- 1. Comprender la sopa de letras de la seguridad de los puntos finales
- 2. Las limitaciones de SOAR
- 3. La historia se repite: la evolución de la RDA y la gestión de identidades
- 4. Gestión de amenazas y patrimonio híbrido
- 5. Las personas son el motor de la RDD y de la integración de la identidad
- Implantar la mejor solución ITDR para complementar la XDR
A medida que las empresas adoptan el trabajo híbrido y la digitalización, el punto final y la identidad se acercan cada vez más. Ambas profesiones están evolucionando, y para sacar el máximo provecho de esta evolución, la gente de ambos lados tendrá que cruzar el pasillo. En un reciente episodio del podcast Hybrid Identity Protection, hablo de esta evolución con el cofundador y director de operaciones de Remediant, Paul Lanzi. También hablamos de por qué la integración entre XDR e identidad cambia las reglas del juego para los equipos de seguridad modernos.
"Desde la perspectiva de un profesional de la identidad, la seguridad de los puntos finales y de los servidores siempre ha sido históricamente un problema ajeno. Normalmente no ha habido mucha interacción con los equipos de identidad, pero eso está cambiando. El equipo de seguridad de puntos finales pronto vendrá a hablar con usted, y tiene que estar preparado". -Paul Lanzi, cofundador y director de operaciones de Remediant
Lecturas relacionadas
1. Comprender la sopa de letras de la seguridad de los puntos finales
El sector de la ciberseguridad tiene una fama nada inmerecida de estar cargado de acrónimos hasta un punto ridículo. Es una auténtica sopa de letras de tecnologías, procesos y sistemas. Las dos que posiblemente estén más presentes en este momento son EDR y XDR.
La idea básica de EDR -abreviatura de "endpoint detection and response"- es bastante simple. A medida que los autores de malware se volvían más listos, aprendían a eludir la detección basada en firmas y a crear infecciones que podían propagarse mucho más rápidamente de lo que los antivirus podían gestionar. La EDR surgió como una posible respuesta a este problema, una solución de seguridad capaz de actuar en todo un entorno para detener a los autores de amenazas y difundir datos sobre amenazas entre las organizaciones.
XDR, o detección y respuesta ampliadas, pretende ser una evolución de EDR. Mientras que las soluciones EDR se centran en la seguridad de los puntos finales, las XDR están pensadas para aprovechar otras partes de la pila de infoseguridad. Por desgracia, dado que la tecnología es todavía relativamente nueva, se utiliza a menudo como herramienta de marketing.
"Según Peter Firstbrook, un analista de Gartner que cubre este espacio, alrededor del 80% de las soluciones XDR que se lancen en los próximos años carecerán de capacidades XDR básicas", afirma Lanzi. "Así que, comprensiblemente, se mostró un poco crítico con estos enfoques meramente comerciales de una nueva categoría de productos. Pero sigue habiendo algo ahí".
2. Las limitaciones de SOAR
Al igual que la XDR pretende ser una evolución de la EDR, la orquestación, automatización y respuesta de la seguridad (SOAR) pretende ser una evolución de la gestión de eventos e información de seguridad (SIEM). Mientras que SIEM se centra en gran medida en la detección de eventos y alertas, SOAR, al menos en teoría, añade capacidades de mitigación y respuesta a la mezcla. Desgraciadamente, debido a los inmensos recursos de ingeniería y experiencia necesarios para implementar esas capacidades, la mayoría de las empresas han sido incapaces de hacerlas realidad.
"Creo que la hipótesis es buena", reflexiona Lanzi. "Si te estás integrando con una solución para acceder a sus fuentes de eventos, ¿por qué no añadir capacidades de respuesta? La realidad es que muchos SOAR se utilizan para recopilar eventos y hacer alertas similares a los SIEM, pero la parte de respuesta resultó muy difícil de implementar para todas las empresas, excepto las más grandes."
"Esto es parte de lo que intenta abordar la XDR", prosigue. "La promesa es que se puedan tomar estas medidas de respuesta como parte de la pila de infoseguridad, pero que no requieran el grado de alimentación e ingeniería que requeriría una solución SOAR. Es una integración de un solo clic frente a una implementación que requiere un equipo completo de ingeniería de seguridad."
3. La historia se repite: la evolución de la RDA y la gestión de identidades
En la actualidad, la integración entre la XDR y la gestión de identidades se encuentra todavía en una fase incipiente. Supongamos, por ejemplo, que su empresa utiliza Active Directory y determina que el dispositivo de un empleado se ha visto comprometido. Para evitar que los actores de amenazas utilicen las credenciales de ese empleado para ejecutar un ataque o propagarse lateralmente en la red, tiene la opción de utilizar XDR para bloquear completamente la cuenta de ese empleado.
No es exactamente el control detallado al que están acostumbrados los profesionales de la identidad, pero según Lanzi, esa funcionalidad llegará con el tiempo, a medida que veamos más puntos de integración entre las soluciones XDR, los directorios y los almacenes de identidad.
"Es lo mismo que vimos en las acciones de respuesta en puntos finales, y en el software antivirus antes de eso", dice Lanzi. "En los primeros tiempos de las soluciones antivirus, por ejemplo, podías eliminar un archivo infectado o dejarlo solo y que se volviera loco. Con el tiempo, eso evolucionó, con nuevas acciones como la puesta en cuarentena, la eliminación de la infección y la conservación del archivo, etc., soluciones más matizadas que simplemente machacarlo hasta la muerte".
"Mi hipótesis es que esto se acelerará significativamente en un futuro próximo", añade. "Yo diría que en los próximos dieciocho a veinticuatro meses".
4. Gestión de amenazas y patrimonio híbrido
Las soluciones XDR varían mucho en cuanto a funcionalidad y opciones de despliegue. Esta variación se debe al diseño. Los ecosistemas empresariales modernos son increíblemente diversos: algunos son exclusivamente locales, otros están basados en la nube y muchos son híbridos.
Lo que todos estos entornos comparten es la necesidad de gestionar las amenazas y el valor de las capacidades de respuesta de identidad en ese ámbito.
"También hemos visto propagarse malware utilizando credenciales híbridas comprometidas", señala Lanzi. "Hay grandes ejemplos ahí fuera de organizaciones que no solo tienen infectada su infraestructura on-prem, sino también su infraestructura híbrida. El problema de la propagación de malware a través de la identidad existe tanto para la nube como para on-prem."
5. Las personas son el motor de la RDD y de la integración de la identidad
"Históricamente, los profesionales de la identidad no han tenido muchos motivos para colaborar con los de la seguridad de los puntos finales", concluye Lanzi. "Eso va a cambiar, y es una buena idea establecer relaciones con antelación. El otro día hablaba con alguien sobre cómo gran parte del trabajo que se hace en las empresas se debe a las redes informales que existen, más que a las relaciones formales de información."
Dicho de otro modo, es probable que la XDR ya esté en la hoja de ruta de su equipo de seguridad de puntos finales. Por lo tanto, es crucial que los profesionales de la identidad trabajen para establecer una relación con sus colegas ahora, y no sólo para ayudar a facilitar la implementación. Al abrir líneas de comunicación, también podrá asegurarse de que cualquier solución XDR que elija su organización funcione eficazmente con su pila de identidades.
Tradicionalmente, ha habido una gran separación entre la gestión de puntos finales y la gestión de identidades. Pero como atestiguará cualquiera que haya pasado tiempo trabajando en el sector de la ciberseguridad, la tradición no significa gran cosa. Vivimos en un mundo en el que incluso la tecnología más avanzada puede quedar obsoleta en pocos años.
Para prosperar en este mundo, los profesionales de la identidad debemos aceptar el cambio y trabajar abiertamente con quienes lo facilitan.
Implantar una solución ITDR de primera clase para aumentar la XDR
El uso indebido de credenciales es uno de los principales métodos que utilizan los atacantes para acceder a los sistemas y lograr sus objetivos. Entre las principales prioridades de los CISO de Gartner para 2022, las soluciones de detección y respuesta a amenazas de identidad (ITDR) pueden aumentar la XDR con una protección integral de los sistemas de identidad. Incluida recientemente en el Hype Cycle de Gartner para operaciones de seguridad, la ITDR es una categoría relativamente nueva con un grupo diverso de proveedores y estrategias. Dé preferencia a las soluciones ITDR que ofrecen cobertura a lo largo de todo el ciclo de vida de un ataque a la identidad: antes, durante y después del ataque.
Gartner también hace hincapié en la necesidad de prepararse para lo inesperado. Por ejemplo, surgirán nuevos exploits de día cero contra AD. Es fundamental incluir AD en la planificación de la gestión de vulnerabilidades y amenazas y la respuesta a incidentes de su organización, y confiar en las capacidades de prevención y detección simplemente no es suficiente.
Asegúrese de que su solución ITDR puede contener los ataques con reparación automática, revertir las acciones maliciosas y adelantarse al adversario. En el peor de los casos, las soluciones ITDR que incluyen recuperación de ransomware específica de AD y capacidades forenses posteriores a la brecha mejorarán significativamente la preparación cibernética.
