- Cómo automatizar la recuperación de varios bosques de AD en una hora o menos
- Cómo detectar ataques que eluden los SIEM y las herramientas tradicionales
- Cómo obtener visibilidad de los ataques desde AD
- Cómo descubrir errores de configuración y vulnerabilidades en AD heredado
- Cómo corregir automáticamente las amenazas detectadas
- Por qué las soluciones ITDR deben proteger antes, durante y después de un ataque
Se ha corrido la voz de que los sistemas de identidad -y Active Directory en particular- son los principales objetivos de los ciberataques. Como empresa pionera en soluciones creadas específicamente para proteger y recuperar Active Directory de los ciberataques, nos alegró ver que varias empresas de investigación confirmaban recientemente la importancia de las soluciones de ciberseguridad específicas para AD. Gartner no sólo nombró la defensa del sistema de identidad como una de las principales tendencias de 2022 en ciberseguridad, sino que también ideó una categoría completamente nueva -detección y respuesta a amenazas de identidad (ITDR)- y nombró a Semperis como proveedor de ejemplo de soluciones ITDR.
Pero sabemos por nuestro trabajo en primera línea ayudando a las organizaciones a prevenir, remediar y recuperarse de los desastres cibernéticos que tener una estrategia de seguridad ITDR eficaz va más allá de marcar las casillas de las empresas de investigación. En la reciente Cumbre de Gestión de Identidades y Accesos de Gartner, celebrada en Las Vegas, encuestamos a los asistentes sobre sus principales criterios para evaluar las soluciones ITDR.
Lo más importante:Las organizaciones buscan soluciones ITDR que abarquen todo el ciclo de vida del ataque -antes, durante y después de un ataque- yofrezcan protección específica para AD y Azure AD. Como han señalado Gartner y otras firmas analistas, las organizaciones necesitan soluciones de seguridad y recuperación específicas para AD para proteger adecuadamente sus entornos AD híbridos.
Como adelanto de nuestro próximo informe completo sobre estos resultados, aquí están las principales capacidades ITDR que las organizaciones están buscando para asegurar y recuperar sus entornos AD híbridos, así como algunos comentarios de Darren Mar-Elia, vicepresidente de productos de Semperis. (Eche un vistazo al vídeo a continuación para ver su resumen de los criterios de evaluación de ITDR que recopilamos de los asistentes a la Cumbre IAM de Gartner).
Lecturas relacionadas
A continuación detallamos las cinco principales conclusiones de la ITDR:
- Recuperación automatizada y sin malware de varios bosques de AD en una hora o menos
- Detección de ataques que eluden SIEM y otras herramientas tradicionales
- Visibilidad de los ataques que pasan de AD en local a Azure AD
- Capacidad para descubrir errores de configuración y vulnerabilidades en entornos AD heredados.
- Corrección automática de las amenazas detectadas
1. Recuperación automatizada y sin malware de varios bosques de AD en una hora o menos.
El componente de "respuesta" de la ITDR tiene una gran importancia para las organizaciones encuestadas, ya que la mayoría de los líderes empresariales y sus equipos de seguridad y operaciones de TI reconocen que ninguna entidad puede eliminar la posibilidad de un ciberataque. Los encuestados expresaron una visión pesimista sobre su capacidad para recuperar la AD de un ciberataque: El 77% de las organizaciones indicaron que, en caso de ciberataque, experimentarían un impacto severo, lo que significa que disponen de una solución general de recuperación ante desastres pero no de soporte específico para AD, o un impacto catastrófico, lo que significa que necesitarían llevar a cabo una recuperación manual utilizando sus copias de seguridad, lo que requeriría días o semanas. La pérdida de ingresos empresariales, el daño a la reputación y, en el caso de las organizaciones sanitarias, la salud y la seguridad de los pacientes a causa de una recuperación prolongada pueden ser devastadores.
"Las organizaciones pueden hacer todo lo correcto para prevenir un ataque de ransomware, pero al final del día, todavía es posible verse comprometida", dijo Darren Mar-Elia, vicepresidente de productos de Semperis. "Y necesitas una solución que pueda devolverte a un buen estado conocido lo más rápido posible".
2. Detección de ataques que eluden SIEM y otras herramientas tradicionales.
Como reflejo de la creciente concienciación de que los ciberdelincuentes están ideando constantemente nuevas tácticas, técnicas y procedimientos (TTP) para atacar los sistemas de identidad, los encuestados citaron la incapacidad para detectar ataques que eluden las herramientas de supervisión tradicionales como la principal preocupación general a la hora de proteger la AD. La preocupación está justificada: Muchos de los ataques que consiguen explotar AD eluden los productos basados en registros o eventos, como los sistemas de gestión de incidentes de seguridad (SIEM). Las organizaciones necesitan soluciones que utilicen múltiples fuentes de datos, incluido el flujo de replicación de AD, para detectar ataques avanzados.
3. Visibilidad de los ataques que se trasladan de on-prem AD a Azure AD.
A medida que más organizaciones adoptan entornos de nube híbrida, la detección de ataques que se trasladan de AD local a Azure AD -o viceversa, como en el ataque de SolarWinds- se ha convertido en una de las principales preocupaciones de muchas organizaciones. Reforzando la predicción de Gartner de que sólo el 3% de las organizaciones migrarán completamente de Active Directory (AD) local a un servicio de identidad basado en la nube para 2025, el 80% de los encuestados en nuestro estudio dijeron que o bien utilizan Active Directory local sincronizado con Azure AD o utilizan varios sistemas de identidad diferentes, incluyendo AD y/o Azure AD.
Pero proteger esos sistemas AD híbridos es una prioridad: Los encuestados indicaron que la capacidad más importante para prevenir ataques en sus organizaciones era la supervisión continua de las vulnerabilidades y configuraciones de riesgo de AD y Azure AD. Sólo un tercio de los encuestados indicaron que estaban "muy seguros" de poder prevenir o remediar un ataque a AD on-prem, y sólo el 27% indicó el mismo nivel de confianza con respecto a Azure AD.
"Sospecho que veremos más ataques verticales que se mueven de on-prem AD a Azure AD con el tiempo, y en Semperis estamos enfocados en proporcionar la visibilidad a esas rutas de ataque híbridas", dijo Mar-Elia.
4. Capacidad para descubrir errores de configuración y vulnerabilidades en entornos AD heredados.
No es sorprendente que los encuestados den tanta importancia a la supervisión continua de las vulnerabilidades y configuraciones de riesgo de AD y Azure AD. Dado el número de ataques que aprovechan las vulnerabilidades de AD casi a diario, es comprensible que las organizaciones estén preocupadas por evaluar sus entornos en busca de vulnerabilidades que podrían dejarlos expuestos a los atacantes.
Los usuarios de Purple Knightla herramienta gratuita de evaluación de la seguridad de AD de Semperis, a menudo se sienten consternados por su baja puntuación inicial en materia de seguridad. Pero saber dónde se encuentran las vulnerabilidades y aplicar las directrices de corrección de los expertos proporciona a los usuarios una hoja de ruta para mejorar la seguridad.
"Purple Knight nos ayudó a tomar medidas sobre elementos de inmediato, como cerrar o desactivar cuentas de Active Directory que no deberían haberse desactivado", dijo Keith Dreyer, CISO de Maple Reinders en Canadá. "Y luego nos ayudó a desarrollar un plan de mantenimiento a largo plazo".
5. Corrección automática de las amenazas detectadas
Los ciberataques a menudo se mueven a la velocidad del rayo una vez que los atacantes lanzan el malware, por lo que la remediación automática es fundamental para evitar que un exploit conduzca a privilegios elevados y una eventual toma de control de la red. En el famoso ataque NotPetya de 2017 contra el gigante naviero Maersk, toda la red de la empresa se infectó en cuestión de minutos.
Los encuestados indicaron que la corrección automatizada de los cambios maliciosos para detener los ataques de rápida propagación era la capacidad de corrección más importante, seguida del seguimiento y la correlación de los cambios entre AD en local y Azure AD.
Las soluciones ITDR deben proteger los sistemas de identidad híbridos antes, durante y después de un ataque
La designación por parte de Gartner de una categoría específica de soluciones para abordar la defensa del sistema de identidad es un testimonio del aumento de Active Directory como objetivo principal de los ciberdelincuentes, explotado en 9 de cada 10 ciberataques. A partir de los resultados de nuestra encuesta y de las conversaciones con los clientes, sabemos que las organizaciones están preocupadas por los retos de proteger los entornos de identidad híbridos a lo largo de todo el ciclo de vida del ataque. Al evaluar las soluciones ITDR, dé prioridad a la prevención, detección, reparación automática y recuperación de los ciberataques basados en AD.
Suscríbase a nuestro blog para obtener más información sobre la categoría emergente de Detección y Respuesta ante Amenazas de Identidad y cómo puede crear una estrategia de defensa del sistema de identidad por capas.