Acabamos de completar cuatro conferencias Proofpoint Protect 2024. Si no está familiarizado con los acontecimientos Protect, es una conferencia anual sobre seguridad que reúne a clientes, clientes potenciales, partners y decenas de empleados de Proofpoint en ciudades de Estados Unidos y Londres. Durante las cuatro conferencias, tuve la oportunidad de copresentar varias sesiones sobre la necesidad de reforzar la seguridad de la identidad y cómo la solución Proofpoint Identity Protection puede ayudar.
Pero no me limité a compartir mis conocimientos. También aprendí mucho sobre la detección y respuesta a amenazas relacionadas con la identidad (ITDR) de los cerca de 500 participantes y mis 11 coanfitriones en mis siete mesas redondas. Tuve la oportunidad de copresentar sesiones con profesionales de la seguridad de CyberArk, Toromont Cat, Turkcell, Tetra Pak y Darling Ingredients, así como con miembros de nuestro propio equipo de seguridad.
7 puntos clave de los eventos Protect 2024
Las conferencias Protect han proporcionado muchas lecciones valiosas. Me gustaría compartir algunas de las cosas que aprendí.
1: ITDR despierta gran interés
Es evidente que existe un interés creciente por mejorar la seguridad de la identidad en general y las soluciones de detección y respuesta a amenazas relacionadas con la identidad (ITDR) en particular. Aunque la mayoría de los participantes tenían poca experiencia directa con ITDR, su afán de aprender suscitó un gran interés en nuestras mesas redondas centradas en este tema. Por eso organizamos siete sesiones específicas en las cuatro conferencias Protect.
2: La zona central de la cadena de ataque suele ser poco conocida
La zona central de la cadena de ataque está íntimamente ligada a la seguridad de la identidad, ya que es donde se producen la persistencia, la recopilación de información, el escalamiento de privilegios y el desplazamiento lateral. Desgraciadamente, muchas empresas tienen importantes puntos débiles en sus defensas en esta zona central. En un principio, este aspecto de la seguridad parecía poco claro en la mente de muchos participantes. Pero creo que nuestras sesiones les hicieron comprender mejor su importancia crucial.
Creo que utilizar la cadena de ataque como marco de referencia es una forma excelente de explicar el propósito de las soluciones ITDR como nuestro producto Proofpoint Identity Threat Defense. Con este marco, es más fácil para los equipos de seguridad determinar los pasos exactos que debe dar un ciberdelincuente y cómo pueden defenderse mejor contra los ataques.
Reconocimiento
Compromiso inicial
Persistencia
Recopilación de información
Escalamiento de privilegios
Desplazamiento lateral
Ejecución
Impacto
Etapas de la cadena de ataque.
3: Los engaños cambian las reglas de juego
El público quedó cautivado por nuestro debate sobre el uso de engaños para detectar y responder a las amenazas. El concepto de señuelo desafío a los participantes a pensar de forma diferente sobre cómo detectar y responder a las amenazas activas con la mayor eficacia posible. Durante muchos años, las organizaciones han intentado detectar las amenazas activas mediante enfoques basados en firmas y comportamientos. Estos métodos han dado resultados variables, pero también han requerido mucho tiempo y dinero. Reducir los falsos positivos y los falsos negativos es un reto importante para muchas empresas.
Los engaños interfieren en los análisis de detección. En lugar de rastrear a los ciberdelincuentes utilizando enormes volúmenes de datos y ejecutando análisis de detección optimizados, los engaños permiten a una organización saber cuándo un ciberdelincuente está presente e intenta desplazarse dentro de ella (en la zona central de la cadena de ataque). Aunque los engaños aún no se han adoptado de forma generalizada, han animado a los asistentes a nuestras mesas redondas Protect a pensar de forma diferente sobre la detección y respuesta a amenazas.
4: La higiene de AD es cada vez más importante
Todo el mundo lo sabe: Active Directory (AD) es una amenaza real para la seguridad de todas las empresas que lo utilizan. Las razones son muy parecidas en todas partes. Para empezar, muchas manos lo han administrado a lo largo de los años, y la mayoría de las organizaciones no tienen un gobierno completo de AD. Otras razones comunes son las soluciones rápidas y a corto plazo, los proyectos puntuales y las fusiones y adquisiciones. Paradójicamente, AD puede considerarse ahora razonablemente una herramienta clave para los ciberdelincuentes.
Dadas todas las herramientas de ataque disponibles para explotar automáticamente los fallos de configuración y las exposiciones de AD, ¿es realmente de extrañar que ITDR esté atrayendo cada vez más interés? Este interés se explica en parte por la necesidad de mejorar la higiene de AD. Para saber más sobre los retos de la integridad en AD, lea este informe publicado recientemente.
5: La autenticación multifactor (MFA) no es suficiente
La usurpación de cuentas de los proveedores de identidad basados en SaaS, como Microsoft Entra ID, Okta y Google, se reconoce cada vez más como un importante problema de seguridad y una fuente primaria de compromiso inicial. Para que los ciberdelincuentes lleguen a la parte central de la cadena de ataque, necesitan realizar un compromiso inicial. Muchos participantes se sorprendieron al saber que la mayoría de las adquisiciones detectadas por Proofpoint tenían que ver con cuentas para las que se activó la autenticación multifactor (MFA). Lo principal es recordar que MFA es un buen comienzo. Sin embargo, dadas las herramientas y técnicas utilizadas actualmente por los ciberdelincuentes, esto no es suficiente. Hoy en día, es esencial una defensa en profundidad centrada en las identidades.
6: A menudo existen obstáculos para mejorar la seguridad
Como sin duda sabe, muchas empresas se enfrentan al reto de adquirir e implantar nuevos controles de seguridad de todo tipo. Esto incluye ITDR. Cada organización tiene sus límites, sobre todo en términos de personal y presupuesto. Esto no es nada nuevo. El modo en que el despliegue de soluciones ITDR está transformando la estructura de las propias empresas de seguridad y la gestión de la seguridad de la identidad es un tema que surgió varias veces en los debates.
A menudo se planteó la cuestión de qué equipo debía hacerse cargo del problema de la seguridad de la identidad y, por tanto, de la solución. ¿Es el equipo del SOC, el de operaciones de TI, el de gestión de identidades o el de gestión de vulnerabilidades? La cruda realidad es que las deficiencias en la forma en que las empresas afrontan los problemas son uno de los principales factores de los grandes compromisos. Estas deficiencias se reflejan en la falta de controles de seguridad de la identidad, que permiten a los ciberdelincuentes burlar las defensas. Las organizaciones con operaciones de seguridad avanzadas han descubierto cómo organizar y aplicar soluciones ITDR para remediar el problema. Ahora los demás deben seguir su ejemplo.
7: Varios factores favorecen la adopción de ITDR
¿Por qué invierten las organizaciones en ITDR? En la mayoría de ellas entran en juego diversas fuerzas externas. Esto puede incluir los resultados de ejercicios de simulación de ataques o pruebas de penetración, puntos débiles detectados durante una auditoría, un incidente de seguridad o un compromiso por parte de la organización o de otra empresa del sector, o incluso un CISO impulsado por el deseo de innovar. Todos estos factores empujan a las empresas a salir de su zona de confort y las animan a reforzar la seguridad de sus identidades y adoptar una solución ITDR.
Conclusión
Está claro que la necesidad de reforzar la seguridad de la identidad es una preocupación creciente para muchos profesionales de la seguridad. Mis experiencias en eventos Protect 2024 solo reflejan mi punto de vista. Sin embargo, como ya se ha dicho en otros contextos, el primer paso para resolver un problema es reconocer que existe. Creo que el sector de la seguridad está bien encaminado para resolver este problema.
Si desea continuar este debate, únase a Carlos Rivera de Info-Tech Research Group y a mí en nuestro próximo webinar: “Protección de la identidad: el papel esencial de la detección y respuesta a las amenazas relacionadas con la identidad”.