Los ataques basados en la identidad están en aumento. Los atacantes apuntan a identidades con credenciales comprometidas, métodos de autenticación secuestrados y privilegios mal utilizados. Si bien muchas soluciones de detección de amenazas se centran en la nube, el punto final y las amenazas de red, pasan por alto los riesgos únicos que plantea los ecosistemas de identidad SaaS. Este punto ciego está causando estragos en organizaciones muy relacionadas con SaaS grandes y pequeñas.
La pregunta es, ¿qué pueden hacer los equipos de seguridad al respecto?
No tenga miedo, porque la detección y respuesta de amenazas de identidad (ITDR) está aquí para salvar el día. Es esencial tener los mecanismos de visibilidad y respuesta para detener los ataques antes de que se conviertan en violaciones.
Aquí está la súper alineación que cada equipo necesita para detener las amenazas de identidad de SaaS.
#1 Cobertura completa: Cubra todos los ángulos
Al igual que el escudo de Cap, esta defensa debería cubrir todos los ángulos. Las herramientas tradicionales de detección de amenazas como XDRS y EDRS no pueden cubrir las aplicaciones SaaS y dejar a las organizaciones vulnerables. La cobertura de detección y respuesta de amenaza de identidad SaaS (ITDR) debe incluir:
- ITDR debe extenderse más allá de la seguridad tradicional de nubes, redes, IoT y punto final para incluir aplicaciones SaaS como Microsoft 365, Salesforce, JIRA y GitHub.
- Integraciones perfectas con desplazados internos como OKTA, Azure AD y Google Workspace para asegurarse de que no hay inicios de sesión a través de las grietas.
- Investigación forense profunda de eventos y registros de auditoría para un informe detallado de registro y análisis histórico de todos los incidentes relacionados con la identidad.
#2 Centrado en la identidad: que nadie se deslice a través de los hilos
La web de Spidey atrapa a los enemigos antes de golpear, y nadie se desliza a través de los hilos. Cuando los eventos de seguridad solo se enumeran en orden cronológico, la actividad anormal por una sola identidad puede no ser detectada. Es crucial asegurarse de que su ITDR detecte y correlacione las amenazas en una línea de tiempo centrada en la identidad.
¿Qué significa lo que significa la identidad en ITDR:
- Puede ver la historia de ataque completa de una identidad en todo su entorno SaaS, mapeando los movimientos laterales de la infiltración a la exfiltración.
- Los eventos de autenticación, los cambios de privilegio y las anomalías de acceso están estructuradas en cadenas de ataque.
- El análisis de comportamiento de usuario y entidad (UEBA) se aprovechan para identificar desviaciones de la actividad de identidad normal para que no tenga que cazar a través de eventos para encontrar los sospechosos.
- Las identidades humanas y no humanas como las cuentas de servicio, las claves API y los tokens OAuth son monitoreados y marcados continuamente para una actividad anormal.
- Se detectan escaladas de privilegios inusuales o intentos de movimiento lateral dentro de sus entornos SaaS para que pueda investigar y responder rápidamente.
#3 Inteligencia de amenaza: detectar el indetectable
El profesor X puede ver todo con Cerebro, y el ITDR completo debería poder detectar lo indetectable. ITDR La inteligencia de amenaza debe:
- Clasifique cualquier actividad de DarkNet para una fácil investigación de los equipos de seguridad.
- Incluya la geolocalización IP y la privacidad de IP (VPN) para el contexto.
- Enriquecer la detección de amenazas con indicadores de compromiso (COI), como credenciales comprometidas, IP maliciosas y otros marcadores sospechosos.
- MAP Etapas de ataque utilizando marcos como Miter Att & CK para ayudar a identificar el compromiso de identidad y el movimiento lateral.
#4 Priorización: Centrarse en las amenazas reales
La fatiga alerta es real. Los sentidos elevados de Daredevil le permiten filtrar a través de un ruido abrumador, detectar peligros ocultos y centrarse en las amenazas reales, al igual que la priorización de ITDR corta a través de la fatiga alerta y resalta los riesgos críticos. La priorización de amenazas SaaS ITDR debe incluir:
- El riesgo dinámico de la puntuación en tiempo real para reducir los falsos positivos y resaltar las amenazas más críticas.
- Una línea de tiempo de incidente completa que conecta los eventos de identidad en una historia de ataque cohesivo, convirtiendo las señales dispersas en alertas de alta fidelidad y procesables.
- Contexto de alerta claro con identidades afectadas, aplicaciones impactadas, etapa de ataque en el marco de Mitre ATT y CK y detalles clave del evento como inicios de sesión fallidos, escalada de privilegios y anomalías de comportamiento.
#5 Integraciones: ser imparable
Al igual que los Vengadores combinan sus poderes para ser imparables, un SaaS ITDR efectivo debería tener integraciones para flujos de trabajo automatizados, lo que hace que el equipo sea más eficiente y reduce el levantamiento pesado. Las integraciones de ITDR deben incluir:
- Siem & Soar para flujos de trabajo automatizados.
- Libros de jugadas de mitigación paso a paso y guías de aplicación de políticas para cada aplicación y cada etapa del marco Mitre ATT & CK
#6 Gestión de postura: Aprovecha el dúo dinámico (¡consejo de bonificación!)
Black Widow y Hawkeye son un dúo dinámico, y un ITDR integral se basa en SaaS Security Posture Management (SSPM) para minimizar la superficie de ataque como la primera capa de protección. Un SSPM de cortesía debe incluir:
- Visibilidad profunda en todas las aplicaciones SaaS, incluidas las integraciones de TI de la aplicación, los permisos de los usuarios, los roles y los niveles de acceso.
- Configuración errónea y detección de deriva de políticas, alineada con el marco de buceo por CISA, para identificar políticas de autenticación mal configuradas como la falta de MFA, las políticas de contraseña débiles y los permisos excesivos basados en roles para garantizar que las políticas se apliquen constantemente
- Detección de cuentas latente y huérfana a las cuentas inactivas, no utilizadas o huérfanas que representan un riesgo.
- Seguimiento de eventos del ciclo de vida del usuario para evitar el acceso no autorizado.
Con gran poder viene una gran responsabilidad
Esta línea de imprescindibles organizaciones de organizaciones para enfrentar cualquier amenaza basada en la identidad SaaS que se presente. No todos los héroes usan capas … algunos solo tienen ITDR imparable.
Obtenga más información sobre la detección y respuesta de amenazas de identidad SaaS de Wing Security aquí.