Explicación de la detección y respuesta a amenazas de identidad (ITDR)

Las amenazas relacionadas con la identidad de los usuarios van en aumento, lo que obliga a las organizaciones a ampliar sus presupuestos de ciberseguridad para centrarse en soluciones de detección y respuesta a amenazas de identidad (ITDR). Con las amenazas relacionadas con la identidad como un tema tan candente, el equipo de Semperis quería opinar sobre cómo su equipo de seguridad puede prevenir los ataques de identidad.

Si está buscando soluciones de seguridad de identidades para proteger su Active Directory (el sistema de identidades más común), esta guía es para usted. Aquí, cubriremos qué es ITDR y cómo encontrar la mejor solución ITDR para proteger a su organización de las amenazas cibernéticas.

Lecturas relacionadas

• Seguridad de Active Directory: Principales riesgos y mejores prácticas

¿Qué es el ITDR?

Gartner creó la categoría Identity Threat Detection and Response (ITDR) para describir soluciones que protegen sistemas de identidad como Active Directory (AD) y Entra ID (antes Azure AD), que proporcionan autenticación y acceso a aplicaciones y servicios.

En respuesta al creciente número de actores de amenazas a la identidad digital, ITDR se incluyó en el Hype Cycle de Gartner para la seguridad de puntos finales como una tecnología emergente que trabaja para proteger la infraestructura de identidad frente a posibles amenazas. Gartner también señaló que los actores de amenazas a la identidad utilizan ahora principalmente el uso indebido de credenciales para obtener acceso privilegiado a los sistemas de información de una organización y manipular sus sistemas de gestión de identidad y acceso (IAM).

¿Qué es una solución de ITDR?

Las soluciones ITDR mejoran sus operaciones de seguridad centrándose en la propia infraestructura de identidades, en lugar de en los usuarios gestionados por dicha infraestructura. Según Gartner, las soluciones ITDR deben proteger y defender con funciones específicas de protección de identidades, incluida la evaluación de la postura de seguridad del entorno de AD, la gestión de rutas de ataque, la puntuación y priorización de riesgos, la supervisión en tiempo real de indicadores de compromiso (IOC), el aprendizaje automático (ML) o el análisis para detectar comportamientos o eventos anómalos, y la reparación y respuesta automatizada ante incidentes.

Dado que muchos ataques relacionados con la identidad consiguen comprometer AD, debería incluirse una solución de recuperación ante desastres de ransomware específica para AD y probada como parte de la planificación de respuesta ante incidentes.

¿Cuál es la diferencia entre EDR e ITDR?

Las soluciones de detección y respuesta en puntos finales (EDR) recopilan, analizan y responden a la información relacionada con amenazas sobre los puntos finales, es decir, los dispositivos físicos (ordenadores de ecritorio, máquinas virtuales, dispositivos móviles) que se conectan a una red informática e intercambian información con ella. Las soluciones de detección y respuesta ampliadas para puntos finales (XDR) integran la protección de puntos finales, servidores, aplicaciones en la nube, correo electrónico y otras tecnologías. Las soluciones XDR combinan prevención, detección, investigación y respuesta en una visión holística para combatir los ciberataques.

Mientras que las soluciones de EDR y XDR se centran en la capa externa del sistema de información de una organización, las soluciones de ITDR se centran en el propio sistema de identidad, que autentica a los usuarios y concede permisos a servicios y aplicaciones.

Dado que los ciberdelincuentes están constantemente ideando nuevos métodos de ataque, la mejor defensa contra las amenazas actuales es una estrategia de ciberseguridad que proteja tanto los puntos finales como su base de identidad principal, evitando al mismo tiempo los puntos únicos de fallo.

¿Por qué es importante la ITDR?

Las soluciones de ITDR protegen la infraestructura de identidades, que es uno de los principales vectores de ataque en la mayoría de los ciberataques actuales. Y puesto que Active Directory (AD) es el principal almacén de identidades para el 90% de las organizaciones de todo el mundo, es el principal objetivo de los ciberdelincuentes. Dado que AD es difícil de proteger y suele tener errores de configuración heredados, se ve habitualmente comprometido en incidentes cibernéticos, como la brecha de SolarWinds y el ataque a Colonial Pipeline. De hecho, Mandiant informó que AD está implicado en 9 de cada 10 ataques que investigan.

¿Cuál es la mejor solución de ITDR?

Las organizaciones que buscan una solución de ITDR capaz se enfrentan a un número cada vez mayor de decisiones. A partir de los resultados de nuestra encuesta y de las conversaciones con los clientes, sabemos que a las organizaciones les preocupa los retos de proteger los entornos de identidad híbridos durante todo el ciclo de vida del ataque: antes, durante y después de un incidente de ciberseguridad.

Hemos encuestado a responsables de TI y seguridad de más de 50 empresas y organizaciones para saber cómo evalúan las soluciones de ITDR expertas. Las capacidades más importantes de las soluciones de ITDR son:

1. Evaluación de la postura de seguridad y supervisión en tiempo real. AD es vulnerable debido a las desconfiguraciones heredadas que se acumulan con el tiempo y a las amenazas emergentes constantes de grupos de ransomware como servicio (RaaS) como LockBit y Vice. Analizar el entorno híbrido de AD en busca de indicadores de exposición (IOE) y compromiso (IOC) y cerrar las brechas de seguridad es el primer paso en una estrategia de defensa del sistema de identidad en capas. La supervisión en tiempo real ayuda a las organizaciones a evitar la desviación de la configuración al señalar los indicadores de seguridad a medida que surgen.
2. Copias de seguridad y recuperación de bosques de AD rápidas y sin malware. Aunque lo ideal es prevenir los ataques, la capacidad de recuperarse de un ciberdesastre relacionado con AD es clave para la gestión de riesgos. Según un estudio de Enterprise Management Associates (EMA), el 50% de las organizaciones han sufrido un ataque a AD en los últimos 1 ó 2 años. Más del 40% de esos ataques tuvieron éxito. Sin un plan probado para recuperar rápidamente AD -que también evite la reintroducción de malware- las organizaciones se arriesgan a pagar un rescate o a sufrir semanas de inactividad mientras recuperan el sistema de identidad.
3. Corrección automática de las amenazas detectadas. Los programas maliciosos a menudo arrasan los sistemas más rápido de lo que los humanos pueden intervenir. La corrección automática de los cambios maliciosos es fundamental para detener los ataques y mitigar los daños. Una solución integral de detección y respuesta a amenazas de AD debe utilizar múltiples fuentes de datos para detectar ataques avanzados como DCShadow, que eluden las herramientas tradicionales basadas en registros y eventos, incluidas las soluciones de gestión de eventos e información de seguridad (SIEM).

Soluciones de ITDR para proteger AD antes, durante y después de un ataque

Para obtener más información sobre cómo evaluar las soluciones de ITDR para proteger su sistema de identidad AD y Azure AD, consulte el informe de la encuesta "Evaluación de soluciones de detección y respuesta ante amenazas de identidad", que responde a las preguntas:

• ¿Cuántas organizaciones necesitan proteger un entorno AD híbrido?
• ¿Cuáles son las mayores preocupaciones de las empresas en relación con las amenazas a la identidad?
• ¿Hasta qué punto confían las organizaciones en su capacidad para prevenir o recuperarse de ciberataques que afecten a AD o Azure AD?
• ¿Qué consecuencias tendría para las empresas un ciberataque que acabara con AD?
• ¿Qué funciones de la ITDR son las más importantes para los responsables actuales de TI y seguridad?

Conclusión clave: Las organizaciones buscan soluciones que aborden las amenazas a lo largo de todo el ciclo de vida de los ataques a AD: antes, durante y después de un ataque. Entre las principales funciones de ITDR que buscan los directivos se incluyen las de prevención, detección, corrección y recuperación tras un ataque a sistemas de identidad híbridos.

Descargar el informe de la encuesta de ITDR

¿Quiere saber cómo responden otras organizaciones a estas preguntas? Descargue nuestro informesobre laEvaluación de las soluciones de detección y respuesta ante amenazas de identidad (ITDR) para obtener más información sobre la categoría emergente de ITDR y cómo puede empezar a pensar en las soluciones expertas de ITDR para proteger su infraestructura de identidad.

Más información sobre ITDR

• Vicepresidente de Productos de Semperis: Importantes capacidades de ITDR
• Recuperación de AD: Un componente esencial de la ITDR
• ITDR antes, durante y después de un ciberataque