Índice de temas
Qué es ITDR (Identity Detection and Response)
Identity Threat Detection and Response (ITDR), un sello acuñado por Gartner, es una nueva clase de soluciones de ciberseguridad, especialmente diseñadas para proteger los sistemas de gestión de identidades y acceso (IAM), y que son capaces de detectar cuándo han sido comprometidos, permitiendo así una remediación eficiente.
Parecidos de ITDR con EDR y XDR
ITDR comparte ciertas similitudes con otros sistemas ampliamente conocidos como Endpoint Detection and Response (EDR) y Extended Detection and Response (XDR). Sin embargo, mientras que las soluciones EDR y XDR se enfocan en la capa exterior del sistema de información de la organización, las soluciones ITDR se enfocan en el propio sistema de identidad, que autentica a los usuarios y otorga permiso a servicios y aplicaciones.
Ciberataques como los sufridos por importantes empresas y organismos, como el Hospital Clínic de Barcelona, han puesto de manifiesto que los atacantes tuvieron éxito al apuntar hacia los sistemas de gestión de la identidad
Ciberataques como los sufridos por importantes empresas y organismos, como el Hospital Clínic de Barcelona, han puesto de manifiesto que muchas de las amenazas que se observan en los últimos años tienen un hilo común: los atacantes tuvieron éxito al apuntar hacia los sistemas de gestión de la identidad.
En este sentido, el informe Data Breach Investigations Report 2023 de Verizon señala que las credenciales robadas o comprometidas están en el origen de algo más del 50% de todas las fugas de datos, de hecho, las credenciales robadas son el principal método que utilizan los ciberdelincuentes para acceder a los sistemas de una empresa.
Más allá del acceso privilegiado
Por estas razones, las organizaciones deben tener control sobre quién accede a qué y cuándo, además de vigilar que se accede con los niveles de privilegios adecuados. Con los atacantes apuntando directamente a las herramientas de identidad, ITDR gana importancia en 2023. Según Gartner, las prácticas de higiene de IAM establecidas, como la gestión de acceso privilegiado y el gobierno de identidad, ya no son suficientes.
Necesidad de proteger los sistemas de Active Directory
Para una gran mayoría de empresas, Active Directory (AD) es el repositorio central de todas sus cuentas y responsable de toda la autenticación y autorización de sus sistemas. Por su importancia, se trata de un objetivo muy “jugoso” para los ciberdelincuentes, ya que, si consiguen comprometer el AD, podrán acceder a los recursos de la organización, y tendrán capacidad de realizar acciones que permitan elevar privilegios y dificultar su detección y erradicación de los sistemas. De hecho, Microsoft ha calculado que más de 95 millones de cuentas de AD son atacadas diariamente. Como es de suponer, este número va en aumento.
Los equipos encargados de proteger las infraestructuras y servicios de la organización deben ser conscientes del riesgo al que se enfrentan y deben disponer de información accionable que les permita detectar cuándo se está produciendo una amenaza para poder actuar rápidamente y evitar que los atacantes se apropien de los sistemas.
Ventajas de una solución ITDR
Una solución ITDR podrá proporcionar la suficiente visibilidad a los equipos de seguridad para identificar errores de configuración, credenciales que hayan podido ser robadas a través de sistemas de inteligencia de amenazas, así como los logs adecuados para que puedan integrarse en el resto de los sistemas de detección y respuesta de la organización.
En definitiva, la seguridad de los sistemas de gestión de la identidad debe convertirse en una prioridad absoluta para las organizaciones, a sabiendas de que son objetivo prioritario para los cibercriminales. Ser capaz de detectar y responder eficazmente a las amenazas que afectan a los sistemas de gestión de la identidad es fundamental. Por esta razón, todas aquellas herramientas basadas en proteger este tipo de sistemas cobran gran importancia.
Asimismo, las organizaciones que tienen externalizados los servicios de seguridad deberán exigir a sus Security Operations Centers (SOC) que cuenten con sistemas capaces de detectar este tipo de amenazas, tanto en sistemas on premise, como en sistemas cloud. Como resultado de esto, esperamos poder ver más soluciones de seguridad centradas en este tipo de riesgos.