La detección y respuesta a amenazas de identidad (ITDR) es una disciplina de ciberseguridad que incluye herramientas y mejores prácticas para proteger la infraestructura de gestión de identidades de ataques. La ITDR puede bloquear y detectar amenazas , verificar credenciales de administrador, responder a diversos ataques y restablecer las operaciones normales. [1] Las amenazas de identidad comunes incluyen phishing , credenciales robadas, amenazas internas y ransomware . [2]
La ITDR añade una capa adicional de seguridad a los sistemas de gestión de identidad y acceso (IAM). Ayuda a proteger las cuentas, los permisos y la propia infraestructura de identidad contra ataques. Dado que los atacantes apuntan directamente a las herramientas de identidad, la ITDR cobra cada vez más importancia en 2023: según Gartner , las prácticas de higiene de IAM establecidas, como la gestión de acceso privilegiado y la gobernanza de identidad, ya no son suficientes. [1]
La ITDR puede ser parte de un modelo de seguridad de confianza cero . La ITDR es especialmente relevante para infraestructuras multicloud , que tienen brechas entre las distintas implementaciones de IAM de los proveedores de la nube. Cerrar estas brechas y orquestar la identidad en las distintas nubes es un objetivo de la ITDR. [3]
La ITDR mejora la gestión de identidad y acceso (IAM) al añadir capacidades de detección y respuesta. Proporciona visibilidad sobre el posible uso indebido de credenciales y el abuso de privilegios. La ITDR también encuentra lagunas dejadas por los sistemas de IAM y de gestión de acceso privilegiado (PAM). [4] La ITDR requiere la supervisión de los sistemas de identidad para detectar el uso indebido y la vulneración. Utiliza detecciones de menor latencia que los sistemas de seguridad generales. La ITDR implica la coordinación entre los equipos de IAM y de seguridad. [1]
ITDR utiliza el marco MITRE ATT&CK contra vectores de ataque conocidos. Combina controles de IAM fundamentales como la autenticación multifactor con la supervisión. ITDR evita la vulneración de cuentas y credenciales de administrador. Moderniza la infraestructura a través de estándares como OAuth 2.0 .
Las organizaciones adoptan ITDR para complementar la gestión de identidades y acceso (IAM) y la detección y respuesta de puntos finales . ITDR monitorea específicamente los sistemas de identidad y los registros de actividad de los usuarios en busca de ataques. Puede aislar los sistemas afectados y recopilar datos forenses. La adopción requiere presupuesto, capacitación y aceptación. Las organizaciones pueden comenzar con los fundamentos de la gestión de identidades y acceso (IAM), como la autenticación multifactor y el control de acceso basado en roles . [4]
Las herramientas ITDR pueden detectar configuraciones incorrectas en Active Directory . Las estrategias pueden actualizar firewalls, sistemas de intrusión y aplicaciones de seguridad. ITDR se integra con herramientas SIEM para monitoreo de amenazas y respuesta automatizada. Un plan de respuesta a incidentes ITDR maneja credenciales comprometidas y escalada de privilegios. La capacitación de concientización enseña a los usuarios a detectar ataques basados en identidad. [4]
ITDR surgió como un segmento de ciberseguridad diferenciado en 2022. El término fue acuñado por Gartner . [4]
Según Gartner , los proveedores de ITDR incluyen Authomize, CrowdStrike , Gurucul, Microsoft , Netwrix, Oort, Proofpoint , Quest Software, Semperis, SentinelOne y Silverfort. [1]
Mientras que EDR detecta problemas en los puntos finales, ITDR se concentra en monitorear y analizar la actividad de los usuarios y los registros de administración de acceso para descubrir actividades maliciosas. Reúne datos de múltiples fuentes de administración de identidad y acceso (IAM) en entornos locales y en la nube. Juntos brindan un panorama más completo para mejorar la detección y la respuesta a ataques sofisticados que involucran movimiento lateral y engaño de identidad. [5]