La frecuencia de los ataques de ransomware se ha duplicado en los últimos dos años, lo que representa el 10 % de todas las violaciones de seguridad. Según el Informe de investigación sobre violaciones de datos de Verizon de 2022, el ‘elemento humano’ es el principal medio de acceso inicial en el 82 % de las violaciones, siendo la ingeniería social y el robo de credenciales las principales técnicas, tácticas y procedimientos (TTP) utilizados por los actores maliciosos. Los atacantes intentan constantemente acceder a credenciales válidas y utilizarlas para moverse por las redes empresariales sin ser detectados. Estos retos están llevando a los CISO a situar la seguridad de la identidad en lo más alto de su lista de prioridades.
Las soluciones de identidad tradicionales siguen dejando margen para los ataques
Las soluciones tradicionales de seguridad de identidad que encabezan la lista incluyen la gestión de identidades y accesos (IAM), la gestión de accesos privilegiados (PAM) y la gobernanza y administración de identidades (IGA). Estas herramientas garantizan que los usuarios adecuados tengan el acceso apropiado y emplean la verificación continua, principios rectores del modelo de seguridad de confianza cero.
Sin embargo, la gestión de identidades y accesos, que se centra únicamente en el aprovisionamiento, la conexión y el control del acceso a las identidades, es solo el punto de partida de la seguridad de las identidades. La cobertura debe extenderse más allá de la autenticación inicial y el control de acceso a otros aspectos de la identidad, como las credenciales, los privilegios, los derechos y los sistemas que los gestionan, desde la visibilidad hasta la exposición y la detección de ataques.
Desde la perspectiva de los vectores de ataque, Active Directory (AD) es un activo evidente. AD es donde la identidad y sus elementos clave existen de forma natural, por lo que se encuentra en el punto de mira de los atacantes y una de las principales preocupaciones en materia de seguridad. Además, a medida que la migración a la nube continúa a un ritmo rápido, surgen retos de seguridad adicionales a medida que los equipos de TI se mueven rápidamente para aprovisionar sus entornos.
Cuando las vulnerabilidades de AD se combinan con la tendencia de la nube a la configuración incorrecta, la necesidad de una capa adicional de protección más allá del aprovisionamiento y la gestión de accesos se hace mucho más evidente.
Seguridad de la identidad con un nuevo giro
Las soluciones de seguridad de identidad modernas e innovadoras proporcionan una visibilidad esencial de las credenciales almacenadas en los puntos finales, las configuraciones erróneas de Active Directory (AD) y la proliferación de derechos en la nube. La gestión de la superficie de ataque de la identidad (ID ASM) y la detección y respuesta a amenazas de identidad (ITDR) son nuevas categorías de seguridad diseñadas para proteger las identidades y los sistemas que las gestionan.
Estas soluciones complementan y funcionan conjuntamente con la detección y respuesta de endpoints (EDR), la detección y respuesta extendida (XDR), la detección y respuesta de redes (NDR) y otras soluciones similares.
ID ASM busca reducir la superficie de ataque de la identidad para limitar las exposiciones que los atacantes pueden explotar. Cuantas menos exposiciones, menor será la superficie de ataque de la identidad . Para la mayoría de las empresas, esto significa Active Directory, ya sea en las instalaciones o en Azure.
Mientras que EDR es una solución robusta que busca ataques en los puntos finales y recopila datos para su análisis, las soluciones ITDR buscan ataques dirigidos a las identidades. Una vez que una solución ITDR detecta un ataque, añade una capa de defensa proporcionando datos falsos que redirigen al atacante a un señuelo de aspecto auténtico y aísla automáticamente el sistema comprometido que realiza la consulta.
Las soluciones ITDR también proporcionan asistencia en la respuesta a incidentes mediante la recopilación de datos forenses y la telemetría sobre los procesos utilizados durante el ataque. La naturaleza complementaria de EDR e ITDR encaja perfectamente para lograr un objetivo común: frustrar los esfuerzos de los atacantes. Las soluciones ID ASM e ITDR permiten detectar el uso indebido de credenciales, la escalada de privilegios y otras tácticas que los atacantes explotan o llevan a cabo dentro de la red. Cierran las brechas críticas entre la gestión de accesos de identidad y las soluciones de seguridad de endpoints, impidiendo que los ciberdelincuentes aprovechen las credenciales vulnerables para moverse por las redes sin ser detectados.
Soluciones de seguridad contra amenazas de identidad
SentinelOne ha aprovechado su amplia experiencia en la detección de escalada de privilegios y movimientos laterales y ofrece una solución líder en su clase en los ámbitos de la detección y respuesta a amenazas de identidad y la gestión de seguridad de identidades (ID ASM). La empresa ha consolidado su posición de liderazgo gracias a su amplia cartera de soluciones ITDR e ID ASM.
Productos de seguridad de identidad:
- Singularity Identity Posture Management para la evaluación continua de las exposiciones y actividades de Active Directory que podrían indicar un ataque
- Singularity Identity Detección y respuesta ante amenazas (ITDR) para la detección de actividades no autorizadas y ataques a Active Directory, protección contra el robo de credenciales y uso indebido, prevención de la explotación de Active Directory, visibilidad de la ruta de ataque, reducción de la superficie de ataque y detección de movimientos laterales
Singularity™ Identity
Detect and respond to attacks in real-time with holistic solutions for Active Directory and Entra ID.
Get a DemoEs hora de adoptar un nuevo enfoque de seguridad de la identidad
Con el aumento de los ataques basados en la identidad, las empresas actuales necesitan poder detectar cuándo los atacantes explotan, utilizan indebidamente o roban las identidades empresariales. Esta necesidad es especialmente cierta ahora que las organizaciones se apresuran a adoptar la nube pública y que las identidades humanas y no humanas siguen aumentando de forma exponencial.
Dada la tendencia de los atacantes a hacer un uso indebido de las credenciales, aprovechar Active Directory (AD) y atacar identidades a través de los derechos de acceso a la nube, es fundamental detectar la actividad basada en la identidad con soluciones modernas de ID ASM e ITDR.
Más información sobre Singularity Identity Posture Management y Singularity Identity de SentinelOne.
"Preguntas frecuentes sobre ataques basados en la identidad
Los ataques de identidad son incidentes de seguridad de la información en los que un atacante intenta acceder a los sistemas de forma ilegítima utilizando credenciales de usuario como nombres de usuario, contraseñas o tokens de autenticación. Los atacantes están interesados en robar, manipular o hacer un uso indebido de los datos relacionados con la identidad, en lugar de realizar ataques a vulnerabilidades técnicas.
Se trata de ataques que utilizan vulnerabilidades en la gestión de identidades y accesos para suplantar a usuarios legítimos o moverse persistentemente de forma lateral en las redes. Los atacantes eluden fácilmente la seguridad tradicional una vez que obtienen credenciales legítimas, ya que aparecen como usuarios legítimos, lo que hace que sea prácticamente difícil detectarlos.
Algunos ejemplos comunes son los correos electrónicos de phishing que engañan a los usuarios para que revelen sus credenciales de inicio de sesión, los ataques de relleno de credenciales que utilizan contraseñas robadas en múltiples sitios y los ataques de rociado de contraseñas que prueban contraseñas comunes en muchas cuentas. Las técnicas de ingeniería social manipulan a los empleados para que divulguen información confidencial, mientras que los ataques de tipo man-in-the-middle interceptan las comunicaciones para robar datos.
Los ataques de fuerza bruta utilizan herramientas automatizadas para adivinar contraseñas, y los ataques de tipo golden ticket explotan las debilidades de Active Directory para acceder al dominio.
Los enfoques basados en la identidad se centran en "quién quieres ser", mientras que los enfoques basados en los resultados se centran en "qué quieres conseguir". En el contexto de la seguridad, los ataques basados en la identidad se dirigen a la identidad digital y las credenciales de la persona para obtener acceso no autorizado, mientras que los ataques basados en resultados se centran en lograr resultados específicos, como el robo de datos o la interrupción del sistema.
Los métodos basados en la identidad crean cambios de comportamiento duraderos porque se alinean con la identidad personal, mientras que los métodos basados en resultados pueden perder eficacia una vez que se alcanza el objetivo. Las organizaciones necesitan ambos enfoques: controles de seguridad centrados en la identidad y procedimientos de respuesta a incidentes centrados en los resultados.
Puede prevenir estos ataques implementando la autenticación multifactorial, que requiere una verificación adicional además de las contraseñas. Las políticas de contraseñas seguras que utilizan frases de contraseña en lugar de contraseñas complejas hacen que los sistemas sean más difíciles de violar. La formación de los empleados ayuda al personal a identificar los intentos de phishing y las tácticas de ingeniería social antes de caer en la trampa.
Las auditorías de seguridad periódicas identifican las vulnerabilidades, mientras que las soluciones de inicio de sesión único reducen el número de credenciales a las que pueden atacar los piratas informáticos. Supervise el comportamiento de los usuarios en busca de actividades inusuales e implemente modelos de seguridad de confianza cero que verifiquen cada solicitud de acceso.
Los principales tipos de ataques de identidad incluyen el relleno de credenciales utilizando pares de inicio de sesión robados en múltiples sitios, el rociado de contraseñas con contraseñas comunes contra muchas cuentas y los correos electrónicos de phishing diseñados para robar credenciales. La ingeniería social manipula a las víctimas para que revelen información, mientras que los ataques de fuerza bruta adivinan las contraseñas utilizando herramientas de automatización.
Los ataques de tipo "man-in-the-middle" interceptan las comunicaciones, el kerberoasting se centra en las contraseñas de las cuentas de servicio y los ataques de tipo "golden ticket" aprovechan las debilidades de Active Directory. El secuestro de sesiones se apodera de las sesiones activas de los usuarios y los compromisos de cuentas privilegiadas se centran en las credenciales administrativas de alto acceso.
La MFA introduce una capa de seguridad adicional que impide el acceso no autorizado incluso si se comprometen las contraseñas. Exige a los usuarios que muestren más de un método de autenticación, como contraseñas, códigos móviles o datos biométricos, antes de conceder el acceso. Incluso si los piratas informáticos obtienen su contraseña mediante phishing o violaciones de datos, también necesitan el segundo método para acceder.
La MFA reduce significativamente el riesgo de violaciones, ya que los piratas informáticos deben romper más de una credencial independiente en comparación con una sola contraseña. Las organizaciones que utilizan la MFA son significativamente menos vulnerables a los ataques basados en la identidad, ya que introduce más barreras que muchos piratas informáticos son incapaces de romper fácilmente.