Por Ray Mills es Director de Ventas en España para Semperis, proveedor multinacional de soluciones de ciber-resiliencia y mitigación de amenazas basadas en la identidad para entornos híbridos y entre múltiples servicios de nube.

Al igual que el impacto de los ciberataques ya no se limita al departamento de TI de las organizaciones, el papel del CISO se ha ampliado más allá del equipo de seguridad. Ahora que las organizaciones y los analistas reconocen que la identidad es el nuevo perímetro de seguridad, la gestión de una estrategia integral de seguridad que dé prioridad a la identidad se ha convertido en una responsabilidad esencial del CISO. ¿Qué necesitan saber los CISOs sobre la detección y respuesta ante amenazas de identidad (ITDR)? He aquí cinco pasos importantes para los líderes de seguridad con visión de futuro.

1. Centrarse en la seguridad basada en la identidad para reforzar la resistencia operativa

La resistencia operativa debe ser una prioridad tanto para los responsables de seguridad como para los de negocio. Y hacer posible una resistencia total implica mucho más que tener un plan genérico de recuperación ante desastres. La recuperación en caso de un ataque tiene una definición bastante limitada y suele considerarse en un marco temporal reducido. La capacidad de recuperación operativa es mucho más amplia e incluye aspectos como el tipo de gobernanza que se ha implantado, la forma de gestionar los riesgos operativos, los planes de continuidad de la actividad y la gestión de los riesgos cibernéticos, de la información y de proveedores externos… La resistencia debe estar integrada en todo.

Este nivel de resistencia depende de una sólida seguridad de su infraestructura de identidad. Para más del 90 por ciento de las organizaciones, esto significa Active Directory (AD) y Azure AD. Después de todo, si el AD no funciona, no funciona nada. El Active Directory es el núcleo de su capacidad para operar y ofrecer resultados empresariales, y debe formar parte de su estrategia de resistencia operativa en lugar de ser tratado como una isla.

2. Construir una estrategia global de ITDR

Gartner hablaba mucho a finales del año pasado sobre lo que ellos mismos denominaban las soluciones de ITDR (siglas en inglés por detección y respuesta ante amenazas a la identidad) y hay muchas formas de reforzar sus defensas, entre ellas dar prioridad a la seguridad centrada en la identidad.

Dicha estrategia debe incluir procedimientos, procesos y responsabilidades específicos para proteger su infraestructura de identidad híbrida a lo largo del ciclo de vida de un ataque a AD: antes, durante y después de un ataque. Debe incluir un plan de copia de seguridad y recuperación específico para AD y una supervisión periódica para identificar las vulnerabilidades relacionadas con la identidad. Y debe identificar las interdependencias entre sus sistemas de identidad y la tecnología operativa (OT).

3. Obtener una visión realista del superficie de ataque a la identidad

La mayoría de los ciberataques involucran la identidad e, independientemente de su punto de acceso inicial, los atacantes suelen entrar por el AD para ganar acceso al entorno TI, por lo que un buen punto de partida es evaluar y reducir la superficie de ataque AD.

Este paso necesario no tiene por qué ser difícil ni caro. Existen poderosas herramientas gratuitas (como Purple Knight de Semperis) que ayudan a detectar brechas y vulnerabilidades que a menudo han existido durante años, y otras (como Forest Druid) que ayudan a las empresas a identificar sus activos de identidad más importantes y las rutas de acceso a ellos. No se requieren instalación ni permisos especiales, y estas herramientas proporcionan una imagen clara de las vulnerabilidades potenciales, e indicadores de que los atacantes podrían haber violado ya el perímetro de identidad. También ofrecen a los CISOs una guía práctica sobre los pasos a seguir para cerrar las brechas existentes.

4. Automatizar la protección de la identidad para una respuesta más rápida

Es recomendable hoy en día que los CISOs se centren en soluciones para automatizar la prevención de amenazas. «La automatización y un enfoque API-first pueden ayudar a agilizar los procesos, reducir el riesgo de error humano y mejorar la eficiencia de los equipos de ciberseguridad«, señala la revista Forbes en un artículo reciente. «Esto incluye el uso de la automatización en tareas como la gestión de vulnerabilidades, la respuesta a incidentes y las comprobaciones de cumplimiento«.

La automatización puede reducir la carga de trabajo de los recursos, así como reducir los errores humanos y acelerar la respuesta ante incidentes. Y cuando se trata de proteger sus activos de identidad de Tier 0, la velocidad es esencial.

Por eso, las mejores soluciones ITDR permiten la reversión automatizada de los cambios en el AD. Nuestra herramienta Directory Services Protector (DSP) automatiza la corrección y permite activar alertas personalizadas, para que las organizaciones puedan responder a las ciberamenazas lo antes posible.

La automatización de la recuperación del AD es otra capacidad vital. La recuperación manual puede llevar días o incluso semanas, en comparación con tan sólo una hora con Active Directory Forest Recovery (ADFR) de Semperis.

5. Prepárate para lo peor

Todo indica que vamos a asistir a un crecimiento continuo de la ciberdelincuencia, en todos los frentes, no sólo en 2023, sino en los años venideros. Según el informe Statista Cybersecurity Outlook, se espera que el coste global de la ciberdelincuencia aumente en los próximos cinco años, pasando de 8,44 billones de dólares en 2022 a 23,84 billones en 2027, con una media de crecimiento anual de entre el 21% y el 36%. Esta tendencia conlleva un mensaje claro: Seguir trabajando en los aspectos básicos de la seguridad y cerrar los vectores de ataque más comunes.

A los expertos en seguridad les gusta decir que los ciberataques son una cuestión de «cuándo, no si». Los CISOs deben prepararse para ese «cuándo» teniendo una copia de seguridad específica de su AD y un plan detallado de recuperación del mismo, y probando ambos con regularidad. Las copias de seguridad tradicionales incluyen tanto el AD como el sistema operativo, que puede incluir malware. El malware puede esconderse en su entorno durante semanas o meses, corrompiendo las copias de seguridad para que la recuperación reinfecte sus sistemas. Y lo último que necesita es descubrir fallos en su copia de seguridad o plan de recuperación durante un ciberataque activo.