ITDR: 5 cosas que debes saber

La seguridad de la identidad es más importante que nunca. Gartner® publicó su primer informe independiente sobre la detección y respuesta ante amenazas de identidad (ITDR), titulado«Mejore su preparación ante los ciberataques mediante la detección y respuesta ante amenazas de identidad», el 20 de octubre de 2022. El informe completo está disponible aquí. (se requiere suscripción)

Gracias a este informe, los profesionales de la seguridad y la gestión de riesgos disponen ahora de nuevos estudios, información y recomendaciones para abordar los problemas de seguridad de las identidades. A continuación, te presentamos cinco puntos clave que debes saber sobre el ITDR:

1. La identidad es el principal vector de los ciberataques

Según Gartner, «la dependencia de las organizaciones respecto a su infraestructura de identidad para facilitar la colaboración, el teletrabajo y el acceso de los clientes a los servicios ha convertido a los sistemas de identidad en objetivos prioritarios para los actores maliciosos, siendo el uso indebido de las credenciales la vía más habitual hacia las brechas de seguridad en 2021».

En los últimos años, las organizaciones han tenido que hacer frente a la realidad operativa de contar con una plantilla que no podía acudir a la oficina. La crisis sanitaria provocada por la COVID-19 ha acelerado lo que deberían haber sido iniciativas de transformación digital de varios años, reduciéndolas a unos pocos meses de implementación. Como ocurre con cualquier adopción de nuevas tecnologías, los atacantes han centrado su atención en sacar partido de este cambio.

Según el Identity Theft Resource Center, los ataques de ransomware se duplicaron en 2020 y volvieron a duplicarse en 2021. Este aumento en la frecuencia de los ataques de ransomware debe atribuirse en parte a los retos a los que se han enfrentado las organizaciones para facilitar el teletrabajo, la expansión de nuevos sistemas basados en la nube y las iniciativas de seguridad de tipo «zero trust», todas ellas con las identidades como elemento central; identidades que los atacantes han demostrado que son vulnerables a la explotación.

Las investigaciones de Illusivehan revelado que las credenciales de cuentas privilegiadas, como las sesiones RDP almacenadas en caché que permiten a los administradores remotos acceder a los ordenadores, quedan expuestas en más de uno de cada diez ordenadores. Además, las credenciales de RDP y VPN son las cuentas más populares y valiosas entre los intermediarios de acceso inicial de los ataques de ransomware. El robo de credenciales almacenadas en caché es el principal método de ataque. Los ataques de apropiación de cuentas (ATO) son muy frecuentes.

2. La identidad es la nueva vulnerabilidad

Con la adopción de la computación en la nube y la necesidad de facilitar el teletrabajo, se oye decir a menudo que la identidad es el nuevo perímetro; muchos sostienen que la identidad es la base de la ciberseguridad. Como nuevo perímetro, esto implica que la identidad es también la nueva vulnerabilidad, ya que todo lo que un atacante necesita para comprometer los recursos de la empresa es un único conjunto de credenciales privilegiadas expuestas.

Según Gartner, «las amenazas relacionadas con la identidad son múltiples. Las configuraciones incorrectas y las vulnerabilidades de la infraestructura de identidad pueden ser objeto de explotación».

Las investigaciones de Illusive han revelado que estas vulnerabilidades de seguridad relacionadas con la identidad están presentes en 1 de cada 6 activos y se clasifican en tres categorías:

Sin gestionar: Las cuentas con privilegios deben almacenarse en soluciones de gestión de acceso privilegiado (PAM), pero puede resultar difícil obtener la visibilidad necesaria para realizar un inventario completo de estas cuentas. Por ejemplo, el 87 % de los administradores locales no están registrados en la solución «Local Administrator Password Solution» de Microsoft.

Configuraciones incorrectas: Las configuraciones erróneas en Active Directory y otras soluciones de gestión de identidades y accesos (IAM) pueden dar lugar a la creación de «administradores fantasma», que han obtenido privilegios innecesariamente elevados debido a políticas de grupo u otros errores de configuración, sin que se tenga visibilidad sobre sus derechos.

Vulnerables: incluso cuando las identidades privilegiadas se han configurado y gestionado correctamente, pueden quedar expuestas durante el desarrollo de las actividades normales de la empresa. Las credenciales almacenadas en caché suelen guardarse en dispositivos periféricos y servidores, ya sea en memoria, en registros o en disco, donde pueden ser extraídas mediante herramientas de ataque de uso común.

Dado que son multifacéticos, los factores de riesgo relacionados con la identidad pueden manifestarse en varias dimensiones. Es malo que a una identidad se le concedan privilegios de administrador innecesarios; es peor cuando su contraseña no se ha actualizado desde hace más de un año; y lo peor ocurre cuando sus credenciales quedan expuestas, sobre todo si no han sido protegidas por una solución PAM.

3. Los atacantes se aprovechan de las vulnerabilidades entre los sistemas de identidad y de seguridad

La complejidad de las identidades de una organización implica que los sistemas de identidad, como IAM, PAM y MFA, se implementen en proyectos de varias fases, lo que deja las identidades expuestas hasta que dichas implementaciones se hayan completado por completo. Estas implementaciones, que se prolongan durante varios años, también se enfrentan a cambios constantes en las identidades, que deben volver a detectarse a lo largo del tiempo para que dichas implementaciones tengan éxito.

Además, el proceso de detección y auditoría de las cuentas en relación con las políticas de TI y otros requisitos de cumplimiento, como las políticas de contraseñas y las auditorías PAM, es un proceso tedioso, manual y propenso a errores, que se lleva a cabo en hojas de cálculo. Más allá del coste de estas identificaciones, que requieren mucha mano de obra, quedan obsoletas casi de inmediato, lo que deja a las organizaciones sin saber el alcance de sus identidades vulnerables e incapaces de priorizar las medidas correctivas o de optimizar los proyectos relacionados con la identidad.

Por otra parte, el enfoque de análisis de comportamiento, cada vez más utilizado para detectar ciberataques, falla a la hora de supervisar las cuentas con privilegios en busca de actividad maliciosa, debido a la dificultad para distinguir entre el uso legítimo de una cuenta con privilegios por parte de un administrador y las actividades maliciosas de los atacantes que han comprometido la cuenta. Esto da lugar a indicadores de compromiso (IOC) con falsos positivos y falsos negativos que dejan a los equipos de seguridad en la oscuridad. En consecuencia, los ataques de apropiación de cuentas pasan regularmente desapercibidos hasta que es demasiado tarde para prevenir el ataque.

Al centrarse en las identidades con privilegios, los autores de la amenaza también pueden acelerar las etapas de su ataque. Por ejemplo, en un conocido ataque de ransomware perpetrado por Lapsus$, las credenciales de acceso RDP permitieron a una organización de ataque (ATO) establecer persistencia y escalar sus privilegios con solo descargar una herramienta de GitHub.

Según Gartner, «los controles preventivos de seguridad y de gestión de identidades y accesos convencionales son insuficientes para proteger los sistemas de identidad frente a los ataques. Para reforzar la preparación ante los ciberataques, los responsables de seguridad y gestión de riesgos deben incorporar capacidades de ITDR a su infraestructura de seguridad».

4. Más vale prevenir que curar

Los autores del ataque utilizan herramientas de ataque automatizadas, como Mimikatz, para detectar y aprovechar identidades vulnerables. De hecho, Mimikatz fue precisamente la herramienta de ataque que Lapsus$ descargó de GitHub para robar las credenciales almacenadas en caché que necesitaban para ampliar sus privilegios.

Aunque estos ataques parezcan nuevos, la realidad es que Mimikatz es una herramienta de ataque muy conocida que figura en el marco MITRE ATT&CK desde 2017. Este ataque de Lapsus$ y muchos otros similares sirven como prueba de cómo las herramientas de los atacantes permiten a los actores maliciosos acelerar las etapas de su ataque.

Por lo tanto, es lógico que, si las organizaciones quieren reducir los riesgos de forma demostrable, deban centrarse en eliminar las vulnerabilidades relacionadas con las identidades que los actores maliciosos suelen aprovechar, lo que les permite eludir la detección y llevar a cabo sus ataques en tan solo unos días. Aunque esto era prácticamente imposible en el pasado sin la automatización, hoy en día se puede lograr gracias a la disponibilidad de soluciones ITDR que detectan continuamente estas vulnerabilidades, priorizan su resolución en función de los riesgos que presentan y, en algunos casos, automatizan su resolución.

Según Gartner, «Prepárense para el ITDR aplicando medidas de seguridad, identificando los controles de prevención existentes y auditando su infraestructura de IAM en busca de configuraciones incorrectas, vulnerabilidades y riesgos de exposición».

5. La ITDR es una prioridad absoluta en materia de ciberseguridad

Según Gartner, «Las amenazas modernas a la identidad pueden eludir los controles preventivos tradicionales de gestión de identidades y accesos (IAM), como la autenticación multifactorial (MFA). Esto convierte la detección y respuesta ante amenazas a la identidad (ITDR) en una prioridad de ciberseguridad para 2022 y años posteriores».

Los ciberdelincuentes han convertido el aprovechamiento de las infraestructuras de identidad en su principal objetivo de ataque. Su razonamiento al respecto ha quedado claro gracias a la demostración de su capacidad para llevar a cabo rápidamente ataques de ATO con privilegios sin ser detectados.

Los profesionales de la seguridad y de la informática han colaborado a lo largo de los años para proteger las redes, los puntos finales, las aplicaciones y muchas otras capas de sus infraestructuras informáticas. Ahora que los atacantes se centran en explotar las identidades vulnerables, las organizaciones deben esforzarse por convertir la protección de las identidades en una prioridad absoluta.

En conclusión, la seguridad de las identidades se ha convertido en una prioridad absoluta para las organizaciones, ya que los ciberdelincuentes aprovechan cada vez más las vulnerabilidades de las infraestructuras de identidad para llevar a cabo ataques con éxito. Las herramientas de ataque automatizadas, como Mimikatz, se utilizan para descubrir y explotar identidades vulnerables, lo que permite a los atacantes eludir los controles preventivos tradicionales, como la autenticación multifactorial. Por lo tanto, las soluciones de detección y respuesta ante amenazas de identidad (ITDR) se han convertido en esenciales para detectar y eliminar estas vulnerabilidades, lo cual puede automatizarse gracias a las herramientas modernas. En definitiva, está claro que las organizaciones deben convertir la seguridad de las identidades en una prioridad absoluta para reducir los riesgos y prevenir ataques exitosos.

Fuente: Illusive

Compartir en:

5 cosas que debes saber sobre la detección y respuesta ante amenazas relacionadas con la identidad (ITDR)

5 cosas que debes saber sobre la detección y respuesta ante amenazas relacionadas con la identidad (ITDR)

1. La identidad es el principal vector de los ciberataques

2. La identidad es la nueva vulnerabilidad

3. Los atacantes se aprovechan de las vulnerabilidades entre los sistemas de identidad y de seguridad

4. Más vale prevenir que curar

5. La ITDR es una prioridad absoluta en materia de ciberseguridad

Fuente: Illusive

Categorías

Últimos artículos

La estrategia Zero Trust: una popularidad creciente en el ámbito de la ciberseguridad

Microsegmentación basada en la identidad: la nueva frontera de la seguridad

Las principales amenazas cibernéticas en África: resumen del informe de SOCRadar

Phishing e ingeniería social: una amenaza creciente para los bancos y las aseguradoras

Enlaces

Contacto

Boletín informativo