Al igual que el impacto de los ciberataques no se limita al departamento de TI, el papel del CISO se ha ampliado más allá del equipo de seguridad. Ahora que las organizaciones y los analistas reconocen que la identidad es el nuevo perímetro de seguridad, la supervisión de una estrategia integral de seguridad que dé prioridad a la identidad se ha convertido en una responsabilidad esencial del CISO. ¿Qué necesitan saber los CISO sobre la detección y respuesta ante amenazas de identidad (ITDR)? Aquí, nuestros expertos proporcionan cinco pasos importantes para los líderes de seguridad con visión de futuro.
1. Céntrese en la seguridad basada en la identidad para reforzar la resistencia operativa
Simon Hodgkinson, antiguo CISO de bp y asesor estratégico de Semperis, afirma que la resistencia operativa debe ser una prioridad tanto para los responsables de seguridad como para los de negocio. Y habilitar la plena resiliencia implica mucho más que tener un plan genérico de recuperación ante desastres.
"La recuperación en caso de catástrofe tiene una definición bastante limitada y suele considerarse en un marco temporal reducido", afirma Hodgkinson. "La capacidad de recuperación operativa es mucho más amplia, e incluye aspectos como el tipo de gobernanza que se ha implantado, cómo se gestiona el riesgo operativo, los planes de continuidad de negocio y la gestión de riesgos cibernéticos, de la información y de proveedores externos..... La resistencia debe estar integrada en todo".
Este nivel de resistencia depende de una fuerte seguridad para su infraestructura de identidad. Para más del 90 por ciento de las organizaciones, eso significa Active Directory (AD) y Azure AD. Después de todo, si AD no funciona, no funciona nada. Como dice Hodgkinson, "Active Directory es el núcleo de su capacidad para operar y ofrecer resultados empresariales, y debe formar parte de su estrategia de resiliencia operativa en lugar de ser tratado como una isla."
- Qué hacer: Hacer de la seguridad de AD híbrida un componente central de su plan de resiliencia operativa.
- Para leer: Resiliencia operativa: Más que recuperación ante catástrofes
2. Elabore una estrategia global de ITDR
"Gartner llamó mucho la atención a finales del año pasado sobre las soluciones de detección y respuesta a amenazas de identidad (ITDR)", afirma Sean Deuby, tecnólogo principal de Semperis. "Hay muchas formas de reforzar las defensas, pero el paso más productivo que las organizaciones pueden dar este año es dar prioridad a la seguridad centrada en la identidad."
Dicha estrategia debe incluir procedimientos, procesos y responsabilidades específicos para proteger su infraestructura de identidad híbrida a lo largo del ciclo de vida de un ataque a AD: antes, durante y después de un ataque. Debe incluir un plan de copia de seguridad y recuperación específico para AD y una supervisión periódica para identificar las vulnerabilidades relacionadas con la identidad. Y debe identificar las interdependencias entre sus sistemas de identidad y la tecnología operativa (OT).
- Qué hacer: Construir una estrategia ITDR que cubra todas las etapas del ciclo de vida del ataque AD.
- Para leer: Cómo construir una estrategia de ITDR sólida
3. Obtenga una visión realista de su superficie de ataque a la identidad
"La mayoría de los ataques implican la identidad e, independientemente de su punto de acceso inicial, los actores de amenazas suelen pasar por AD para ganar terreno en su entorno", explica Deuby. "Por tanto, un buen punto de partida es evaluar y reducir la superficie de ataque de AD".
Este paso necesario no tiene por qué ser difícil ni caro. Existen potentes herramientas como Purple Knightque le ayuda a detectar lagunas y vulnerabilidades que a menudo existen desde hace años, y Forest Druidque le ayuda a identificar sus activos de identidad más importantes y las vías de acceso a los mismos. No se requiere instalación ni permisos especiales, y las herramientas proporcionan una visión clara de las vulnerabilidades potenciales, así como indicadores de que los atacantes podrían haber vulnerado ya su perímetro de identidad. También obtendrá orientación práctica para cerrar las brechas existentes.
- Para hacerlo: Descargue y ejecute Purple Knight y Forest Druid para obtener una instantánea de su superficie de ataque de AD.
- Para ver: Proteja sus activos de identidad con Purple Knight y Forest Druid
4. Automatice la protección de la identidad para una respuesta más rápida
Forbes recomienda que los CISO se centren en soluciones para automatizar la prevención de amenazas. "La automatización y un enfoque API-first pueden ayudar a agilizar los procesos, reducir el riesgo de error humano y mejorar la eficiencia de los equipos de ciberseguridad", señala Forbes. "Esto incluye el uso de la automatización en tareas como la gestión de vulnerabilidades, la respuesta a incidentes y las comprobaciones de cumplimiento".
La automatización puede reducir la carga de trabajo de los recursos, así como los errores humanos y acelerar la respuesta ante incidentes. Y cuando se trata de proteger sus activos de identidad de nivel 0, la velocidad es esencial.
Durante el infame ataque de NotPetya a Maersk, por ejemplo, el ransomware se propagó por la red a una velocidad récord. "En el momento en que lo veías, tu centro de datos ya había desaparecido", explicó a Wired Craig William, Director de Difusión de la división Talos de Cisco.
Por ello, las soluciones ITDR expertas permiten la reversión automatizada de los cambios en AD. Semperis Directory Services Protector (DSP) automatiza la corrección y habilita activadores y alertas personalizados, para que las organizaciones puedan responder a las ciberamenazas lo antes posible.
La automatización de la recuperación de AD es otra capacidad vital. La recuperación manual puede llevar días o incluso semanas, frente a tan solo una hora con Semperis Active Directory Forest Recovery (ADFR).
- Qué hacer: Solicitar una demostración de DSP o ADFR.
- Para leer: Automatizar la detección y la respuesta
5. Prepárese para lo peor
"Sospecho que vamos a ver un crecimiento continuo de la ciberdelincuencia, en todos los frentes, no solo en 2023, sino en los años venideros", advierte Deuby. "Según el Cybersecurity Outlook de Statista, se espera que el coste global de la ciberdelincuencia se dispare en los próximos cinco años, pasando de 8,44 billones de dólares en 2022 a 23,84 billones en 2027, con una media de crecimiento anual de entre el 21% y el 36%". Esta tendencia conlleva un mensaje claro: Seguir trabajando en los aspectos básicos de la seguridad y cerrar las vías de ataque más comunes."
A los expertos en seguridad les gusta decir que los ciberataques son una cuestión de "cuándo, no si". Los CISO deben prepararse para ese "cuándo" teniendo una copia de seguridad específica de AD y un plan detallado de recuperación de AD, y probando ambos con regularidad. Las copias de seguridad tradicionales incluyen tanto AD como el sistema operativo, que puede incluir malware. El malware puede esconderse en su entorno durante semanas o meses, corrompiendo las copias de seguridad para que la recuperación reinfecte sus sistemas. Y lo último que necesita es descubrir fallos en su copia de seguridad o plan de recuperación durante un ciberataque activo.
- Qué hacer: Desarrollar un plan de copia de seguridad y recuperación específico para AD y probar ambos con regularidad.
- Para leer: Por qué recuperar Active Directory de un ciberataque es un componente esencial de ITDR
Más información
Muchas de las organizaciones más grandes del mundo confían en los expertos en seguridad de la identidad de Semperis para ayudarles a proteger y recuperar sus infraestructuras de Active Directory y Azure AD. Reconocido como un proveedor experto en soluciones ITDR, las soluciones y servicios de Semperis se centran en la protección de la identidad híbrida a lo largo del ciclo de vida del ataque a AD: antes, durante y después de un ataque.
