RAY MILLS, Regional Sales Director Spain, Semperis.

A medida que aumentan las ciberamenazas basadas en la identidad, las organizaciones amplían sus presupuestos para combatir ataques centrándose en las soluciones de detección y respuesta a amenazas de identidad. Gartner creó la categoría de ITDR (siglas en ingles por Detección y Respuesta a Amenazas de Identidad) para describir las soluciones capaces de proteger los sistemas de identidad como el Active Directory (AD) y Azure AD antes, durante y después de un ataque.

¿Qué es la ITDR?

La ITDR ha sido definido por la firma de analistas Gartner como una tecnología emergente que protege la infraestructura de identidad contra ataques maliciosos. Las soluciones de ITDR se centran en la infraestructura de identidad en sí, en lugar de los usuarios gestionados por esa infraestructura. Según ellos, “estas soluciones deben proteger y defender con capacidades específicas de protección de identidad, incluida la evaluación del enfoque de seguridad del entorno de AD, la gestión de vectores de ataque, la puntuación y priorización de riesgos, la monitorización en tiempo real de Indicadores de Compromiso (IOC), el aprendizaje automático (ML) o el análisis para detectar comportamientos o eventos anormales, y la automatización de la remediación y respuesta a incidentes”. Se debe incluir también una solución probada de recuperación ante desastres de ransomware y específica para el AD como parte de la planificación de respuesta a incidentes.

¿Cuál es la diferencia entre EDR/XDR e ITDR?

Mientras que las soluciones EDR y XDR se enfocan en la capa exterior del sistema de información de una organización (los ‘end-points’ como los dispositivos físicos, servidores, aplicaciones en la nube, correo electrónico y otras tecnologías), las soluciones de ITDR se enfocan en el propio sistema de identidad, que autentica a los usuarios y otorga permiso a los servicios y aplicaciones.La mejor defensa contra las amenazas actuales es una estrategia de ciberseguridad que proteja tanto los ‘end-points’ como la base de su identidad principal y que evite al mismo tiempo los puntos únicos de falla.

¿Por qué es importante la ITDR?

El Active Directory (AD) es el almacén de identidades principal para el 90% de las organizaciones en todo el mundo y es un vector de ataque principal en la mayoría de los ciberataques actualmente. De hecho, Mandiant calcula que el AD está involucrado en 9 de cada 10 ataques que investiga. Las soluciones de ITDR protegen la infraestructura de identidad que de otro modo es difícil de proteger y, por lo general, tiene errores de configuración heredados.

¿Cuál es la mejor solución de ITDR?

Gracias a nuestras investigaciones y conversaciones con clientes, sabemos que las organizaciones que buscan una solución de ITDR eficaz están preocupadas por los retos de proteger entornos de identidad híbrida a lo largo de todo el ciclo de vida del ataque. Las capacidades más importantes para las soluciones de ITDR en las que se fijan son:

1. Evaluación del enfoque de seguridad y supervisión en tiempo real – ElAD es vulnerable debido a las constantes amenazas emergentes de los grupos de ransomware como servicio (RaaS) como LockBit y Vice. Escanear el entorno de AD híbrido en busca de indicadores de exposición al riesgo (IOE) y compromiso (IOC) y cerrar las brechas de seguridad es el primer paso en una estrategia de defensa del sistema de identidad en capas. La supervisión en tiempo real ayuda a las organizaciones a evitar ajustes en la configuración al marcar los indicadores de seguridad a medida que surgen.
2. Una copia de seguridad y recuperación de bosques de AD con rapidez y sin malware también es clave para la gestión de riesgos. Sin un plan probado para recuperar el AD rápidamente, que evite la reintroducción de malware, las organizaciones corren el riesgo de experimentar semanas de inactividad comercial mientras recuperan el sistema de identidad.
3. Remediación automática de amenazas detectadas. El malware suele arrasar los sistemas más rápido de lo que los humanos pueden intervenir. La remediación automática de cambios maliciosos es fundamental para detener los ataques y mitigar los daños. Una solución integral de detección y respuesta a amenazas de AD debe usar múltiples fuentes de datos para detectar ataques avanzados que evaden las herramientas tradicionales basadas en registros y eventos, incluidas las soluciones de Información de Seguridad y Gestión de Eventos (SIEM).