Los ataques basados en la identidad se dirigen específicamente a las identidades digitales de las personas, así como la infraestructura de identidad de las organizaciones.
El incremento de estos ciberataques va de la mano al crecimiento del número de identidades digitales. De hecho, un informe reciente de la Identity Defined Security Alliance (IDSA) reveló que el 90 % de las organizaciones con más de 1.000 empleados sufrieron al menos un incidente de seguridad relacionado con las identidades digitales en el último año. El número de credenciales robadas disponibles para su venta en la Dark Web superó los 24.000 millones el año pasado, y para aquellos que llevan la cuenta, eso supone 3 credenciales por ser humano en el planeta. Lamentablemente, nadie es inmune. Además, el índice de precios de la Dark Web muestra que las credenciales pueden obtenerse desde un precio tan módico como 1 dólar. Estas cifras tan alarmantes demuestran que, ante la extensión de los ataques basados en la identidad, es necesario un nuevo enfoque.
¿Qué es el Identity Threat Detection & Response (ITDR)?
Identity Threat Detection & Response (ITDR), o detección y respuesta a las amenazas contra la identidad, es una disciplina de seguridad que busca proteger los sistemas de identidad. Esta estrategia, que surge en 2022 como una propuesta de Gartner tras una serie de ataques a infraestructuras de IAM, engloba inteligencia sobre amenazas, mejores prácticas, base de conocimientos, herramientas y procesos.
El objetivo de ITDR es mejorar la seguridad en torno a la infraestructura centrada en la identidad, identificando, analizando, poniendo en cuarentena y eliminando o corrigiendo las actividades sospechosas dirigidas a los sistemas de identidad, así como identificando vulnerabilidades en la superficie de ataque antes de que éstos se produzcan. Este enfoque puede implementarse como parte de una estrategia XDR.
¿Cómo puedes establecer una estrategia ITDR en tu empresa?
Para establecer una estrategia y un programa ITDR efectivos, deberás seguir los siguientes pasos:
- Define las directrices de IAM de tu organización: para empezar tendrás que trazar los objetivos de seguridad de identidad de la organización, así como las políticas y procedimientos necesarios para alcanzarlos.
- Implementa medidas de seguridad de identidades: estos controles pueden incluir gestores de contraseñas, MFA, SSO y políticas de confianza cero basadas en el riesgo. Ten en cuenta que, incluso antes de desarrollar una estrategia ITDR, es recomendable disponer de controles de seguridad de identidad para proteger las identidades de los usuarios.
- Fija controles de detección: estos controles identifican las actividades sospechosas relacionadas con la identidad. En ellos se incluyen la supervisión de la configuración en los sistemas IAM, la monitorización de la actividad de los usuarios relacionada con la identidad, la monitorización de credenciales expuestas en la Dark Web, la detección de anomalías en los patrones de comportamiento habituales de los usuarios, la clasificación del perfil de riesgo de los diferentes individuos o eventos y alertas en tiempo real.
- Establece controles de respuesta: estos controles abarcan medidas como aislar y desactivar la sincronización entre sistemas, la recopilación de información para investigar la gravedad de la amenaza, el restablecimiento de las credenciales comprometidas y el bloqueo de cuentas o direcciones IP sospechosas. Asimismo, incluyen la restauración de los datos a partir de copias de seguridad, el registro de la gestión de accesos y acciones de corrección después de un evento como la eliminación de cuentas fraudulentas, permisos excesivos y aplicación de parches a los sistemas.
La ITDR es el futuro de la seguridad de las identidades digitales y es por eso que debería ser la siguiente área en la que centrar tus esfuerzos para reforzar tu estrategia de gestión de accesos e identidades. Al igual que la EPDR, la MDR y la NDR, la ITDR es una parte integral de una estrategia XDR completa.
Por esta razón, en WatchGuard estamos estudiando las formas en que nuestros productos nuevos y existentes proporcionen capacidades ITDR a través de nuestras cuatro líneas de productos con nuestra solución ThreatSync.
De esta forma, muy pronto podremos proporcionar correlación y puntuaciones de riesgo, así como remediación de eventos para entregar ITDR a los MSP y, a su vez, a las pequeñas y medianas empresas.-
