¿Qué es la detección y respuesta a amenazas de identidad (ITDR)?

Las identidades de los usuarios son una parte importante de la superficie de ataque en la actualidad, ya que los delincuentes cibernéticos prefieren cada vez más iniciar sesión en lugar de hackear. El Informe sobre el Índice de Inteligencia de Amenazas IBM® X-Force señala que los ataques basados en la identidad representan el 30 % del total de intrusiones. Los actores de amenazas utilizan ataques de phishing y malware de robo de información para recopilar credenciales, que luego utilizan para apoderarse de cuentas válidas.

Los sistemas ITDR pueden ayudar a mitigar estos ciberataques basados en la identidad al monitorear la actividad del usuario y los sistemas de identidad en toda la red empresarial. Las herramientas de ITDR pueden detectar ataques de fuerza bruta, relleno de credenciales, anomalías de inicio de sesión y otras amenazas cibernéticas, y pueden responder automáticamente para evitar que los atacantes accedan a datos y sistemas confidenciales. 

Un sistema ITDR monitorea continuamente una red empresarial para detectar actividad anómala o sospechosa relacionada con las identidades de los usuarios. Cuando una solución ITDR detecta un comportamiento potencialmente malicioso, alerta al equipo de seguridad y activa una respuesta automatizada, como el bloqueo inmediato del acceso de la cuenta a datos confidenciales.

Un sistema ITDR funciona combinando múltiples funciones en una solución integral. Las funciones principales de ITDR incluyen:

• Recopilación de datos y modelado de actividades
• Supervisión continua y detección de anomalías
• Respuesta y corrección de incidentes

Para reconocer actividades sospechosas, un sistema ITDR primero necesita saber cómo es la actividad normal y autorizada.

Los ITDR recopilan información de fuentes tales como:

• Políticas de acceso de usuarios que detallan los niveles de acceso para diferentes tipos de usuarios y datos.
• Registros de comportamiento del usuario, como las horas normales de inicio de sesión, las ubicaciones y los dispositivos empleados.
• Fuentes de inteligencia de amenazas que detallan las técnicas de ataque actuales.

El ITDR utiliza analytics y mapeo de relaciones para procesar todos estos datos y crear un modelo básico de comportamiento normal para los usuarios, sus cuentas y los sistemas a los que acceden. 

Un sistema ITDR monitorea la actividad de identidad y la infraestructura en toda la red para detectar amenazas, exposiciones y vulnerabilidades. Los ITDR rastrean inicios de sesión, autenticaciones, proveedores de identidad (IdP), solicitudes de acceso y directorios como Active Directory, comparándolos con el modelo de referencia. Las herramientas de ITDR marcan las desviaciones significativas de la línea de base como amenazas potenciales.

Las desviaciones pueden incluir actividades como intentos de inicio de sesión desde ubicaciones inusuales, movimiento lateral de un usuario a través de conjuntos de datos no relacionados o solicitudes inusuales de escalada de privilegios.

Algunos sistemas ITDR emplean machine learning (ML) para analizar patrones históricos de amenazas (registros de empresas, fuentes de inteligencia de amenazas y otras fuentes) e identificar diferentes tipos de ataques. De esa manera, el ITDR puede detectar más fácilmente nuevos riesgos de identidad que antes no detectó directamente.  

Cuando un sistema ITDR detecta una posible intrusión, señala la actividad al centro de operaciones de seguridad (SOC) y activa una respuesta inmediata a la anomalía. Las capacidades de respuesta pueden incluir el aislamiento del sistema que se está atacando, la desactivación de las cuentas comprometidas, la solicitud de autenticación de usuario adicional y otros medios para detener actividades no autorizadas o sospechosas. 

Los ataques basados en la identidad son ciberataques que se aprovechan de las identidades de los usuarios para obtener acceso no autorizado a una red. Los ataques basados en la identidad suelen consistir en apoderar de una cuenta legítima y abusar de sus privilegios para robar datos, plantar ransomware o causar otros daños.

Estos son algunos ejemplos de ataques comunes basados en la identidad:

• Ataque de fuerza bruta
• escalada de privilegios
• Movimiento lateral
• Phishing 

En un ataque de fuerza bruta, los hackers intentan obtener acceso a una cuenta a través de prueba y error, intentando varias credenciales de inicio de sesión hasta que encuentran la que funciona.

La escalada de privilegios es una técnica de ciberataque en la que un actor de amenazas altera o eleva sus licencias en un sistema, por ejemplo, pasando de una cuenta de usuario con menores privilegios a una cuenta de administrador de nivel superior.

El movimiento lateral es una táctica que emplean los delincuentes cibernéticos para avanzar más profundamente en la red de una organización luego de obtener acceso no autorizado. En términos generales, los ataques de movimiento lateral tienen dos partes: una brecha inicial seguida de un movimiento interno.

El phishing es un tipo de ingeniería social que utiliza correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para engañar a las personas para que compartan datos confidenciales o descarguen malware.

Los hackers pueden usar el phishing para tomar el control de las cuentas de usuario de diferentes maneras. Podrían engañar a un usuario para que renuncie a sus credenciales haciéndose pasar por una marca de confianza y dirigiéndolo a un sitio web falso. O pueden usar mensajes de phishing para propagar malware infostealer que registra en secreto la contraseña del usuario.

Los riesgos y amenazas de identidad no siempre se originan en actores maliciosos. Los errores de configuración, los simples descuidos, los errores humanos y los usuarios autorizados que hacen mal uso de sus permisos pueden comprometer la seguridad de la identidad. Los riesgos incluyen:

• Contraseñas débiles que se puede descifrar con poco esfuerzo. Algunas herramientas ITDR pueden analizar la fuerza de las contraseñas y detectar las débiles.
  
  
• 
  
  Amenazas internas en las que los usuarios válidos hacen un mal uso intencional o accidental de su acceso legítimo para fines no autorizados.
• Protecciones de cuenta insuficientes, como autenticación multifactor (MFA) faltante o mal configurada .
  
  
• Protocolos de autenticación riesgosos, como las conexiones no cifradas del protocolo de transferencia de hipertexto (HTTP) o el protocolo ligero de acceso a directorios  (LDAP).

A medida que los ataques basados en identidad se vuelven más comunes y los sistemas de identidad se vuelven más complejos, las herramientas de ITDR pueden ayudar a las organizaciones a mejorar su postura de seguridad y obtener más control sobre la infraestructura de identidad.

Para muchas organizaciones, las soluciones de software como servicio (SaaS), las arquitecturas multicloud híbridas y el trabajo remoto son la norma. Sus redes contienen una mezcla de múltiples proveedores de aplicaciones y activos en la nube y on-premises que sirven a varios usuarios en varias ubicaciones. Estas aplicaciones a menudo tienen sus propios sistemas de identidad, que pueden no integrarse fácilmente entre sí.

Como resultado, muchas organizaciones se enfrentan a paisajes de identidad fragmentados con brechas que los actores de amenazas pueden y explotan para fines maliciosos. 

Al monitorear identidades en lugar de dispositivos o activos, los ITDR pueden proporcionar una visibilidad mejorada de la actividad de los usuarios en entornos de nube, herramientas SaaS y sistemas on premises. Si bien diferentes aplicaciones y activos pueden tener diferentes sistemas de identidad, ITDR permite a las organizaciones monitorearlos todos de forma integral en un solo lugar.

Los ITDR pueden detectar no solo ataques activos, sino también errores de configuración y vulnerabilidades potencialmente peligrosos. Por ejemplo, algunas herramientas de ITDR pueden detectar mecanismos de autenticación débiles, cuentas inactivas e incluso el uso de ciertos activos de TI en la sombra.

Al monitorear continuamente la infraestructura de identidad, las herramientas de ITDR pueden detectar ciberataques antes de que los hackers hayan tenido la oportunidad de causar daños reales.

Además de señalar estos ataques a los equipos de seguridad, los ITDR también pueden responder automáticamente en tiempo real, evitando que los hackers y los usuarios internos maliciosos procedan. Como resultado, ITDR permite una mitigación de amenazas más rápida y la corrección de vulnerabilidades antes de que puedan ser explotadas. 

Las organizaciones tienen que lidiar con una verdadera sopa de letras de tecnologías superpuestas de detección y respuesta a amenazas. Si bien estas herramientas pueden tener características similares, ofrecen diferentes protecciones para diferentes facetas de una red empresarial. A menudo se utilizan como complementos entre sí en una estrategia de ciberseguridad de defensa en profundidad de múltiples capas.

Las herramientas de gestión de identidad y acceso (IAM) gestionan el ciclo de vida de la identidad del usuario, desde la creación de la cuenta hasta su eliminación. Mientras que ITDR tiene como objetivo detectar y frustrar la actividad maliciosa de usuarios no autorizados, IAM se enfoca en garantizar que los usuarios autorizados tengan los permisos correctos y los utilicen adecuadamente.

Las funciones principales de IAM incluyen la creación de identidades de usuario, la asignación de privilegios, la aplicación de políticas de acceso y la retirada de identidades antiguas. Los sistemas IAM e ITDR a menudo funcionan juntos. IAM facilita el acceso a los usuarios autorizados, mientras que las herramientas de ITDR monitorean la actividad de los usuarios en busca de amenazas, como el compromiso de la cuenta o el uso indebido de permisos.

Los sistemas de gestión de accesos privilegiados (PAM ) rigen y protegen las cuentas y actividades de los usuarios con privilegios, como los administradores de sistemas. Mientras que las herramientas ITDR monitorear todas las identidades, las herramientas PAM cubren las privilegiadas.

Las herramientas PAM aprovisionan cuentas privilegiadas, administran cómo y cuándo los usuarios obtienen privilegios elevados y monitorean la actividad privilegiada para detectar comportamientos sospechosos e incumplimiento de normas.

PAM es anterior a ITDR como práctica de ciberseguridad definida formalmente, y las herramientas PAM suelen considerarse su propia categoría distinta. Sin embargo, en cierto modo, PAM puede considerarse una versión específica de ITDR. ITDR monitorea las amenazas basadas en identidad para todos los usuarios, mientras que PAM protege específicamente las cuentas privilegiadas. Ambos pueden trabajar juntos para proporcionar controles de seguridad avanzados a una red.

La principal diferencia entre la detección y respuesta de endpoints (EDR) e ITDR es que las herramientas de EDR protegen los dispositivos, mientras que las herramientas de ITDR protegen las identidades.

EDR monitorean endpoints, como servidores y PC, para detectar actividades maliciosas que se produzcan en el dispositivo. ITDR se centra en las amenazas basadas en la identidad, detectando actividades maliciosas a nivel de usuarios y cuentas.

Los sistemas ITDR y EDR son aspectos complementarios de las operaciones de seguridad de una organización. Por ejemplo, cuando EDR descubre actividad sospechosa en un endpoint, un sistema ITDR puede ayudar a conectar esa actividad con una identidad específica.

Mientras que ITDR se centra más en las identidades de los usuarios, las soluciones de detección y respuesta ampliadas (XDR) integran las herramientas y operaciones de seguridad en todos los niveles de seguridad: usuarios, endpoints, aplicaciones, redes, cargas de trabajo en la nube y datos.

Las herramientas XDR permiten la interoperación de soluciones de seguridad que no están necesariamente diseñadas para trabajar juntas para lograr una prevención, detección y respuesta ante amenazas sin inconvenientes. Junto con otras herramientas, los ITDR se integran con los XDR, alimentando datos sobre identidades y sistemas basados en identidad en una arquitectura de seguridad unificada.

Juntos, los ITDR y XDR pueden ofrecer a las organizaciones una visión más completa de sus redes, lo que permite medidas de seguridad y modelos de gobernanza de identidades más eficaces.