tecnología que aplique estos controles sin necesidad de una integración directa con cada uno de los diversos dispositivos, servidores y aplicaciones, y sin cambios masivos en la arquitectura.
Integración de Unified Identity Protection en soluciones IAM existentes
Una solución de protección de identidad unificada consolida los controles de seguridad de IAM y los extiende a todos los usuarios, activos y entornos de la organización. A través de una arquitectura novedosa sin agente ni proxy, esta tecnología puede monitorear todas las solicitudes de acceso a cuentas de servicio y usuarios en todos los activos y entornos, y extender análisis de alta precisión basados en riesgos, acceso condicional y políticas de autenticación multifactor a todos los recursos en el híbrido. Cubrir el entorno corporativo. Las medidas de protección también pueden extenderse a bienes que antes no podían protegerse. Estos incluyen, por ejemplo, aplicaciones propias y heredadas, infraestructura crítica, sistemas de archivos, bases de datos y herramientas de acceso administrativo como PsExec, que actualmente permiten a los atacantes eludir la MFA basada en agentes.
Es importante tener claro que Unified Identity Protection no reemplaza las soluciones de IAM existentes. En cambio, esta tecnología consolida sus capacidades de seguridad y extiende su cobertura a todos los activos, incluidos aquellos que no son compatibles de forma nativa con las soluciones de IAM. Esto garantiza que las organizaciones puedan gestionar y proteger todos sus activos en todos los entornos con políticas y visibilidad coherentes para contrarrestar eficazmente los múltiples vectores de ataque basados en la identidad.
Más en Silverfort.com
Sobre Silverfort
Silverfort proporciona la primera plataforma de protección de identidad unificada que consolida los controles de seguridad de IAM en las redes empresariales y los entornos de nube para mitigar los ataques basados en la identidad. Utilizando tecnología innovadora sin agente y sin proxy, Silverfort se integra a la perfección con todas las soluciones de IAM, unificando su análisis de riesgo y controles de seguridad y extendiendo su cobertura a activos que anteriormente no podían protegerse, como aplicaciones propias y heredadas, infraestructura de TI, sistemas de archivos, línea de comando. herramientas, acceso de máquina a máquina y más. La empresa ha sido reconocida como "Cool Vendor" por Gartner, "FireStarter" por 451 Research y "Upstart 100" por CNBC.