How to use zero trust and IAM to defend against cyberattacks in an economic downturn

A pesar de los aumentos presupuestarios de dos dígitos, los CISO y sus equipos se esfuerzan por contener el aumento de las infracciones internas, la malversación y el fraude. Las identidades son el vector de ataque elegido durante una recesión, exacerbado por los costos inflacionarios que elevan el costo de vida, lo que hace que las falsas afirmaciones de dinero fácil de los correos electrónicos de phishing sean aún más atractivas.

Como un CISO le confió a VentureBeat en una entrevista reciente, « las recesiones hacen que los aspectos de riesgo de ingresos de un caso comercial de confianza cero sean reales, lo que demuestra por qué asegurar las identidades merece urgencia ».

Los atacantes utilizan algoritmos de aprendizaje automático (ML) para crear y lanzar intrusiones sin malware. Estos representan el 71% de todas las detecciones indexadas por CrowdStrike Threat Graph.

El último Informe de caza de amenazas de Falcon OverWatch ilustra cómo las estrategias de ataque apuntan primero a las identidades. “Un hallazgo clave del informe fue que más del 60 % de las intrusiones interactivas observadas por OverWatch involucraron el uso de credenciales válidas, que continúan siendo abusadas por los adversarios para facilitar el acceso inicial y el movimiento lateral”, dijo Param Singh, vicepresidente de Falcon OverWatch. en CrowdStrike.

La adquisición de Reposify por parte de CrowdStrike refleja cómo los principales proveedores de plataformas de seguridad cibernética se concentran en adoptar nuevas tecnologías para proporcionar una gestión de la superficie de ataque externa mientras protegen a las empresas contra las amenazas internas.

Reposify escanea la web diariamente en busca de activos expuestos, lo que permite a las empresas tener visibilidad sobre ellos y definir qué acciones deben tomar para remediarlo. En el evento Fal.Con del año pasado, CrowdStrike anunció planes para usar la tecnología de Reposify para ayudar a sus clientes a detener ataques internos.

Los ataques a la identidad se disparan en una economía en recesión

Las infracciones basadas en la identidad interrumpieron el 78 % de las operaciones de las empresas el año pasado, y el 84 % dijo haber experimentado una infracción relacionada con la identidad.

Las identidades son un vector de ataque central para los atacantes en una economía en recesión; sus estrategias son para hacerse con el control de una organización. Los objetivos favoritos de los atacantes son los sistemas heredados de administración de identidad y acceso privilegiado que se basan en seguridad basada en el perímetro que a menudo no se ha actualizado en años. Una vez dentro, los atacantes obtienen inmediatamente derechos de administrador, crean identidades fraudulentas y comienzan a filtrar datos financieros mientras intentan realizar transferencias de efectivo.

Los atacantes están utilizando ChatGPT para afinar los ataques de ingeniería social a escala y extraer los datos para lanzar ataques de phishing de ballenas. El informe Estado de preparación para la seguridad 2023 de Ivanti encontró que casi uno de cada tres directores ejecutivos y miembros de la alta gerencia han sido víctimas de estafas de phishing, ya sea al hacer clic en el mismo enlace o al enviar dinero.

Las identidades están bajo asedio durante los períodos de incertidumbre económica y recesiones. Los CISO temen que los empleados internos sean engañados para obtener sus contraseñas y credenciales de acceso privilegiado mediante ataques de ingeniería social y phishing, o peor aún, que se vuelvan deshonestos.

Los CISO, los analistas de seguridad interna que trabajan en los centros de operaciones de seguridad (SOC) y los líderes de confianza cero le han dicho a VentureBeat que un empleado de TI deshonesto con privilegios de administrador es su peor pesadilla.

Snowden un cuento con moraleja

Aquellos CISO dispuestos a discutir el tema con VentureBeat hicieron referencia al libro de Edward Snowden Registro permanente como un ejemplo de por qué están tan preocupados por los atacantes deshonestos.

Un CISO citó el pasaje: “Cualquier analista en cualquier momento puede apuntar a cualquiera. Cualquier seleccionador, en cualquier lugar, yo, sentado en mi escritorio, ciertamente tenía las autoridades para intervenir a cualquiera, desde usted o su contador hasta un juez federal, incluso el presidente”.

“Siempre estamos buscando combustible para que nuestros altos ejecutivos y la financiación de la junta no confíen en nada, y los pasajes del libro de Snowden son efectivos para lograr esa tarea”, dijo un director de seguridad cibernética a VentureBeat.

Un inquilino principal de confianza cero está monitoreando todo. El libro de Snowden proporciona una historia de advertencia de por qué eso es esencial.

Los administradores de sistemas y seguridad entrevistados por VentureBeat admiten que los ataques cibernéticos lanzados internamente son los más difíciles de identificar y contener. Un sorprendente 92% de los líderes de seguridad dice que los ataques internos son tan complejos o más difíciles de identificar que los ataques externos. Y el 74% de las empresas dice que los ataques internos se han vuelto más frecuentes; más de la mitad ha experimentado una amenaza interna en el último año y el 8% ha experimentado más de 20 ataques internos.

Por qué los CISO aceleran las implementaciones de IAM

El director ejecutivo y cofundador de CrowdStrike, George Kurtz, comentó: “La seguridad que prioriza la identidad es fundamental para la confianza cero porque permite a las organizaciones implementar controles de acceso sólidos y efectivos basados ​​en las necesidades específicas de sus usuarios. Al verificar continuamente la identidad de los usuarios y dispositivos, las organizaciones pueden reducir el riesgo de acceso no autorizado y protegerse contra amenazas potenciales”.

Kurtz le dijo a la audiencia en su discurso de apertura en Fal.Con 2022 que « el 80% de los ataques, o los compromisos que vemos, usan alguna forma de robo de identidad y credenciales ».

Los CISO entrevistados para esta historia dicen que están acelerando la administración de acceso a la identidad (IAM) en respuesta al aumento de los ataques internos, el alto costo de las identidades mal configuradas y las nuevas estrategias de ataque desde el exterior dirigidas a sus plataformas IAM, PAM y Active Directory. .

La prioridad más alta son las pruebas de concepto de IAM y el seguimiento rápido de los pilotos a los servidores de producción en respuesta a ataques más agresivos en herramientas heredadas sin funciones de seguridad avanzadas, incluidas las bóvedas.

Los principales proveedores de IAM incluyen AWS Identity and Access Management, CrowdStrike, Delinea, Ericom, ForgeRock, Google Cloud Identity, IBM Cloud Identity, Ivanti y Microsoft Azure Active Directory.

Pasos que toman los CISO para obtener valor rápido de IAM

Obtener el máximo valor de las implementaciones de IAM se considera fundamental para los marcos y la filosofía operativa del acceso a la red de confianza cero (ZTNA) de CISO. Esto se hace aún más urgente por la incertidumbre económica y una recesión pronosticada.

Detener la epidemia de credenciales zombi mediante la auditoría de todas las credenciales y derechos de acceso existentes

Un error común es importar todas las credenciales existentes de un sistema de administración de identidad heredado existente a uno nuevo. Los CISO deben presupuestar tiempo para auditar cada credencial y eliminar las que ya no se necesitan.

El estudio de Ivanti encontró que el 45% de las empresas sospecha que los ex empleados y contratistas todavía tienen acceso activo a los sistemas y archivos de la empresa. A menudo, esto se debe a que la guía de desaprovisionamiento no se siguió correctamente o porque las aplicaciones de terceros ofrecen acceso oculto incluso después de que se hayan desactivado las credenciales.

“Las grandes organizaciones a menudo no tienen en cuenta el enorme ecosistema de aplicaciones, plataformas y servicios de terceros que otorgan acceso mucho más allá de la terminación de un empleado”, dijo el director de producto de Ivanti, Srinivas Mukkamala. “Llamamos a estas credenciales zombies, y una cantidad sorprendentemente grande de profesionales de seguridad, e incluso ejecutivos de nivel de liderazgo, todavía tienen acceso a los sistemas y datos de ex empleadores”.

La adopción de la autenticación multifactor (MFA) es crítica desde el principio en un lanzamiento de IAM

MFA debe diseñarse primero en los flujos de trabajo para minimizar el impacto en las experiencias de los usuarios. A continuación, los CIO deben impulsar la conciencia de seguridad basada en la identidad y al mismo tiempo considerar cómo las tecnologías sin contraseña pueden aliviar la necesidad de MFA a largo plazo.

Los principales proveedores de autenticación sin contraseña incluyen Microsoft Azure Active Directory (Azure AD), OneLogin Workforce Identity, Thales SafeNet Trusted Access y Windows Hello for Business.

Hacer cumplir la gestión de identidades en los dispositivos móviles se ha convertido en un requisito fundamental, ya que más trabajadores seguirán siendo virtuales. De los proveedores en esta área, Zero Sign-On (ZSO) de Ivanti es la única solución que combina autenticación sin contraseña, confianza cero y una experiencia de usuario optimizada en su plataforma de administración unificada de puntos finales (UEM).

Ivanti diseñó la herramienta para admitir la biometría, Face ID de Apple, como el factor de autenticación secundario para acceder a cuentas, datos y sistemas personales y corporativos compartidos. ZSO elimina la necesidad de contraseñas mediante el uso de protocolos de autenticación FIDO2.

Los CIO le dicen a VentureBeat que Ivanti ZSO es una victoria porque se puede configurar en cualquier dispositivo móvil y no requiere que se cargue y parchee otro agente para mantenerse actualizado.

Requerir verificación de identidad antes de otorgar acceso a cualquier recurso

La última generación de plataformas IAM está diseñada con agilidad, adaptabilidad e integración a una pila tecnológica de ciberseguridad más amplia a través de API abiertas. Aproveche la capacidad de adaptación de las nuevas plataformas de IAM al exigir la verificación de identidad en cada recurso, punto final y fuente de datos.

Comience con controles estrictos y permita el acceso solo en casos excepcionales donde las identidades se controlen y validen de cerca. Cada transacción con cada recurso debe ser rastreada. Esta es una parte fundamental de tener una mentalidad de seguridad de confianza cero. Ser riguroso en la definición de la verificación de identidad reducirá los intentos de acceso no autorizado por parte de empleados, contratistas u otras personas con información privilegiada, protegiendo a una organización de amenazas externas al requerir la verificación de identidad antes de otorgar acceso.

Configure el IAM para que ningún ser humano pueda asumir el rol de una máquina, especialmente en las configuraciones de AWS

Esto es fundamental para la confianza cero porque los roles humanos en una plataforma de AWS deben estar restringidos al acceso con privilegios mínimos.

Desde DevOps, equipos de ingeniería y producción hasta contratistas externos que trabajan en una instancia de AWS, nunca permita que los roles humanos se crucen o tengan acceso a los roles de las máquinas. No hacer esto correctamente aumenta la superficie de ataque y podría llevar a un empleado o contratista deshonesto a capturar datos de ingresos confidenciales a través de una instancia de AWS sin que nadie lo sepa. Audite cada transacción y aplique el acceso con privilegios mínimos para evitar una infracción.

Supervise toda la actividad de IAM hasta el nivel de identidad, rol y credencial

Los datos en tiempo real sobre cómo, dónde y a qué recursos está accediendo cada identidad, rol y credencial, y si algún intento de acceso está fuera de los roles definidos, es fundamental para lograr un marco de seguridad de confianza cero.

Los CISO le dicen a VentureBeat que es esencial considerar las amenazas de identidad como multifacéticas y más matizadas de lo que parecen inicialmente cuando se descubren por primera vez a través del monitoreo y la detección de amenazas. Una excelente razón para monitorear toda la actividad de IAM es detectar posibles errores de configuración y las vulnerabilidades resultantes en las áreas identificadas de la pila tecnológica.

Un gerente de un SOC para una empresa de servicios financieros le dijo a VentureBeat que el monitoreo salvó a su empresa de una filtración. Un atacante irrumpió en los automóviles de varios empleados y robó sus credenciales y cualquier credencial de acceso que pudo encontrar, incluidas las computadoras portátiles, y luego las usó para acceder a los sistemas contables de la empresa. La intrusión se bloqueó de inmediato con monitoreo, ya que los empleados le habían dicho a TI que sus computadoras portátiles habían sido robadas a principios de esa semana.

Estar seguro en una recesión económica comienza con las identidades

Los CISO, CIO, gerentes de SOC y analistas que rastrean alertas y amenazas dicen que las brechas que dejan los sistemas de gestión de identidades heredados son el eslabón de seguridad más débil con el que tienen que lidiar durante los tiempos económicos bajos.

Los sistemas IAM heredados se usaban principalmente para el control preventivo, pero hoy en día todas las organizaciones necesitan un enfoque más resistente a la cibernética para proteger cada máquina e identidad humana en su negocio.

Las implementaciones de IAM se están acelerando para garantizar que solo las identidades de los usuarios legítimos tengan el acceso menos privilegiado a los recursos que necesitan para hacer su trabajo. El objetivo de evitar que usuarios no autorizados accedan a la red comienza por deshacerse de las credenciales zombie.

El monitoreo de las actividades de los usuarios es imprescindible para cualquier implementación de IAM, ya que puede detener una infracción en ciertas situaciones y prevenir el fraude antes de que comience.