A los responsables de seguridad que deseen proteger de forma proactiva las identidades de su empresa no les faltan herramientas de seguridad entre las que elegir. De hecho, hay tantas que parece que se inventa una nueva categoría cada pocos meses solo para ayudar a clasificarlas.
Dado que a la mayoría de los equipos de seguridad les resulta cada vez más difícil detener a los atacantes cuando utilizan las vulnerabilidades de identidad para escalar privilegios y desplazarse lateralmente por el entorno de TI de su organización, algunas de las herramientas más recientes se centran en esta parte intermedia de la cadena de ataque. La detección y respuesta para endpoints (EDR, Endpoint Detection and Response) y la detección y respuesta ampliadas (XDR, eXtended Detection and Response) son dos herramientas que afirman cubrir esta área especializada de la defensa. Pero, por desgracia, debido a su arquitectura fundamental y a sus capacidades básicas, este no es realmente su punto fuerte. Por eso está surgiendo una nueva categoría de herramientas, detección y respuesta a amenazas para la identidad (ITDR, Identity Threat Detection and Response), para cubrir estas lagunas.
En este artículo de blog, explicaremos la diferencia entre EDR, XDR e ITDR para que pueda entender cómo estas herramientas se complementan y refuerzan entre sí. Cada una tiene sus puntos fuertes y cuando se combinan proporcionan una cobertura de seguridad aún mejor. Pero primero, rebobinemos la línea de tiempo de la evolución de la ciberseguridad hasta los años 80 para entender por qué la ITDR ha surgido como una medida de defensa crítica en el panorama actual de las amenazas.
El crecimiento del software antivirus y los firewall
Empezamos en los 80 porque fue la década en la que surgieron las redes informáticas y se multiplicaron los ordenadores personales. También fue testigo del rápido aumento de nuevas amenazas debido a que los adversarios se aprovecharon de ambas tendencias.
Por supuesto, hubo amenazas informáticas destacadas en las décadas anteriores. El programa autorreplicante “Creeper” en 1971 y el troyano ANIMAL en 1975 son dos buenos ejemplos. Pero el ritmo de desarrollo se aceleró considerablemente durante la década de 1980, a medida que se extendían la informática personal y las redes informáticas, y los ciberdelincuentes y otros malhechores buscaban sacar provecho o simplemente acceder (o alterar) dispositivos y sistemas.
En 1987, Bernd Robert Fix, un experto alemán en seguridad informática, desarrolló un programa de software para detener un virus conocido como Vienna. Este virus destruía archivos aleatorios en los ordenadores que infectaba. El programa de Fix tuvo éxito, y esto dio pie al nacimiento de la industria del software antivirus. Sin embargo, aunque las primeras herramientas antivirus eran útiles, solo podían detectar y eliminar virus conocidos de los sistemas infectados.
La introducción de los firewalls para supervisar y controlar el tráfico de la red es otro avance de la década en materia de seguridad. Los primeros firewalls de “capa de red” estaban diseñados para juzgar los “paquetes” (pequeñas porciones de datos) basándose en información simple como el origen, el destino y el tipo de conexión. Si los paquetes pasaban la prueba, se enviaban al sistema que solicitaba los datos; si no, se descartaban.
La explosión de Internet y la escalada de la ciberdelincuencia
En los últimos años de la década de los 90 y los primeros de la de 2000 se produjo un crecimiento explosivo de Internet como plataforma empresarial clave, iniciando a una era de enormes cambios. Trajo consigo nuevas oportunidades, pero también muchos nuevos riesgos y amenazas para la seguridad.
La ciberdelincuencia se extendió y se convirtió en una industria más formalizada y global durante esta época. Los ciberdelincuentes se centraron en desarrollar malware y otras amenazas. El correo electrónico con archivos adjuntos maliciosos y las astutas estrategias de ingeniería social se convirtieron rápidamente en las herramientas favoritas de los ciberdelincuentes que buscaban distribuir sus innovaciones y aprovecharse de usuarios desprevenidos para activar sus campañas delictivas.
A medida que fue aumentando la sofisticación de las ciberamenazas, los responsables de seguridad actualizaron las herramientas tradicionales de seguridad detectivesca para que incluyeran:
- Detección basada en firmas para identificar malware conocido.
- Análisis heurísticos para detectar amenazas previamente difíciles de detectar basándose en patrones de comportamiento sospechosos.
Todos estos métodos fueron hasta cierto punto eficaces. Pero, una vez más, eran incapaces de seguir el ritmo de las innovaciones de los ciberdelincuentes y solían generar un gran número de falsos positivos y falsos negativos.
SIEM
Hacia 2005, surgieron las herramientas de administración de información y eventos de seguridad (SIEM, Security Information and Event Management) para mejorar la capacidad de los equipos de seguridad de detectar y responder a los incidentes de seguridad. Una herramienta SIEM es una solución híbrida de administración de eventos de seguridad (SEM, Security Event Management) y la administración de información de seguridad (SIM, Security Information Management). Es capaz de agregar y analizar datos de registro procedentes de varias fuentes a través de una red para identificar posibles incidentes de seguridad.
Las herramientas SIEM pueden incorporar una capa crítica de protección al ecosistema digital de una empresa al ofrecer visibilidad en tiempo real, detección y respuesta a amenazas avanzadas, administración de cumplimiento de normativas y mucho más. Sin embargo, también tienen sus limitaciones, especialmente cuando se trata de hacer frente al enorme volumen y complejidad de las ciberamenazas modernas.
Y eso nos lleva a nuestro debate sobre EDR y XDR, dos enfoques de ciberseguridad que ofrecen una detección y respuesta más completas de lo que pueden hacerlo los sistemas SIEM y otros métodos.
¿Qué es EDR?
Al exanalista de Gartner Anton Chuvakin se le atribuye la creación del término detección y respuesta para endpoints (EDR) en 2013. Utilizó EDR para describir las herramientas utilizadas para detectar e investigar actividades en endpoints individuales, como ordenadores de sobremesa y servidores.
El objetivo principal de la tecnología EDR es proporcionar visibilidad en tiempo real de las actividades relevantes para la seguridad en los endpoints, al tiempo que ofrece una supervisión continua en busca de posibles amenazas. Los sistemas EDR analizan los datos recogidos de diversas fuentes para identificar patrones de comportamiento sospechosos o indicadores de compromiso (IoC). Una vez que detectan que algo va mal, estos sistemas pueden facilitar acciones de respuesta rápida. Por ejemplo, pueden aislar los endpoints afectados antes de que el atacante se desplace lateralmente.
La tecnología EDR ofrece herramientas de respuestas a amenazas que ayudan a los equipos de seguridad a:
- Supervisar las actividades de los endpoints, incluida la recopilación de datos sobre procesos, conexiones de red y cambios en los archivos.
- Detectar amenazas utilizando múltiples técnicas analíticas.
- Investigar los incidentes de forma más eficaz.
- Responder a los problemas detectados proporcionando información forense y permitiendo la contención y el aislamiento de los endpoints afectados.
Las herramientas EDR han evolucionado en la última década para ayudar a las empresas a mantener sus redes a protegidas frente a una amplia variedad de amenazas. Sin embargo, estas herramientas están limitadas ya que, en general, identifican las amenazas mediante el uso de la detección basada en firmas y en el comportamiento.
¿Qué es XDR?
XDR son las siglas en inglés de detección y respuesta ampliadas (eXtended Detection and Response). Se trata de un concepto que surgió hace solo unos años, y se refiere a herramientas que pueden integrar múltiples conjuntos de datos de seguridad en una única plataforma. La tecnología XDR integra y correlaciona datos de varios componentes de seguridad como endpoints, redes, servicios en la nube y aplicaciones. Como resultado, XDR puede proporcionar una mayor visibilidad de detección y respuesta en todo un entorno.
El objetivo de utilizar XDR para la ciberseguridad es obtener una visión más completa y unificada de las amenazas a la seguridad. El resultado se traduce en una mejor detección, investigación y respuesta a las amenazas. XDR también permite una identificación más rápida de los ciberataques complejos que pueden abarcar múltiples capas dentro de un entorno de TI.
Sin embargo, al igual que EDR, las herramientas XDR pueden tener dificultades para seguir el ritmo de la rápida evolución de las tácticas y técnicas de los atacantes. Cabe destacar que EDR y la XDR pueden colaborar y algunos dirían que XDR es una evolución de EDR. Si complementa herramientas EDR con XDR e ITDR, reforzará sus defensas de forma significativa.
¿Qué es ITDR?
ITDR, o detección y respuesta a amenazas para la identidad, es una nueva categoría de seguridad acuñada también por Gartner que puede considerarse adyacente y complementaria a herramientas de seguridad como:
- EDR
- XDR
- Detección y respuesta para red (NDR)
- Directorios, como Active Directory
- Administración de acceso con privilegios
Las soluciones ITDR no sustituyen a los sistemas existentes de detección y respuesta ante amenazas, como EDR y XDR, sino que los complementan: cubre lagunas imposibles de abarcar para estos sistemas.
Un sistema ITDR analizará continuamente sus endpoints, tanto clientes como servidores, repositorios de identidades y sistemas PAM en busca de identidades no gestionadas, mal configuradas, con privilegios excesivos y vulnerables por otros motivos. Con esta información, obtiene una visión integral y detallada de los riesgos específicos para su identidad. A continuación, puede utilizar estos datos para eliminar las vías de ataque clave a sus datos confidenciales que los actores de amenazas pueden utilizar para instalar ransomware y robar datos.
ITDR ofrecerá también un método probado de atrapar a los atacantes mientras intenta escalar privilegios y desplazarse lateralmente. Los sistemas ITDR dejan muchos tipos de contenido engañoso a modo de cebo en todo su entorno con el que solo podría interactuar un ciberdelincuente. Tan pronto como lo hacen, recibe una alerta con datos forenses clave para que sepa exactamente dónde encontrarlos y qué hacer al respecto.
La necesidad de ITDR
Un enfoque de la seguridad de la identidad reforzado por herramientas ITDR resulta fundamental en un mundo en el que la identidad es el nuevo perímetro de seguridad. ¿Por qué la identidad es el nuevo perímetro? Tenga en cuenta el siguiente dato: Incluso si las redes, los endpoints y el resto de dispositivos y aplicaciones estuvieran bien protegidos, un ciberdelincuente solo necesita acceder a una cuenta con privilegios para poner en peligro los recursos de TI de una empresa. Los ataques basados en la identidad son increíblemente habituales. Según un estudio, el 84 % de las empresas sufrieron incidente relacionado con la identidad el año pasado.
Con ITDR, sus equipos de seguridad están mejor posicionados para prevenir y detectar los ataques basados en la identidad en la mitad de la cadena de ataque, donde dominan el escalamiento de privilegios y el desplazamiento lateral.
Ventajas de ITDR
Los ciberdelincuentes comenzarán sus campañas dirigiéndose a sus empleados a través de ataques como el phishing de credenciales. Y una vez que comprometen una cuenta (una identidad) pueden entrar en su entorno y utilizar esa identidad para desplazarse lateralmente y lograr sus objetivos.
La principal ventaja de ITDR es que puede ayudarle a romper la mitad de la cadena de ataque. Como se explica en este artículo, los sólidos controles de una solución ITDR pueden ayudarle a detener los ataques antes de que puedan convertirse en incidentes graves.
ITDR le proporciona una serie de controles de seguridad robusto que le ayudan a proteger la parte intermedia de la cadena de ataque. Además, le ayuda a:
- Detectar, investigar y responder rápidamente a la usurpación de cuentas.
- Detener el escalamiento de privilegios.
- Identificar y detener el desplazamiento lateral.
- Reducir la superficie de ataque antes de que llegue el ciberdelincuente.
Adopción de un enfoque ITDR
Si ya dispone de medidas de administración de identidades y acceso, como PAM y autenticación multifactor (MFA), se encuentra en una buena posición para utilizar las herramientas ITDR.
Al considerar la adopción de ITDR, debería tener en cuenta su estrategia actual para garantizar la seguridad de sus identidades. Y preguntarse cómo le ayudarán las herramientas ITDR a mejorar sus procesos. A continuación se incluyen algunos consejos para pasar a un enfoque ITDR:
- Encuentre sus identidades vulnerables. Debe buscar posibles vulnerabilidades de identidad en estas tres categorías: no gestionadas, mal configuradas y expuestas.
- Vigile las amenazas a la identidad. Debe vigilar continuamente la actividad sospechosa de los usuarios. Una forma de hacerlo es integrar las herramientas ITDR con su sistema SIEM actual.
- Cree un plan. Asegúrese de que su plan de respuesta a incidentes incluye un plan para responder a las amenazas basadas en la identidad. Por ejemplo, ¿cuál es la respuesta si se roban las credenciales del usuario?
- Forme a sus usuarios. Es importante que su programa de concienciación sobre seguridad enseñe a los usuarios a identificar y responder a las amenazas relacionadas con la identidad, como el phishing de credenciales.
¿Y ahora qué?
Ya no basta con asegurarse de que los usuarios que acceden a sus sistemas y datos son legítimos. Una defensa proactiva contra las amenazas basadas en la identidad es un elemento fundamental del futuro de la ciberseguridad. Ahí es donde ITDR puede ayudar. ITDR introduce una nueva clase de herramientas y mejores prácticas para proteger y defender las identidades. También amplía las posibilidades de las empresas que quieren proteger mejor sus identidades. Puede hacer que la postura de seguridad de su empresa sea exponencialmente más fuerte.
Los días en que se cerraba con llave la puerta de una sala de ordenadores y se llamaba “seguros” a los activos que se encontraban dentro de ese perímetro hace tiempo que quedaron atrás. Con ITDR como complemento de otras defensas vitales, como EDR y XDR, hay muchas posibilidades de que los responsables de la seguridad puedan volver a tener ventaja sobre los ciberdelincuentes y mantenerlos fuera de los lugares donde no son bienvenidos.
¿Listo para ampliar sus defensas con ITDR?
Proofpoint proporciona una solución ITDR completa para ayudarle a descubrir y corregir los riesgos asociados a la identidad y detectar y responder a las amenazas activas. Nuestra solución también puede ayudarle a detener los ataques antes porque le permite establecer un gran laberinto de trampas de aspecto real en todo su entorno con las que solo interactuarán los atacantes.
La plataforma Proofpoint Identity Threat Defense incluye:
- Proofpoint Spotlight, que puede ayudar a su empresa a identificar y corregir vulnerabilidades de identidad antes de que los atacantes las encuentren.
- Proofpoint Shadow, que utiliza moderna tecnología de engaño que le permite detectar y detener a los atacantes antes de que provoquen daños devastadores.
Obtenga más información sobre cómo Proofpoint puede ayudarle a mejorar su seguridad a la vez que aprovecha al máximo otras herramientas críticas como EDR y XDR.