¿Qué es la detección y respuesta ante amenazas de identidad (IDTR)?

ITDR es el acrónimo en inglés de detección y respuesta ante amenazas de identidad digital (Identity Threat Detection and Response), una nueva clase de soluciones de ciberseguridad enfocadas en la protección de las identidades de los usuarios y sistemas basados en identidad contra ciberamenazas. La ITDR implica una combinación de herramientas, procesos y buenas prácticas de seguridad para prepararse eficazmente, así como detectar y responder ante amenazas relacionadas con la identidad.

La identidad ha sido descrita como el nuevo perímetro de seguridad porque incluso si una red, un punto final y todos los demás dispositivos están bien protegidos, un ciberatacante sólo necesita acceder a una cuenta privilegiada para comprometer los recursos de la empresa. Por esta razón, Gartner declaró a la ITDR como una de las principales tendencias de seguridad y gestión de riesgos para 2022.

La ITDR es una categoría de seguridad adyacente a otras soluciones de seguridad como la detección y respuesta de puntos de contacto (EDR), la detección y respuesta ampliadas (XDR), la detección y respuesta de redes (NDR) y los sistemas de gestión de acceso privilegiado (PAM). A pesar de sus importantes contribuciones a la seguridad, muchas de las prestaciones de la ITDR son bastante diferentes a lo que ofrecen EDR, XDR y PAM.

La necesidad de contar con sistemas de ITDR precisa de una gran comprensión de por qué la identidad merece su propia categoría como solución de seguridad. A su vez, un sistema ITDR completo incluye un amplio conjunto de prestaciones para detección y respuesta ante vulnerabilidades y amenazas que están específicamente diseñadas para proteger las identidades y los sistemas de identidad.

Más concretamente, un sistema ITDR debe ser compatible con los siguientes controles centrados en seguridad:

• Análisis de datos de configuración, política e identidad para evaluar la posición de seguridad del entorno de active directory de una organización.
• Gestión de rutas de ataque y análisis de impacto.
• Puntuación de riesgos y priorización de soluciones.
• Supervisión en tiempo real de los comportamientos en tiempo de ejecución para detectar indicadores de compromiso centrados en la identidad.
• Aprendizaje automático o análisis para detectar comportamientos o eventos anómalos.
• Corrección y respuesta automáticas ante incidencias.
• Gestión de incidencias, búsquedas, informes, alertas y paneles.
• Integración con herramientas de gestión de eventos e información de seguridad (SIEM, en inglés “Security Information and Event Management”), respuesta y detección ampliadas (XDR, en inglés “Extended Detection and Response”) y automatización y respuesta de orquestación de seguridad (SOAR, “Security Orchestration Automation and Response”).
• Integración con soluciones de autenticación de múltiples factores (MFA, del inglés “MultiFactor Authorization”) para ofrecer autenticación escalonada en respuesta a eventos de riesgo.
• Integración con herramientas de gestión de acceso privilegiado (PAM, del inglés “Privileged Access Management”) para ayudar a hallar brechas en la cobertura para cuentas con privilegios elevados.
• Intercambio de señales de riesgo con productos adicionales (para proveedores de paquetes de software) y herramientas externas para ayudar a los profesionales de la seguridad a tomar decisiones mejor informadas sobre los riesgos.

El advenimiento de la ITDR pone de relieve que las identidades digitales merecen el mismo nivel de gestión y control que las organizaciones han aplicado tradicionalmente a sus puntos de contacto, redes, sistemas y aplicaciones, si no es que más. Hoy en día esto es más importante que nunca, porque la identidad digital tiene riesgos y se han convertido en el vector principal de ataque para los ciberataques.

Como predecesor más conocido de la ITDR en el entorno de la ciberseguridad, la gestión de identidades y accesos (IAM) se refiere a los procesos y tecnologías utilizados para gestionar y controlar el acceso de los usuarios a los sistemas y aplicaciones de información. Las soluciones de IAM ayudan a garantizar que los usuarios tengan los permisos y niveles de acceso adecuados en función de sus funciones y responsabilidades. La IAM minimiza el riesgo de accesos no autorizados a datos y sistemas delicados, reduciendo así el riesgo de filtración de datos y otros ciberataques.

La ITDR adopta un enfoque más profundo para detectar, responder y prepararse ante las amenazas a la seguridad y las vulnerabilidades relacionadas con la identidad y el acceso de los usuarios. La ITDR es un complemento importante de los sistemas IAM, ya que amplía el marco IAM para controlar y supervisar el acceso a la información y los sistemas delicados. Las estrategias de ciberseguridad más eficaces también incluyen una combinación de los siguientes controles de seguridad orientados a la identidad:

• Autenticación de múltiples factores (MFA): La MFA exige a los usuarios el suministrar más de un tipo de verificación de identidad para acceder a un sistema o aplicación. Por ejemplo, se puede exigir a un usuario que proporcione una contraseña, así como un PIN de 6 dígitos enviado a su dispositivo móvil personal para acceder a información delicada.
• Control de acceso basado en roles: Como componente fundamental de IAM, el control de acceso basado en roles implica la asignación de niveles de acceso a los usuarios basándose en sus roles y responsabilidades en la organización. Por ejemplo, un empleado júnior podría tener acceso limitado a datos delicados, mientras que a un alto ejecutivo se le puede conceder un permiso más amplio para acceder a más datos y sistemas asociados.
• Gestión de acceso con privilegios (PAM): Similar al control de acceso basado en roles, a los usuarios se les asignan ciertos grados de privilegio en función de sus funciones y deberes organizativos. Si bien es un subconjunto específico de la IAM, tiene limitaciones para enfrentar las amenazas internas en curso.
• Monitorización continua: Esta disciplina de seguridad se basa en la monitorización de la actividad de los usuarios en tiempo real para detectar comportamientos anómalos. Por ejemplo, un usuario que intente acceder a un sistema a una hora o desde una ubicación inusuales podría indicar una amenaza de seguridad.
• Planificación de respuesta ante amenazas: Esta medida proactiva implica disponer de un plan de acción para responder a las amenazas de seguridad rápida y eficazmente. Esto puede ayudar a minimizar el impacto de una vulneración de seguridad y reducir el riesgo de sufrir más daños.

Además de las medidas anteriores, los principios de IAM también se pueden aprovechar para mejorar la ITDR suministrando registros de auditoría y registros de actividad de usuarios. Estos registros pueden utilizarse para detectar comportamientos anómalos que puedan ser indicativos de una amenaza para la seguridad. Por ejemplo, si un usuario intenta acceder a un recurso para el que no está autorizado, la IAM puede registrar esta actividad y alertar a los investigadores para que investiguen más a fondo.

En vista del incremento en la frecuencia y sofisticación de los ciberataques, la ITDR se está volviendo más relevante que nunca. Los ciberdelincuentes de hoy en día son cada vez más expertos en el uso de tácticas basadas en la identidad digital para violar cuentas y obtener acceso no autorizado a información confidencial. A su vez, las empresas enfrentan una miríada de técnicas de amenaza y factores externos adicionales en el entorno digital.

• Herramientas de ataque de código abierto. Los ciberatacantes aprovechan con frecuencia las herramientas de ataque de código abierto (pen testing) para comprometer identidades, ocultar sus nefastas actividades y avanzar más rápidamente por las fases de su ataque antes de completar su acción final.
• Estafas de phishing. Como ejemplo adicional, los ciberatacantes suelen usar los correos electrónicos de phishing para engañar a los usuarios y lograr que revelen sus credenciales de inicio de sesión u otros datos delicados.
• Relleno de credenciales. Un tipo de ciberataque en que los atacantes intentan obtener acceso no autorizado a cuentas protegidas usando nombres de usuario y contraseñas robados o filtrados, típicamente extraídos de una filtración de datos anterior.
• Tácticas de ingeniería social. Los ciberdelincuentes también pueden utilizar tácticas de ingeniería social para hacerse pasar por usuarios autorizados y engañar a las víctimas para que compartan información y acceso.
• Trabajo a distancia. El auge del trabajo a distancia ha incrementado todavía más el riesgo de ataques basados en identidad digital. Con una cantidad cada vez mayor de empleados teletrabajando y usando sus dispositivos personales para acceder a los sistemas de la empresa, las organizaciones tienen problemas para mantener una completa visibilidad y control sobre el acceso de los usuarios.
• Cumplimiento normativo. La ITDR también está cobrando importancia debido al aumento de los requisitos normativos en torno a la privacidad y la seguridad de los datos. Muchos sectores, como el sanitario y el financiero, son objeto de estrictas regulaciones de protección de datos. Las organizaciones que no cumplan con las regulaciones se exponen a cuantiosas multas y daños a su reputación.

Para hacer frente a estos retos, las organizaciones están recurriendo a las soluciones de ITDR para proteger sus sistemas y abordar las vulnerabilidades específicas que puedan surgir.

Tanto la detección y respuesta ante amenazas de identidad digital (ITDR) como la detección y respuesta ante puntos de contacto (EDR) son soluciones de ciberseguridad que se centran en detectar y prevenir los ciberataques, pero difieren en sus puntos de atención.

Las soluciones de ITDR se centran en identificar, reducir y responder a las posibles amenazas y riesgos de la identidad digital, como las cuentas de usuario comprometidas y las contraseñas filtradas, mediante la monitorización de la actividad de los usuarios y los registros de gestión de accesos, señalando cualquier actividad maliciosa y recopilando datos de múltiples fuentes de gestión de identidades y accesos (IAM).

Por otro lado, las soluciones de EDR se centran en la supervisión y el análisis de dispositivos de punto de contacto, como estaciones de trabajo y ordenadores portátiles, mediante la recopilación de registros del sistema y tráfico de red para detectar actividades malintencionadas en los equipos de una organización.

He aquí algunas diferencias clave entre ITDR y EDR:

• Alcance: La EDR se centra principalmente en supervisar y proteger los puntos de contacto, es decir, dispositivos individuales como ordenadores de sobremesa, portátiles y servidores, mientras que la ITDR está diseñada para buscar amenazas y riesgos de identidad digital en todas las plataformas, entornos y sistemas.
• Datos recopilados: La EDR suele recopilar datos relacionados con la ejecución de procesos, el acceso a archivos y el tráfico de red, mientras que la ITDR recopila y analiza los registros de actividad de los usuarios, los registros de gestión de acceso y los datos IGA del sistema.
• Visibilidad de las amenazas: La EDR ofrece visibilidad sobre las actividades de los puntos de contacto, analizando los comportamientos y eventos que se producen en los dispositivos de los usuarios, mientras que la ITDR ofrece una perspectiva completa de las amenazas basadas en la identidad, el comportamiento de los usuarios privilegiados, analizando los intentos de acceso, los patrones de autenticación y el principio del menor privilegio.
• Respuesta a incidencias: La EDR se centra principalmente en investigar y responder a las amenazas a nivel de los puntos finales, mientras que la ITDR analiza los comportamientos de los usuarios en múltiples entornos para identificar y responder a las amenazas basadas en la identidad.

Es importante señalar que la ITDR y la EDR se complementan entre sí, proporcionando información valiosa durante el análisis de incidencias. En un escenario en el que un atacante ha obtenido acceso a una red a través de un dispositivo de punto final, una solución EDR detectaría la actividad sospechosa en ese dispositivo, mientras que una solución ITDR detectaría cualquier actividad malintencionada relacionada con las identidades de los usuarios y la gestión de accesos. A su vez, es fundamental entender las diferencias entre ITDR y EDR y cómo pueden funcionar en conjunto para proporcionar una protección integral de la ciberseguridad.

Con la publicación del informe de Gartner “Enhance Your Cyberattack Preparedness With Identity Threat Detection and Response in 2022” (en español: “Mejore su nivel de preparación para ciberataques con detección y respuesta ante amenazas a la identidad en 2022”), ahora los profesionales de la seguridad y la gestión de riesgos ahora tienen acceso a investigaciones, perspectivas y recomendaciones para abordar los problemas de seguridad para identidad. Estos datos y tendencias resaltan el creciente interés y demanda de ITDR.

La identidad es el principal vector para ciberataques

Catalizado por la COVID-19, los atacantes aprovecharon el impacto sobre la identidad digital que implicó el teletrabajo. Según Gartner, “la dependencia de las organizaciones de su infraestructura de identidad para permitir la colaboración, el trabajo a distancia y el acceso de los clientes a los servicios ha transformado los sistemas de identidad en objetivos principales.” Los equipos de seguridad han estado lidiando con las realidades operativas de una plantilla que no podía acudir a trabajar a la oficina.

La identidad es la nueva vulnerabilidad

Con la adopción de la computación en la nube y la necesidad de acoplarse al teletrabajo, las soluciones enfocadas en identidad se han convertido en una de las bases fundacionales de los programas de ciberseguridad. Gartner afirma que “las amenazas a la identidad son polifacéticas. Se pueden explotar los errores de configuración y las vulnerabilidades de la infraestructura de identidad”. Además, los datos del Identity Theft Resource Center (en español: “Centro de Recursos contra el Robo de Identidad”) indican que los ataques relacionados con ransomware, que suelen depender mucho de identidades vulneradas, se duplicaron en 2020 y nuevamente en 2021.

Los atacantes aprovechan las brechas entre los sistemas de identidad y de seguridad

La implementación de sistemas de identidad, como IAM, PAM y MFA, son a menudo proyectos de varias fases, que dejan las identidades expuestas hasta que esos despliegues se completan totalmente, si es que alguna vez llegan a completarse. Estas implementaciones son afectadas por los constantes cambios de identidad, que deben redescubrirse constantemente con el tiempo para que estos sistemas sean exitosos. Además, el proceso de descubrimiento y auditoría de cuentas suele ser muy arduo, manual y propenso a errores. Y para el momento en que la auditoría se completa, las identidades ya han cambiado sustancialmente.

La ITDR es una prioridad clave de ciberseguridad

Según Gartner, “Las amenazas modernas a la identidad pueden subvertir controles preventivos tradicionales de gestión y acceso a la identidad (IAM), como la autenticación de múltiples factores (MFA). Esto hace que la detección y respuesta ante amenazas de identidad (ITDR) sea una prioridad clave para la ciberseguridad del 2022 y en adelante”. Ahora que los atacantes se centran en explotar las identidades vulnerables, las organizaciones deben trabajar para hacer de la protección de las identidades una prioridad absoluta.

A pesar de utilizar sistemas como PAM, MFA y otras soluciones IAM para proteger las identidades de ser explotadas, a menudo quedan vulnerabilidades. Las causas de las vulnerabilidades de identidad se dividen en tres (3) categorías: identidades no gestionadas, mal configuradas y expuestas.

Identidades no gestionadas

• Cuentas de servicio. Las identidades de los equipos suelen no gestionarse por parte de los sistemas PAM porque no fueron descubiertas durante la implementación, y además no todas las aplicaciones son compatibles con la PAM, como ocurre con aplicaciones heredadas para las cuales el costo de la modernización resulta prohibitivo.
• Administradores locales. Los privilegios de administradores locales permiten atender una variedad de necesidades de soporte de TI, pero suelen no descubrirse o hasta olvidarse después de su creación, quedando sin gestionar.
• Cuentas privilegiadas. Muchas otras cuentas privilegiadas quedan sin gestionar por las soluciones de PAM o MFA porque no se descubren (y, por tanto, permanecen desconocidas) durante la implementación.

Identidades sin configurar

• Administradores en las sombras. La complejidad de las agrupaciones de identidades anidadas hace extremadamente difícil ver (y, por tanto, comprender) los derechos completos de todas las identidades, lo que provoca que se concedan a los usuarios privilegios no deseados y, por tanto, excesivos.
• Cifrado y contraseñas débiles. Identidades configuradas para aprovechar un cifrado débil o inexistente o que no aplican políticas de contraseñas fuertes.
• Cuentas de servicio. Las identidades de equipos con derechos de acceso privilegiados pueden estar mal configuradas para permitir incorrectamente el inicio de sesión interactivo por parte de humanos.

Identidades reveladas

• Credenciales almacenadas en caché. La información sobre cuentas y credenciales suele almacenarse en la memoria, el registro y las unidades de almacenamiento de los puntos de contacto, donde son fácilmente explotables por las herramientas de ataque más utilizadas.
• Tokens de acceso a la nube. Los tokens de acceso a la nube almacenados en los puntos de contacto son una forma habitual que tienen los atacantes de acceder a los sistemas basados en la nube.
• Sesiones RDP abiertas. Las sesiones de aplicaciones remotas pueden cerrarse indebidamente, lo que permite a los atacantes aprovechar una sesión abierta y sus privilegios, en gran medida sin riesgo de detección.

Es importante señalar que cualquier identidad puede ser vulnerable de múltiples maneras y a través de estas tres categorías de vulnerabilidad. Estas identidades específicas a menudo exponen a las organizaciones al mayor nivel de riesgo de identidad.

Por ejemplo, una única identidad puede configurarse mal para que tenga derechos no deseados de “administrador en las sombras”, que por su propia naturaleza hacen que la identidad no se gestione debido a la falta de conocimiento de TI que típicamente desencadena protecciones adicionales de acceso pensadas para cuentas con los derechos que tiene (PAM, MFA, etc.).

Las soluciones integrales de ITDR deben incluir capacidades preventivas que descubran y corrijan brechas en la postura de identidad de una organización, así como capacidades detectoras que alerten correctamente acerca de indicadores de compromiso a medida que estos ocurren. Sólo con controles tanto antes como después de una violación pueden considerarse las identidades fiablemente seguras.

Controles preventivos de ITDR

Los controles preventivos de ITDR descubren, priorizan y corrigen (a menudo de manera automática) las vulnerabilidades de identidad antes de que los agentes de amenaza intenten explotarlas.

Similarmente a lo que ocurre con los programas tradicionales de gestión de riesgos y vulnerabilidad, las prestaciones de descubrimiento de la ITDR permiten a las organizaciones ver y contabilizar los riesgos de sus “activos” de identidad. Las soluciones de ITDR más eficaces ofrecen un descubrimiento de identidades automatizado, continuo y completo, incluida la visibilidad de las cuentas privilegiadas no gestionadas, mal configuradas y expuestas.

Esta visibilidad permite que una toma de decisiones eficaz de TI e Infosec mitigue aún más estos riesgos, aprovechando sistemas como IGA, PAM, MFA, SSO y otros. De hecho, sabemos bien que un escaneo continuo de problemas es necesario para gestionar eficazmente cualquier sistema complejo, y la gestión de identidades no es la excepción.

Controles detectores de ITDR

Los controles detectores de ITDR controlan la alerta al momento de que haya una indicación de un actor de amenaza o agente interno que intente vulnerar o aprovechar una identidad de manera tal que indique un riesgo para la organización. Los controles detectores son necesarios para encontrar y mitigar riesgos que no se puedan evitar, de modo que los encargados de responder a las incidencias puedan ser alertados y responder rápidamente en caso de un ataque.

La detección eficaz de las amenazas a la identidad antes de que se complete el ataque es difícil de lograr por varias razones:

• Menos tiempo para detectar los ataques: Los tiempos de permanencia de los atacantes en muchos tipos de ataque, como el ransomware, han bajado de meses a días en muchos casos. Al enfocarse en las identidades comprometidas para intrusiones en el sistema, los atacantes pueden moverse mucho más rápido.
• Reducción de la eficacia de los controles de seguridad existentes: A medida que los atacantes siguen explotando las identidades como vías clave hacia sus objetivos finales, prácticamente han abandonado muchas técnicas anteriores, lo que hace que las herramientas de seguridad que defienden contra estas técnicas sean menos eficaces. Los atacantes también han demostrado regularmente que una vez que escalan sus privilegios, pueden desactivar controles de seguridad, incluyendo a los agentes de puntos de contacto (EDR) responsables de detectarlos.
• Incapacidad para detectar con precisión lo nefasto de la actividad aceptable de las cuentas con privilegios: El análisis basado en firmas y comportamientos de los usuarios con privilegios ha demostrado ser ineficaz para detectar con precisión las actualizaciones nefastas de privilegios y el movimiento lateral. La falta de suficientes comportamientos aceptables en cuentas privilegiadas de administradores (lo que los científicos de datos llaman “entropía de datos”) ha creado dificultades para establecer las líneas de base necesarias para minimizar los falsos positivos. Y, por supuesto, los falsos positivos son un problema importante si consumen el tiempo y la atención del equipo de seguridad.

Por ello, se necesita una detección más precisa de las cuentas con privilegios comprometidas. El engaño y su enfoque altamente determinista de plantar contenido engañoso para atraer a los atacantes ofrecen una alternativa viable y probada a los análisis de comportamiento para detectar con precisión la escalada de privilegios y el movimiento lateral.

Cuando se implementa correctamente, el enfoque basado en el engaño planta señuelos con los que sólo un atacante interactuaría, basándose en la comprensión de las técnicas y herramientas del atacante, sin dejar tampoco pistas para que el atacante crea que está siendo atrapado.

Para ayudar a satisfacer las crecientes demandas de detección y respuesta efectivas a las amenazas de identidad digital, Proofpoint proporciona una solución integral de ITDR. La solución de Proofpoint proporciona controles preventivos para descubrir y remediar continuamente las vulnerabilidades de identidad antes de su explotación, mientras que también proporciona controles de detección que emplean técnicas de engaño para detectar con precisión la escalada de privilegios, la toma de control de cuentas y las actividades de movimiento lateral por parte de los actores de amenazas a medida que ocurren. Obtenga más información sobre cómo Proofpoint puede ayudarle a mejorar la seguridad de su empresa centrada en la protección de la identidad digital.