Introducción a la monitorización de identidades
La proliferación de servicios en la nube y entornos de TI híbridos ha ampliado la superficie de ataque para los ataques de identidad, lo que, a su vez, aumenta el riesgo de robo de credenciales, uso indebido de privilegios y movimientos laterales por parte de los adversarios.
Los usuarios terminan acumulando varias identidades digitales, normalmente una dirección de correo electrónico corporativa con inicio de sesión único (SSO), cada una de ellas con roles, niveles de acceso e identidades diferentes que el usuario debe gestionar con un conjunto diverso de credenciales.
Cada identidad en un sistema aumenta la superficie de ataque de una organización y constituye un vector a través del cual los ciberdelincuentes pueden comprometer sistemas para filtrar datos confidenciales o instalar ransomware. Para prevenir los ataques basados en la identidad, las organizaciones deben implementar una monitorización continua de identidades para detectar patrones de acceso sospechosos y aplicar controles de seguridad en tiempo real.
En este artículo analizamos la monitorización de identidades, sus componentes clave, sus ventajas y desafíos, y qué pueden hacer las organizaciones para proteger sus identidades digitales.
Guía completa para diseñar una estrategia de protección de la identidad
Da el primer paso hacia una posición de seguridad de la identidad y descarga la Guía completa para diseñar una estrategia de protección de la identidad y defender así el panorama de la identidad digital de tu empresa desde hoy mismo.
Descargar ahora¿Qué es la monitorización de identidades?
La monitorización de identidades hace referencia al análisis continuo de la actividad de autenticación, los patrones de acceso y los cambios de privilegios para detectar amenazas basadas en la identidad y prevenir accesos no autorizados.
Cuando los ciberdelincuentes se hacen con las credenciales de un usuario, suelen elevar los privilegios, moverse lateralmente dentro de la red o aprovechar los errores de configuración de la nube para consolidar su presencia. La monitorización de identidades permite detectar estas anomalías en tiempo real para detener las amenazas antes de que se propaguen. La monitorización de identidades establece una referencia en cuanto a la actividad normal del usuario para identificar estos indicadores de ataque y tiene la capacidad para responder de forma automática cuando se produce una desviación con respecto a dicha referencia.
La monitorización activa de identidades desempeña un papel fundamental en la protección contra el robo de identidades, ya que:
- Mitiga el riesgo relacionado con las cuentas, ya que ayuda a detectar robos de identidad o accesos no autorizados en el momento, y no días o semanas después.
- Protege la información confidencial y los sistemas críticos, ya que limita el daño que un ciberdelincuente puede causar con una cuenta comprometida.
Funciones principales
Las soluciones eficaces de monitorización de identidades ayudan a las organizaciones a definir el comportamiento normal de los usuarios, detectar actividades sospechosas y abordar amenazas como los ataques a las cuentas. Veamos qué papel juegan en la práctica cada una de las tres funciones principales de la monitorización de identidades.
N.º 1: establecer una referencia para el comportamiento normal (tomar el "pulso")
Las soluciones de monitorización de identidades ayudan a determinar un patrón normal de comportamiento del usuario. Este patrón, también conocido como "pulso", es la referencia utilizada para detectar desviaciones que pueden indicar una amenaza. Una solución de monitorización de identidades analiza patrones de autenticación, ubicaciones de acceso, niveles de confianza de los dispositivos y el uso de privilegios para establecer una referencia de comportamiento y asignar puntuaciones de riesgo en caso de desviación con respecto a la actividad normal.
N.º 2: monitorización de los permisos de acceso y cambios en los privilegios
Además de establecer una referencia, la monitorización de identidades rastrea cualquier cambio que se produzca en el pulso establecido, como un aumento de permisos o cambios en la asignación de privilegios. Esto es útil aunque no se produzca un ataque relacionado con las cuentas activas. Es importante detectar, por ejemplo, si un usuario adquiere más privilegios sobre una identidad para acceder a información confidencial sobre tarjetas de crédito en un sistema que cumpla con las normas PCI, aunque el empleado lo haga de manera legítima.
N.º 3: identificación de indicios de uso indebido de credenciales o vulneración de cuentas
La última función principal de la monitorización de identidades es la detección de indicios de uso indebido de credenciales o vulneración de cuentas. Algunos de estos indicios podrían ser la detección de un inicio de sesión a una hora anormal para el usuario o un cambio de privilegios atípico, lo cual puede relacionarse con un ataque de elevación de privilegios.
Los 4 componentes de la monitorización de identidades
Aunque existen diferentes herramientas de monitorización de identidades que las organizaciones pueden implementar, para que dichas soluciones puedan considerarse eficaces, deben incluir las siguientes capacidades clave.
1. Detección en tiempo real
Las capacidades de detección en tiempo real permiten activar alertas en cuanto se produce un comportamiento sospechoso. La monitorización es continua, algo que se puede realizar, por ejemplo, analizando los registros de auditoría generados por un proveedor de identidad. Esto permite responder en tiempo real. Algunas de las posibles respuestas son el bloqueo de las sesiones sospechosas, la revocación de las credenciales comprometidas y la aplicación de unos procesos de autenticación adaptativos para usuarios de alto riesgo.
2. Análisis de comportamiento
El análisis de comportamiento permite identificar patrones de referencia de cada usuario y controla diversos comportamientos, como la hora a la que el usuario suele iniciar sesión, el tiempo que permanece en el sistema y el nivel de acceso utilizado. Esta referencia puede emplearse para determinar valores atípicos. Las herramientas de monitorización de identidades utilizan estos patrones para detectar anomalías, es decir, aquellos casos en los que la identidad se comporta de una manera atípica con respecto a la referencia establecida. Estos eventos provocan dos tipos de respuesta: la activación de una alerta o el bloqueo del comportamiento anormal.
3. Control de acceso y gestión de privilegios
La monitorización de identidades utiliza el principio del mínimo de privilegios (POLP) a la hora de detectar elevaciones no autorizadas de privilegios, reducir la superficie de ataque y garantizar que los usuarios solo tengan el acceso necesario. También garantiza la revisión y el ajuste periódicos de los derechos de acceso. Gracias a la monitorización de identidades, los departamentos de TI pueden ver y gestionar mejor los controles sobre las identidades de los usuarios en toda la organización. Además, las herramientas de monitorización de identidades ayudan a aplicar directivas estrictas para las cuentas con privilegios o de nivel raíz con el fin de reducir el riesgo de que dichas cuentas puedan verse comprometidas y provocar un incidente de graves consecuencias.
4. Integración óptima con la gestión de identidades y accesos (IAM)
Una herramienta de monitorización de identidades debe integrarse sin problemas con un sistema de gestión de identidades y accesos (IAM). De esta forma, los equipos de seguridad podrán coordinarse para bloquear cuentas o señalar conductas de alto riesgo. Los sistemas IAM son cruciales para gestionar el acceso a los sistemas de TI, y un error de configuración en los permisos de IAM representa una amenaza grave para la información privada.
Ventajas empresariales de la monitorización de identidades
La monitorización de identidades es muy importante en la seguridad de las empresas modernas. Complementa directamente otros objetivos clave de seguridad y mitiga multitud de riesgos reales. Esto aporta una serie de ventajas específicas.
Posición de seguridad mejorada
Los ataques basados en la identidad se han vuelto tan frecuentes que las organizaciones están empezando a temer por una posible quiebra. La detección en tiempo real impide que los adversarios lleguen a consolidar su presencia en los sistemas de la organización, lo cual ayuda a evitar el uso indebido de privilegios, el movimiento lateral y la exfiltración de datos. Al bloquear identidades que actúan de manera anormal o que aumentan sus privilegios de forma atípica, las organizaciones son más resilientes ante este tipo de ataques.
Cumplimiento y preparación para auditorías
El RGPD, la HIPAA y SOC 2 establecen procedimientos y estándares relacionados con la protección de datos. El uso de un sistema de monitorización de identidades acredita ante los auditores y clientes el cumplimiento de las leyes y reglamentos cuyo objetivo es proteger los datos de los usuarios y las organizaciones frente a ataques basados en la identidad. Las soluciones de monitorización de identidades automatizan la generación de informes de cumplimiento mediante el seguimiento de los logs de actividad de las identidades, los cambios en el control de acceso y la aplicación de las directivas de seguridad, lo cual facilita el proceso de auditoría conforme a los marcos del RGPD, la HIPAA y SOC 2.
Operaciones de seguridad y TI optimizadas
Las herramientas que funcionan en tiempo real ofrecen más transparencia sobre los pasos realizados por cada identidad, lo que agiliza y mejora la eficacia de la respuesta a incidentes. La monitorización de identidades también reduce las cargas de trabajo del equipo de seguridad. En caso de no disponer de una solución de monitorización de identidades, los equipos de seguridad deben revisar manualmente los logs de auditoría y responder de forma reactiva ante cualquier incidente de seguridad.
Informe sobre Threat Hunting 2024
En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.
Descargar ahoraDesafíos y limitaciones
Aunque la monitorización de identidades es útil, no es la panacea en materia de seguridad. En esta sección, analizaremos los desafíos y las limitaciones habituales que pueden reducir la efectividad de la monitorización de identidades.
Falsos positivos y falsos negativos
Las organizaciones deben tener cuidado con la herramienta que eligen por los desafíos que plantea la monitorización de identidades. Un alto volumen de falsos positivos y falsos negativos puede reducir la confianza en la herramienta. Las organizaciones deben buscar el equilibrio entre sensibilidad y precisión de las alertas. El análisis basado en IA optimiza constantemente los modelos de detección de riesgos, lo cual ayuda a reducir los falsos positivos y mejora la detección de amenazas emergentes de identidad.
Problemas de escalabilidad
A medida que crece la infraestructura de TI de una organización, también lo hace el volumen de identidades que deben monitorizarse en diversos sistemas (entornos multinube, locales, etc.). Una solución de monitorización de identidades debe ser capaz de gestionar grandes volúmenes de datos en entornos complejos y de adaptarse a las necesidades de la organización. De este modo, las organizaciones se evitan el engorro de cambiar de herramienta con todo lo que ello supone.
Complejidad de integración
Las herramientas de monitorización de identidades también presentan complicaciones durante la integración. Las soluciones modernas de seguridad de la identidad se integran de forma nativa con plataformas IAM, EDR y SIEM para garantizar una transparencia total en entornos híbridos y multinube. De lo contrario, se convertirán en un silo de datos sin utilidad para los equipos de seguridad ni la organización.
Para hacer frente a esto, las organizaciones necesitan una herramienta que facilite la integración y sea compatible con todas las identidades empleadas por la organización.
Protege tus identidades digitales con CrowdStrike
Los ataques basados en la identidad no paran de crecer. Los adversarios utilizan credenciales robadas y técnicas para eludir la autenticación MFA para infiltrarse en las organizaciones. La monitorización proactiva de identidades detecta y previene estas amenazas antes de que vayan a más. Las soluciones de monitorización de identidades protegen los sistemas analizando el comportamiento de los usuarios en tiempo real e integrándose con los sistemas IAM y los controles de acceso para identificar ataques y mitigar amenazas.
Para proteger tus identidades digitales a gran escala, CrowdStrike Falcon® Next-Gen Identity Security ofrece detección en tiempo real de amenazas de identidad, mitigación proactiva de riesgos y capacidades de respuesta automática para detener a los adversarios antes de que puedan hacer uso de las credenciales comprometidas. Mejora la visibilidad sobre los sistemas de TI para detectar anomalías relacionadas con las identidades y los niveles de privilegio, así como para proteger las credenciales utilizadas por las identidades digitales. CrowdStrike Falcon® Next-Gen Identity Security también se integra perfectamente con tu infraestructura de seguridad actual para que puedas empezar a usar la solución de inmediato, con una interrupción mínima, así como mejorar tu protección y tu posición de seguridad.
Ryan Terry ocupa el cargo de Senior Product Marketing Manager en CrowdStrike y se centra en la seguridad de la identidad. Cuenta con más de 10 años de experiencia en marketing de productos de ciberseguridad y anteriormente trabajó en Symantec, Proofpoint y Okta. Ryan obtuvo un máster en dirección y administración de empresas en la Universidad Brigham Young.
