En los últimos años, hemos visto como las organizaciones han ido adoptando entornos de nube híbrida a medida que avanzan hacia modelos más flexibles de trabajar en esta denominada era de la «nueva normalidad». Como resultado, el mundo del trabajo ha seguido digitalizándose cada vez más basado en una gran cantidad de aplicaciones, soluciones, tecnologías y dispositivos innovadores que aportan numerosos beneficios operativos y de productividad. Sin embargo, las consideraciones de seguridad de esta transición han sido un poco más complejas.
Al adoptar la nube, el perímetro de red tradicional deja de existir. En su lugar, las organizaciones pasan a gestionar entornos de identidad híbrida con una infinidad de posibles puntos de entrada que defender. Y evitar que los atacantes se muevan libremente entre entornos locales basados en Active Directory (AD) y entornos en la nube basados en Azure AD se ha convertido en una preocupación clave entre muchas empresas.
Es más, en muchos casos el principal enfoque durante el desarrollo de entornos híbridos fue mantener las operaciones en respuesta a la pandemia, no la seguridad. Como consecuencia, muchas organizaciones ahora tienen que subsanar retrospectivamente sus deficiencias de seguridad. Por desgracia, esta tarea resulta complicada. Ya sea para prevenir, detectar, remediar o recuperarse de amenazas dirigidas a AD, los riesgos y problemas se extienden a lo largo de todo el ciclo de vida de los ataques de AD.
De hecho, muchas empresas tienen poca confianza en su capacidad para hacer frente a los retos del panorama actual de amenazas. Tras realizar una encuesta a responsables de TI y seguridad en más de 50 organizaciones, descubrimos que solo un tercio (33 %) confiaba en su capacidad para prevenir ataques a su Directorio Activo local, mientras que poco más de una cuarta parte (27 %) pensaban que podían mitigar ataques al Azure AD.
La importancia de la detección y respuesta a amenazas de identidad
Dado que los sistemas de identidad se han convertido en un objetivo prioritario para los ciberdelincuentes, estas estadísticas son preocupantes. Se estima que AD es explotado en 9 de cada 10 ciberataques y los analistas Gartner advierten que el abuso de credenciales es ahora la principal técnica utilizada en los ataques, y los atacantes a nivel de estado-nación que se dirigen de forma activa al AD y la infraestructura de identidades obtienen un éxito fenomenal.
Además, los entornos híbridos han llegado para quedarse. El AD no solo es el principal almacén de identidades para el 90 % de las organizaciones en todo el mundo, sino que Gartner también predice que solo el 3% de las organizaciones migrarán completamente de AD on-premise a un servicio de identidad basado en la nube para 2025.
Por estas razones, Gartner no solo nombró la defensa del sistema de identidad como una de las principales tendencias en ciberseguridad del 2022, sino que también ideó una categoría completamente nueva: la detección y respuesta a amenazas de identidad (Identity Threat Detection and Response o ITDR).
A medida que las empresas buscan protegerse más de las amenazas relacionadas con el AD, las soluciones de ITDR diseñadas específicamente para defender los sistemas de identidad han subido rápidamente en su lista de prioridades, y las organizaciones buscan varios métodos para proteger y recuperar sus entornos híbridos.
Dentro de este panorama, los top 5 requisitos de ITDR más demandados por las empresas son:
1. La Recuperación de AD automatizada y rápida
Nuestra encuesta revela que una clara mayoría (77 %) de las empresas sufriría un impacto severo (ya que disponen de una solución general de recuperación ante desastres, pero no de soporte específico para AD) o un impacto catastrófico (necesitarían realizar una recuperación manual utilizando copias de seguridad, lo que requeriría días o semanas) si un ciberataque derribara su AD. Por esta razón, la capacidad de las empresas para recuperarse rápidamente (en cuestión de horas en lugar de días o semanas) y de forma automatizada es una de las principales prioridades para quienes buscan soluciones de ITDR.
2. Detección de aquellos ataques que eluden las herramientas tradicionales
Los encuestados también mencionaron la incapacidad de detectar ataques que eluden las herramientas de monitorización tradicionales como una de las principales preocupaciones generales en la protección del AD. Las organizaciones buscan soluciones que utilicen múltiples fuentes de datos, incluido el flujo de replicación de AD, para detectar y mitigar los efectos de ataques avanzados.
3. Mayor transparencia en AD y Azure AD
La detección de ataques que pasan de AD local a Azure AD, o viceversa, es una prioridad para las organizaciones que gestionan entornos híbridos. Las empresas requieren soluciones que puedan proporcionar una mayor transparencia en las actividades que involucran ambos entornos – el AD local y Azure AD.
4. Detección de vulnerabilidades y errores de configuración heredados
Saber dónde se encuentran las vulnerabilidades que podrían dejarlos expuestos a los atacantes es el primer paso para mejorar la seguridad y mientras que un plan de mantenimiento a largo plazo que implica verificar continuamente el enfoque de seguridad de la identidad en busca de puntos débiles es otro criterio importante en las soluciones de ITDR.
5. Remediación automática
Los ciberataques a menudo se mueven a la velocidad del rayo una vez que los atacantes lanzan el malware. En el famoso ataque de NotPetya en 2017 contra el gigante naviero Maersk, toda la red de la empresa se infectó en minutos. Por lo tanto, la remediación automática es fundamental para evitar que un ataque genere privilegios elevados y una eventual toma de control de la red. No es ninguna sorpresa entonces que los encuestados indicaron que la remediación automatizada de los cambios maliciosos para detener los ataques de rápida propagación era la capacidad de ITDR más importante para ellos.
Abordar los distintos requisitos con una estrategia de múltiples capas
Indudablemente, las organizaciones buscan soluciones que puedan abordar las amenazas antes, durante y después de un ataque relacionado con la identidad.
Recuperarse de los ataques rápidamente es una prioridad. La capacidad para responder a las amenazas es igualmente importante, ya que las empresas tratan de abordar sus vulnerabilidades y detener a los malhechores en su avance. Se requiere una variedad de capacidades, desde evaluaciones del enfoque de seguridad y supervisión en tiempo real hasta la remediación automática de amenazas detectadas y la copia de seguridad y recuperación rápidas de los bosques de AD.
Por este motivo, al evaluar las soluciones de ITDR, las organizaciones deben buscar adoptar aquellas que brinden una defensa integral por capas para lograr una protección óptima de sus entornos híbridos.
Ray Mills, Director de Ventas en España para Semperis
