La detección y respuesta a amenazas de identidad (Identity Threat Detection and Response - ITDR) se ha convertido en un componente crítico para detectar y responder eficazmente a los ataques basados en la identidad.

Los actores de amenazas han demostrado su capacidad para comprometer la infraestructura de identidad y moverse lateralmente hacia entornos IaaS, Saas, PaaS y CI/CD. Las soluciones de detección y respuesta a amenazas de identidad ayudan a las organizaciones a detectar mejor actividades sospechosas o maliciosas en su entorno.

Las soluciones ITDR brindan la capacidad de ayudar a responder la pregunta "¿Qué está sucediendo ahora mismo en mi entorno? ¿Qué están haciendo mis identidades en mis entornos?".

Identidades humanas y no humanas

Como se describe en la Guía de soluciones ITDR de la empresa Permiso, las soluciones ITDR integrales cubren identidades tanto humanas como no humanas.

• Las identidades humanas involucran a la fuerza laboral (empleados), invitados (contratistas) y proveedores.
• Las identidades no humanas incluyen tokens, claves, cuentas de servicio y bots.

Las soluciones ITDR multientorno pueden detectar y responder a todos los riesgos de las entidades de identidad, por ejemplo, desde el IdP hasta las capas IaaS y SaaS, en lugar de proteger las identidades en un nivel fragmentado específico de la capa.

Capacidades principales del ITDR

Las capacidades esenciales de una solución ITDR incluyen:

• Desarrollar un perfil de identidad universal para todas las entidades, incluidas las identidades humanas y no humanas, la actividad en las capas de servicios en la nube y las aplicaciones y servicios locales.
• Emparejar el análisis estático, la gestión de posturas y la configuración de esas identidades con la actividad de tiempo de ejecución de esas identidades en el entorno.
• Monitorear y rastrear rutas de acceso directo e indirecto y monitorear la actividad de todas las identidades en todo el entorno.
• Orquestar detecciones y seguimiento de identidades en múltiples entornos que abarcan proveedores de identidades, aplicaciones IaaS, PaaS, SaaS y CI/CD para seguir la identidad donde quiera que vayan en el entorno.
• Detección y respuesta de alta fidelidad en múltiples entornos que permite a las organizaciones tomar medidas sobre las amenazas a la identidad a medida que se manifiestan en toda la superficie de ataque, en lugar de reaccionar a alertas atómicas de gran volumen basadas en eventos únicos.

Casos de uso de amenazas a la identidad

Para protegerse eficazmente contra ataques de identidad, las organizaciones deben elegir una solución ITDR con capacidades avanzadas para detectar y mitigar ataques. Estas capacidades deben abordar una variedad de casos de uso para identidades humanas y no humanas, que incluyen, entre otros:

• Detección de apropiación de cuentas: detectar cualquiera de las numerosas variantes que indican que una identidad ha sido comprometida.
• Detección de credenciales comprometidas: identificar y alertar sobre el uso de credenciales robadas o comprometidas dentro del entorno.
• Detección de escalada de privilegios: detectar intentos no autorizados de escalamiento de privilegios dentro de sistemas y aplicaciones.
• Detección de comportamiento anómalo: supervisar las desviaciones del comportamiento normal del usuario que puedan indicar actividad maliciosa.
• Detección de amenazas internas: identificar y responder a acciones maliciosas o negligentes por parte de usuarios internos.

1. INVENTARIO DE IDENTIDAD Y GESTIÓN DE ACCESO

• ¿Qué identidades de entidades están presentes en nuestro entorno?
  Inventario completo de identidades humanas y no humanas en todos los entornos.
• ¿Qué roles y permisos tienen estas identidades?
  Detalles sobre roles, grupos y permisos específicos que cada identidad tiene en diferentes entornos locales y de nube.
• ¿Qué rol/grupo le dio a un usuario particular acceso a un recurso? ¿Cuál es el alcance del permiso para ese acceso?

2. EVALUACIÓN DE RIESGOS Y DETECCIÓN DE ANOMALÍAS

• ¿Cuáles son las 10 identidades más riesgosas en mi capa de servicios en la nube? ¿Cuál sería el radio de la explosión si una de esas identidades se viera comprometida?Identificación de las identidades de mayor riesgo y evaluación del impacto potencial de su compromiso.
• ¿Hay alguna anomalía en el comportamiento de identidad?
  Detección de desviaciones de los patrones de comportamiento normales para cada identidad, destacando posibles actividades maliciosas.
• ¿Se ha comprometido alguna credencial?
  Alertas sobre el uso de credenciales robadas o comprometidas dentro del entorno.

3. PATRONES DE AUTENTICACIÓN Y ACCESO

• ¿Cómo se autentican y se accede a las identidades?
  Seguimiento de métodos de autenticación y rutas de acceso para todas las identidades, incluidos puntos de acceso federados y no federados.
• ¿Cuáles son las fuentes y ubicaciones de los intentos de inicio de sesión?
  Registros detallados de intentos de inicio de sesión, incluidas direcciones IP, ubicaciones geográficas e información del dispositivo.
• ¿Cómo acceden a mi entorno actual los diferentes tipos de entidades (humanas y no humanas)?
  Monitorear patrones de acceso para diferentes tipos de entidades en el entorno.
• ¿Con qué amplitud se aplica MFA en todas las capas de aplicaciones y servicios en la nube de mi entorno?
  Evaluación de la implementación y cumplimiento de la autenticación multifactor (MFA) en todo el entorno.

4. SEGUIMIENTO DE ACTIVIDADES Y SEGUIMIENTO DE CAMBIOS

• ¿Qué cambios se acaban de realizar en mi entorno, quién es responsable de esos cambios y se realizaron cambios similares en otras capas de servicios en la nube?
  Seguimiento e informes de cambios recientes, usuarios responsables y coherencia entre capas.
• ¿Qué identidades han accedido a datos sensibles o sistemas críticos?
  Monitorear e informar sobre el acceso de identidad a repositorios de datos confidenciales, sistemas críticos y aplicaciones de alto riesgo.

5. CORRELACIÓN Y RESPUESTA AL INCIDENTE

• ¿Cómo se correlacionan los incidentes relacionados con la identidad en diferentes entornos?
  Correlación de actividades e incidentes de identidad en IdP, IaaS, PaaS, SaaS, CI/CD y entornos locales para proporcionar una vista unificada.
• ¿Qué acciones se deben tomar para mitigar las amenazas identificadas?
  Recomendaciones procesables y opciones de respuesta automatizadas para mitigar las amenazas de identidad detectadas y prevenir incidentes futuros.

Fuente: THN