Por. Venu Shastri
La seguridad de la identidad es una solución integral que protege todo tipo de identidades dentro de la empresa (humana o máquina, local o híbrida, normal o privilegiada) para detectar y prevenir infracciones impulsadas por la identidad, especialmente cuando los adversarios logran eludir las medidas de seguridad del punto final.
Debido a que cualquier cuenta, ya sea un administrador de TI, un empleado, un trabajador remoto, un proveedor externo o incluso un cliente, puede tener privilegios y proporcionar una ruta de ataque digital para los adversarios, las organizaciones deben poder autenticar cada identidad y autorizar cada solicitud para mantener seguridad y prevenir una amplia gama de amenazas digitales, incluidos ransomware y ataques a la cadena de suministro.
Si bien la seguridad de la identidad es un componente importante dentro de la arquitectura de seguridad, es importante recordar que es solo un elemento dentro de una plataforma de seguridad más amplia. Para garantizar la protección más sólida, las organizaciones deben desarrollar una estrategia integral de ciberseguridad que incluya seguridad de punto final, seguridad de TI , protección de cargas de trabajo en la nube y seguridad de contenedores, además de seguridad de identidad. La solución de seguridad de identidad también debe integrarse con las herramientas y los procesos de gestión de acceso e identidad (IAM) existentes de la organización , así como con una arquitectura Zero Trust .
¿Por qué las organizaciones deberían preocuparse por la seguridad de la identidad?
El análisis del equipo de CrowdStrike Overwatch indica que ocho de cada diez (80 %) de las infracciones se deben a la identidad. Estos ataques modernos a menudo eluden la cadena de destrucción cibernética tradicional al aprovechar directamente las credenciales comprometidas para lograr movimientos laterales y lanzar ataques más grandes y catastróficos.
Desafortunadamente, los ataques basados en identidad son extremadamente difíciles de detectar. Cuando las credenciales de un usuario válido se han visto comprometidas y un adversario se hace pasar por ese usuario, a menudo es muy difícil diferenciar entre el comportamiento típico del usuario y el del pirata informático que utiliza las medidas y herramientas de seguridad tradicionales.
Además, el rápido cambio a una fuerza laboral digital, causado en parte por el brote de COVID-19, ha ampliado drásticamente la superficie de ataque para muchas organizaciones. Esto ha aumentado la necesidad de que las organizaciones activen una solución de seguridad de identidad sólida y flexible que proteja la empresa y sus activos de las amenazas que pueden surgir de los trabajadores remotos que utilizan redes o dispositivos domésticos.
La seguridad de la identidad a veces se ve como la última línea de defensa para las organizaciones. Estas soluciones están destinadas a detener a los adversarios que han logrado eludir otras medidas de seguridad, como las herramientas de detección y respuesta de puntos finales .
¿En qué se diferencia Identity Security de las tecnologías de IAM?
Identity and Access Management (IAM) es parte de la estrategia de seguridad de TI general de la organización que se enfoca en administrar identidades digitales, así como el acceso del usuario a datos, sistemas y otros recursos. Si bien IAM a menudo ayuda a reducir los riesgos de acceso relacionados con la identidad, las políticas, los programas y las tecnologías relacionados generalmente no están diseñados principalmente como una solución de seguridad.
Por ejemplo, las tecnologías de IAM que almacenan y administran identidades para proporcionar capacidades de SSO o MFA no pueden detectar ni prevenir ataques basados en identidades en tiempo real. Del mismo modo, las soluciones de IAM son una parte importante de la estrategia de identidad general, pero normalmente carecen de una visibilidad profunda de los puntos finales, los dispositivos y las cargas de trabajo, además de las identidades y el comportamiento de los usuarios.
La seguridad de la identidad no reemplaza las políticas, programas y tecnologías de IAM. Más bien, la seguridad de la identidad sirve para complementar y mejorar la IAM con capacidades avanzadas de detección y prevención de amenazas.
¿Dónde encaja la higiene de AD en Identity Security?
El Active Directory (AD) de una organización, un servicio de directorio desarrollado por Microsoft para redes de dominio de Windows en 1999, se considera uno de los eslabones más débiles en la estrategia de defensa cibernética de una organización. Basado en tecnología heredada con décadas de antigüedad, AD es uno de los almacenes de identidad más utilizados y más del 90 % de las organizaciones de Fortune 1000 aún confían en él. Esto lo convierte en un objetivo principal para que los adversarios violen la red, se muevan lateralmente y aumenten los privilegios.
Cualquier compromiso de seguridad de AD socava toda la infraestructura de identidad, lo que lleva a posibles fugas de datos, así como a posibles daños/adquisiciones del sistema o ransomware catastrófico o ataques a la cadena de suministro.
Por lo tanto, una buena solución de seguridad de identidad debe incluir sólidas capacidades de seguridad de AD para permitir una visibilidad profunda, continua y unificada de todos los usuarios de la empresa, así como la capacidad de detectar y prevenir ataques de AD maliciosos en tiempo real.
¿Cómo se relaciona la seguridad de la identidad con la confianza cero?
Zero Trust es un marco de seguridad que requiere que todos los usuarios, ya sea dentro o fuera de la red de la organización, estén autenticados, autorizados y validados continuamente para la configuración y la postura de seguridad antes de que se les otorgue o mantenga el acceso a las aplicaciones y los datos. Zero Trust asume que no existe un borde de red tradicional ; las redes pueden ser locales, en la nube o una combinación o híbrida con recursos en cualquier lugar, así como trabajadores en cualquier lugar.
Este marco está definido por varias pautas de la industria, como Forrester eXtended, CARTA de Gartner y, más recientemente , NIST 800-207 , como una forma óptima de abordar los desafíos de seguridad actuales para un trabajo basado en la nube desde cualquier parte del mundo.
Las organizaciones que deseen habilitar las defensas de seguridad más sólidas deben utilizar una solución de seguridad de identidad junto con un marco de seguridad Zero Trust. También deben asegurarse de que la solución de su elección cumpla con las pautas de la industria, como las descritas por NIST.
Casos de uso de seguridad de identidad
Detenga los ataques modernos como el ransomware o los ataques a la cadena de suministro
Aprobar las pruebas de auditoría/equipo rojo
Mejore la visibilidad de las credenciales en un entorno híbrido (incluidas las identidades, los usuarios privilegiados y las cuentas de servicio)
Mejore la detección y defensa del movimiento lateral
Extienda MFA a sistemas heredados y no administrados
Reforzar la seguridad de los usuarios privilegiados (p. ej., escalada de privilegios, apropiación de cuentas)
Proteja el almacén de identidades de ataques de protocolo (p. ej., NTLM) y adquisiciones (p. ej. , pass-the-hash , golden ticket)
Detectar herramientas de ataque (p. ej., mimikatz)
Creación de una solución integral de seguridad de identidad con CrowdStrike
La plataforma CrowdStrike® Falcon proporciona visibilidad y seguridad continuas y en tiempo real en todos los activos de la organización. CrowdStrike ayuda a los clientes a establecer una estrategia de seguridad integral, incluidos los principios de seguridad de identidad, para crear una solución de ciberseguridad que ofrezca las siguientes capacidades:
Detección y prevención en tiempo real: la plataforma Falcon permite capacidades de monitoreo, detección y respuesta automáticas y continuas para que las organizaciones sepan exactamente lo que está sucediendo, desde una amenaza en un punto final único hasta el nivel de amenaza de la organización. Intelligent EDR detecta automáticamente y prioriza de forma inteligente la actividad maliciosa y de atacantes.
Visibilidad de extremo a extremo: la plataforma Falcon brinda visibilidad y seguridad continuas a través de una variedad de puntos de contacto, incluido el tipo de hardware de punto final, versiones de firmware, versiones de sistema operativo, niveles de parches, vulnerabilidades, aplicaciones instaladas, inicios de sesión programáticos y de usuario, y seguridad o incidente detecciones y, en el caso de incidentes de identidad y muchos tipos de movimiento lateral, prevención.
Sólida seguridad de AD: las capacidades avanzadas de seguridad de AD de Falcon agregan análisis de riesgo a través del contexto y la calificación de amenazas a las funciones básicas de IAM para ayudar a los equipos de seguridad a tomar decisiones de acceso mejores y más informadas y hacer cumplir el acceso condicional en todas las solicitudes. Los principios de acceso condicional abren la puerta a nuevos tipos de segmentación basados no solo en los límites de la red, sino también en las políticas que tocan el contexto de la identidad, el comportamiento y el riesgo de las credenciales del usuario.
Integración de IAM: las herramientas de Falcon Identity Protection ofrecen auditorías de identidad completas y comprensión de las cuentas, los protocolos y los servicios a los que accede cada uno. La plataforma Falcon ofrece múltiples API en proveedores asociados de MFA/IAM, SIEM, tecnologías SOAR y más, lo que le permite ver de extremo a extremo todos sus dispositivos e identidades, y controlar esas piezas en tiempo real.
Cumplimiento de Zero Trust NIST: como el único proveedor de seguridad cibernética Zero Trust que cumple con NIST, Falcon Zero Trust descubre rápidamente todos los usuarios y tipos de usuarios en su red extendida (regular, privilegiado, cuentas de servicio) y brinda información continua y análisis de comportamiento para detectar y responder al riesgo. y amenazas en tiempo real. Las capacidades de adaptación de la plataforma le permiten automatizar las respuestas con el tipo correcto de aplicación o notificación en función de la identidad, el comportamiento y el riesgo.
Open API First Platform: la plataforma Falcon proporciona un conjunto de espectro completo de API Restful/JSON que permiten a los clientes finales y al ecosistema de socios de CrowdStrike integrar herramientas de terceros que ayudan a implementar sin problemas su arquitectura Zero Trust. Algunos ejemplos de integraciones de terceros incluyen Okta, ZScaler, NetSkope, ForeScout, Splunk/Phantom y muchos más. Identity Protection de CrowdStrike puede alimentar directamente a SIEM a través de formatos JSON, CEF y LEEF, y muchos SOAR.
Fuente: https://www.crowdstrike.com/cybersecurity-101/identity-security/