Active Directory está implicado en 9 de cada 10 ciberataques. ¿Cómo pueden las organizaciones proteger mejor sus infraestructuras de identidad empresarial? Para este informe, hemos encuestado a responsables de TI y de seguridad de más de 50 organizaciones empresariales para determinar las capacidades más valiosas de las soluciones actuales de detección y respuesta ante amenazas a la identidad (ITDR).
Surge una nueva categoría de soluciones de ciberseguridad: Detección y respuesta a amenazas de identidad
A raíz de los ciberataques desenfrenados dirigidos contra Active Directory (AD) -el principal almacén de identidades para el 90% de las organizaciones de todo el mundo-, los analistas de ciberseguridad han identificado la necesidad crítica de soluciones de seguridad y recuperación específicas para AD. Gartner no sólo nombró la defensa del sistema de identidad como una de las principales tendencias en ciberseguridad de 2022, sino que también ideó una categoría completamente nueva -detección y respuesta a amenazas de identidad (ITDR)- para describir los productos y soluciones que abordan los ataques al sistema de identidad.
Es bien sabido que la AD es uno de los principales objetivos de los ciberdelincuentes. De hecho, AD está implicado en 9 de cada 10 ciberataques. Pero, ¿cómo pueden las organizaciones proteger mejor sus infraestructuras de identidad empresarial? Para comprender mejor cómo evalúan las organizaciones las soluciones de defensa del sistema de identidad, Semperis encuestó a líderes de TI y seguridad de más de 50 organizaciones empresariales de los principales sectores verticales.
Conclusión clave: Las organizaciones buscan soluciones que aborden las amenazas a lo largo de todo el ciclo de vida de los ataques a AD: antes, durante y después de un ataque. Entre las principales funciones de ITDR que buscan los directivos se incluyen las de prevención, detección, corrección y recuperación tras un ataque a sistemas de identidad híbridos.
Capacidades ITDR más importantes:
- Evaluación de la postura de seguridad y supervisión en tiempo real
- Copia de seguridad y recuperación rápidas y sin malware del bosque de AD
- Corrección automática de las amenazas detectadas
Las organizaciones utilizan principalmente almacenes de identidad híbridos
Nuestros hallazgos refuerzan la predicción de Gartner de que sólo el 3% de las organizaciones migrarán completamente de AD on-premise a un servicio de identidad basado en la nube para 2025. En nuestra encuesta, el 16 % de los encuestados afirmó que AD on-prem es su principal almacén de identidades. Otro 80% dijo que o bien utilizan AD on-prem sincronizado con Azure AD o utilizan varios sistemas de identidad diferentes, incluyendo AD y/o Azure AD. Sólo el 4% dijo que no utiliza AD o Azure AD en absoluto.
La protección de estos sistemas AD híbridos es una prioridad: Los encuestados indicaron que la capacidad más importante para prevenir ataques en sus organizaciones era la supervisión continua de las vulnerabilidades y configuraciones de riesgo de AD y Azure AD.
El 80% de los encuestados utiliza sistemas de identidad híbridos: sólo el 4% no utiliza AD o Azure AD en absoluto.
Las preocupaciones abarcan la protección de los sistemas AD híbridos a lo largo del ciclo de vida del ciberataque
En respuesta a las preguntas sobre las exigencias de protección de sus sistemas de identidad híbridos frente a los ataques, las organizaciones citaron problemas a lo largo de todo el ciclo de vida de los ciberataques contra Active Directory (AD), incluyendo la prevención, detección, corrección y recuperación frente a las amenazas dirigidas contra AD. Las respuestas de los participantes indicaron una falta de confianza general en su capacidad para afrontar los retos del panorama actual de amenazas. Entre las principales preocupaciones se incluyen la inadecuación de las soluciones existentes, la falta de visibilidad de las vulnerabilidades y la escasez de conocimientos sobre seguridad de identidades.
La incapacidad para detectar ataques que eluden SIEM y otras herramientas tradicionales fue la principal preocupación en relación con las amenazas a la identidad.
Las organizaciones no confían en poder prevenir los ataques de AD híbrida
A medida que más organizaciones adoptan entornos de nube híbrida, la prevención de ataques que se trasladan de AD en local a Azure AD -o viceversa, como en el ataque de SolarWinds- ha surgido como una preocupación clave para muchas organizaciones. Como se ha mencionado anteriormente, la mayoría de las organizaciones encuestadas utilizan sistemas de identidad híbridos que comprenden AD, Azure AD y otros sistemas en la nube. Una vez que una organización adopta la nube, la noción del perímetro de red tradicional deja de existir. En un entorno de identidad híbrida, las organizaciones deben estar preparadas para protegerse frente a un sinfín de posibles puntos de entrada. La dificultad reconocida para dominar un nuevo modelo de seguridad se reflejó en estos resultados: Sólo el 33% de los encuestados dijeron que estaban muy seguros de poder prevenir los ataques a AD on-prem, y sólo el 27% dijeron que estaban muy seguros de poder prevenir los ataques a Azure AD.
La falta de visibilidad de los ataques que se inician en AD on-prem y se desplazan verticalmente a Azure AD genera preocupación sobre la capacidad de prevenir los ataques.
El impacto percibido de los ciberataques está vinculado a la preocupación por una recuperación a tiempo
La mayoría de los líderes empresariales y sus equipos de seguridad y operaciones de TI reconocen que ninguna entidad puede eliminar la posibilidad de un ciberataque. Los encuestados expresaron una visión pesimista sobre su capacidad para recuperarse de un ciberataque que derribara AD.
Una clara mayoría (77%) indicó que un ataque de este tipo tendría un impacto grave (ya que disponen de una solución general de recuperación ante desastres, pero no de soporte específico para AD) o un impacto catastrófico (tendrían que llevar a cabo una recuperación manual utilizando sus copias de seguridad, lo que requeriría días o semanas). La pérdida de ingresos de la empresa, el daño a la reputación y, en el caso de las organizaciones sanitarias, la salud y seguridad de los pacientes a causa de una recuperación prolongada pueden suponer el fin del negocio.
El 77% de los encuestados indicaron que experimentarían un impacto grave o catastrófico si la AD dejara de funcionar.
Las organizaciones no confían en poder recuperarse de un ataque AD
La preocupación por el impacto de un ataque a AD citada anteriormente está vinculada a la falta de confianza general de los encuestados en que sus organizaciones puedan recuperarse rápidamente de un ataque a AD a gran escala. Solo el 32% de los encuestados indicaron que estaban "extremadamente seguros" de que podrían recuperarse; el 61% de los encuestados solo estaban "algo seguros" y el 7% no estaban "nada seguros".
La preocupación por la capacidad de recuperar rápidamente AD se reflejó en las respuestas a las preguntas sobre las preocupaciones generales de seguridad de AD y las capacidades que los encuestados priorizaron al evaluar las soluciones de recuperación. Estas prioridades incluyen la necesidad de una recuperación automatizada y multiforestal de AD; la capacidad de proporcionar rápidamente un entorno de recuperación aislado para simulacros; y la experiencia de AD en la respuesta a incidentes.
Sólo el 32% de los encuestados indicaron que estaban muy seguros de poder recuperarse rápidamente de un ataque AD a gran escala.
Las organizaciones dan prioridad a las capacidades ITDR que abarcan el ciclo de ataque
La clasificación de los encuestados en cuanto a la importancia de las funciones de detección y respuesta ante amenazas a la identidad (ITDR) apunta a soluciones que les ayudarían a proteger Active Directory (AD) antes, durante y después de un ataque, siendo la principal prioridad la evaluación de la postura de seguridad y la supervisión en tiempo real para el 40% de los encuestados. Tal vez como reconocimiento de que los atacantes sofisticados están ideando constantemente nuevas formas de poner en peligro AD, el 27% dio prioridad a la copia de seguridad y recuperación rápidas y sin malware de los bosques de AD y el 20% eligió la corrección automática de las amenazas detectadas.
Estos resultados indican que las organizaciones son plenamente conscientes de que AD es un objetivo prioritario para los atacantes. Una defensa eficaz debe abarcar soluciones para prevenir, remediar y recuperarse de los ataques.
La clasificación de las capacidades ITDR refleja la necesidad reconocida de una estrategia de defensa en capas que pueda proteger la AD antes, durante y después de un ataque.
Clasificación de las capacidades ITDR según su importancia para los encuestados
- Evaluación de la postura de seguridad y supervisión en tiempo real
- Copia de seguridad y recuperación rápidas y sin malware del bosque de AD
- Corrección automática de las amenazas detectadas
- Calificación de riesgos, priorización de riesgos y orientación para su corrección
- Análisis forense posterior a la violación
Las organizaciones buscan soluciones ITDR específicas para AD que abarquen el ciclo de vida de los ataques a AD
Dada la proliferación de ataques dirigidos contra Active Directory (AD), los responsables de seguridad y operaciones de TI comprenden que proteger la infraestructura de identidad de la empresa es imperativo para el negocio. Según Gartner, "el uso indebido de credenciales es ahora la principal técnica utilizada en los ataques. Los atacantes a nivel nacional están atacando Active Directory y la infraestructura de identidad con un éxito fenomenal".
- Un entorno AD híbrido es la infraestructura de identidad principal para la mayoría de las empresas y está implicado en 9 de cada 10 ataques.
- Dada la escalada de ciberataques contra AD, las organizaciones necesitan una estrategia de defensa en capas para protegerse contra los compromisos que dañan el negocio.
- Las preocupaciones de las organizaciones sobre la protección de AD abarcan todo el ciclo de vida.
- Las principales prioridades de las soluciones de detección y respuesta ante amenazas a la identidad (ITDR) son la evaluación de vulnerabilidades y la supervisión continua; la recuperación rápida y sin malware de todo el bosque de AD; y la corrección automática de amenazas maliciosas.
Las organizaciones son plenamente conscientes de que una estrategia de defensa en capas proporciona la protección óptima. Las soluciones ITDR que no abordan cada fase del ciclo de vida de los ataques AD dejarán a las organizaciones vulnerables a ataques devastadores.
¿Necesita ayuda?
Las soluciones ITDR de Semperis protegen a AD antes, durante y después de un ataque
- Impida que los atacantes accedan a entornos AD híbridos
- Capture los cambios de AD que eluden los SIEM y otras herramientas de registro de seguridad
- Corregir automáticamente los cambios malintencionados
- Reduzca en un 90% el tiempo de recuperación tras un ciberdesastre de AD
- Refuerce Active Directory contra los ciberataques para mejorar la seguridad
- Mitigue los ataques de AD y recupérese de ellos con la ayuda de un equipo de respuesta a incidentes de probada eficacia.
Metodología
En la 2022 Gartner IAM Conference en Las Vegas, encuestamos a los líderes de TI y seguridad de las empresas sobre sus preocupaciones de defensa del sistema de identidad y sus prioridades a la hora de evaluar los productos y servicios de Detección y Respuesta a Amenazas de Identidad (ITDR). Respondieron más de 50 organizaciones, en su mayoría de empresas medianas y grandes de todos los sectores. Los encuestados recibieron una tarjeta regalo de 25 dólares en agradecimiento por su participación.