El aumento de la frecuencia y la gravedad de los ciberataques ha provocado que las organizaciones reconsideren sus estrategias de seguridad. Las principales amenazas de seguridad recientes, como los ataques de ransomware de alto perfil y las vulnerabilidades de Log4Shell reveladas en 2021, han llevado a un mayor enfoque en la protección de la identidad, ya que los adversarios confían en credenciales válidas para moverse lateralmente a través de las redes de destino.
Las aseguradoras cibernéticas saben que las organizaciones que compran pólizas de seguros cibernéticos deben estar preparadas para detectar, mitigar y responder a los ataques modernos a medida que los adversarios evolucionan en sus tácticas, técnicas y procedimientos (TTP). Estas amenazas en constante evolución han tenido un impacto significativo en los seguros cibernéticos. Una estrategia sólida de protección de la identidad puede impulsar la postura de seguridad de la empresa e impulsar el ritmo de las iniciativas de seguros cibernéticos.
Impacto del ransomware en las primas de seguros
Según la Encuesta de actitud de seguridad global de CrowdStrike de 2021, el 66 % de las organizaciones sufrieron al menos un ataque de ransomware en 2021 y, como se muestra en el Informe de amenazas globales de CrowdStrike 2022, las filtraciones de datos relacionadas con el ransomware aumentaron un 82 % de 2020 a 2021. El ransomware está teniendo una relación directa con las primas y la cobertura de los seguros cibernéticos: el índice global del mercado de seguros de Marsh indica que las primas de los seguros cibernéticos en el segundo trimestre de 2021 aumentaron un 56 % en los EE. UU., impulsadas por la frecuencia y la gravedad de las reclamaciones de ransomware.
Piense desde la perspectiva de una aseguradora cibernética
Al comprar un seguro cibernético, las organizaciones a menudo se preocupan por el impacto comercial, la pérdida de ingresos y otros costos relacionados con el tiempo de inactividad después de un ataque, además de determinar la causa raíz de ese tiempo de inactividad. Es fundamental que evalúen su postura de riesgo general. Las aseguradoras cibernéticas trabajan en estrecha colaboración con las empresas para crear una visión holística de los riesgos sistémicos y dinámicos, que influyen directamente en su prima y límite de cobertura.
Active Directory (AD), a menudo el eslabón más débil de la ciberdefensa, es un ejemplo de dicho riesgo. Debido a que la mayoría de los ataques de ransomware aprovechan las credenciales de los usuarios, las organizaciones deben fortalecer su postura de seguridad de identidad de una manera que funcione al unísono con su estrategia de protección de puntos finales. Muchos de los pasos involucrados en esto, como implementar la autenticación multifactor (MFA) y administrar cuentas privilegiadas, también son requisitos que se deben cumplir al comprar pólizas de seguro cibernético.
Una defensa más sólida contra los ataques centrados en la identidad
Los ataques modernos como el ransomware y los incidentes recientes de Log4j y noPac constan principalmente de dos partes:
Tenga en cuenta que los adversarios que se dirigen a organizaciones con amenazas modernas como el ransomware pueden no seguir necesariamente la cadena de eliminación cibernética de manera lineal. Es decir, es posible que no siempre se infiltren en la organización a través de intentos de phishing y luego ejecuten código de explotación en puntos finales vulnerables. (Cuando lo hacen, los módulos CrowdStrike Falcon® Endpoint Protection protegen detectando y evitando la ejecución de código). En cambio, el adversario podría infiltrarse en una organización desde un punto final no protegido por la tecnología CrowdStrike y luego usar una identidad comprometida válida para acceder a los recursos y moverse lateralmente.
Independientemente de la forma en que los adversarios elijan ingresar a la organización, eventualmente pueden aprovechar las identidades de la fuerza laboral para moverse a través de la red, aprovechando las credenciales comprometidas y la débil postura de seguridad de AD.
El papel de MFA en la protección de la identidad
MFA se ha convertido en un método crucial para controlar el acceso a aplicaciones y recursos críticos; aún más con una fuerza de trabajo remota más grande en todas las verticales. Para protegerse contra el ransomware y cumplir con la postura de seguridad básica, la mayoría de las aseguradoras requieren que las organizaciones apliquen MFA en las identidades. Las aseguradoras pueden negarse a hacer negocios con organizaciones que no aplican MFA o implementan tecnología de seguridad de punto final como antivirus de próxima generación o detección y respuesta de punto final (EDR).
Una forma de hacer cumplir la verificación de identidad es activar MFA cada vez que un usuario intenta acceder a un recurso o aplicación. Sin embargo, esto puede crear fatiga de MFA, lo que no solo puede reducir la productividad del usuario, sino que también puede crear un escenario de riesgo en el que el usuario, sin darse cuenta, permite el acceso a un intento de inicio de sesión malicioso.
Los clientes de CrowdStrike Falcon Identity Protection obtienen una mejor experiencia de usuario y seguridad mejorada con MFA basado en riesgos: la confianza del usuario se evalúa en tiempo real para determinar si se permite el acceso a recursos específicos incluso antes de que la solicitud de autenticación llegue al AD. Con líneas de base y riesgos dinámicos vinculados a cada identidad y su comportamiento, la actividad maliciosa, como el movimiento lateral, el comportamiento de riesgo, el uso inusual de puntos finales, la escalada de privilegios y los intentos maliciosos de inicio de sesión de RDP, se detectan y se cuestionan en tiempo real sin necesidad de engorrosos análisis de registros o puntos. soluciones
Cambie de una gestión de acceso con privilegios limitada a una protección de identidad más amplia
La superficie de ataque de identidad puede verse influenciada por una sola cuenta sin privilegios, por lo que no debe limitar los esfuerzos de seguridad a solo cuentas privilegiadas. Si bien algunos proveedores consideran que la administración de cuentas privilegiadas (PAM) es una parte fundamental del seguro cibernético, es importante comprender que las soluciones PAM tradicionales brindan visibilidad solo de las cuentas privilegiadas. Además de requerir una planificación cuidadosa para implementar y configurar una solución PAM, las organizaciones deben considerar la probabilidad de que los servidores de salto se puedan omitir y las bóvedas de contraseñas se puedan comprometer.
Piense en PAM como una solución "operativa" para "administrar" cuentas privilegiadas. Por ejemplo, las soluciones PAM no evitan el uso indebido de credenciales válidas, solo administran el uso de cuentas privilegiadas; sin embargo, un adversario calificado aún podría usar una cuenta privilegiada de PAM para pasar desapercibida dentro del entorno de un cliente.
| Function | PAM | CrowdStrike Falcon Identity Protection |
| ID store visibility | Limited to privileged accounts | All accounts across AD and Azure AD directories |
| Risk posture assessment | Incomplete or limited to privileged accounts | All human, service and privileged identities |
| Deployment | Requires careful planning (jump servers, session brokers and many more) | Rapid deployment and scalability with a cloud-delivered, single lightweight agent architecture |
| User experience (UX) | High user friction (password vaulting, session brokers) | Frictionless MFA/conditional access based on dynamic risk |
| Behavior, deviations monitoring | Limited to only privileged accounts | All accounts |
| Misuse of valid credentials | Not available | Full visibility: detection and prevention |
| Attack path visibility | Limited | Full visibility into the lifecycle of an attack across reconnaissance, lateral movement and persistence |
Falcon Identity Protection clasifica y evalúa automáticamente los privilegios de todas las identidades (piense en ello como seguridad de acceso privilegiado de última generación) con visibilidad y control de seguridad de todas las cuentas vinculadas a AD, Azure AD y SSO como Okta, Ping y Active Directory Federation Services ( ADF). Con la segmentación de la identidad y la visibilidad del comportamiento y los riesgos para todos los usuarios, las organizaciones pueden restringir el acceso a recursos de gran valor y detener el progreso de los ataques de ransomware, cumpliendo así con algunos de los requisitos críticos del seguro cibernético al adoptar una estrategia de protección de identidad más amplia. Falcon Identity Protection también puede complementar su solución PAM al permitir visibilidad holística, análisis y protección para sus identidades privilegiadas y cuentas de servicio, y la aplicación de MFA basada en riesgos, lo que mejora la experiencia del usuario para sus administradores.
