Por: Grant Geyer, vicepresidente de Producto de RSA
Pregúntele a cualquier CISO (Jefe de Seguridad Informática) sobre los trabajos que deben realizar a diario y hablarán ampliamente sobre dos labores puntuales: mantener a raya a los malos, que se traduce en la responsabilidad del Centro de Operaciones de Seguridad (SOC); y dejar que los buenos se encarguen de la Identidad y Acceso del Equipo de gestión (IAM). Durante años he creído que estos dos trabajos no son procesos diferentes, sino que en realidad son dos caras de la misma moneda ligadas por la identidad. Como ve, casi todas las infracciones consisten en la adquisición de credenciales de usuario para que los piratas informáticos puedan acceder fácilmente a recursos críticos.
Es por esto por lo que, tanto el equipo de SOC como el de IAM, tienen cada uno un papel fundamental para frustrar una violación. El SOC debe ser capaz de detectar actividad sospechosa del usuario y detener a los piratas informáticos antes de que roben información crítica; mientras que el trabajo del equipo de IAM es demostrar que los usuarios son quienes dicen ser y negar el acceso a quienes actúen sospechosamente. Por lo tanto, con los conocimientos adecuados sobre la identidad, los equipos de SOC e IAM pueden llegar a convertirse en los héroes de la protección de las empresas. Como parte de la visión de producto de RSA, tenemos la certeza de que la mejor forma de conectar ambas disciplinas es por medio de UEBA (User & Entity Behavioral Analytics), una herramienta que beneficia a SOC e IAM al establecer el comportamiento del usuario y proporcionar la información pertinente cuando se producen anomalías.
Entender estos dos conceptos es lo que nos permite acelerar la ejecución de la estrategia RSA® Business-Driven Security™. Con la adquisición de Fortscale, hemos desarrollado una capacidad que permite al SOC detectar actividades de usuarios sospechosos, proporcionando al equipo de IAM la inteligencia necesaria para tomar decisiones más informadas sobre la autenticación y el acceso.
El papel de la identidad para apartar a los malos
Cuando se trata de proteger a las empresas digitales de los ciberataques, existen tres capacidades críticas que toda compañía necesita:
- Prevención: evitar que los malos ingresen.
- Detección: detectar a los malos una vez que entran.
- Respuesta: para tomar las medidas apropiadas cuando los encuentre.
Si bien hay mucho de lo que podemos hablar en cada una de estas áreas, centrémonos en las etapas de Detección y Respuesta. Estas son las etapas más críticas, pero ¿por qué? Independientemente de lo que hagan las organizaciones para evitar ataques, las empresas digitales almacenan su información en todas partes (nubes públicas, nubes privadas, dispositivos informáticos, etc.), esto hace que la prevención sea fundamental, y limitar el área de ataque es, sin duda, una parte indispensable del proceso. No obstante, hay tantos puntos de entrada como de salida, lo que hace que completar la etapa de prevención sea difícil, si no imposible.
En ese sentido, es necesario que las organizaciones cuenten con capacidades de detección robustas para identificar a los piratas informáticos antes de robar información crítica. Para hacerlo, las organizaciones necesitan visibilidad en una variedad de fuentes de datos, incluidos puntos finales, infraestructura, aplicaciones, usuarios, cargas de trabajo en la nube, etc.
El Informe Verizon Data Breach 2017, informó que el 80% de las infracciones relacionadas con la piratería aprovecharon las credenciales débiles, robadas o comprometidas. ¿Qué mejor manera de violar una red? ¡Pues enmascararse como un usuario legítimo! Esto nos permite deducir que, si el SOC (recordemos que es Centro de Operaciones de Seguridad) puede detectar a usuarios sospechosos, puede también frustrar ataques y minimizar el tiempo de permanencia cuando los hackers ingresen a extraer información sensible.
¿Qué pueden hacer las compañías para detectar ataques basados en el usuario? Las empresas necesitan un sistema capaz de establecer una base conocida con características de identidad definidas a lo largo del tiempo, para así luego localizar anomalías. Este es uno de los muchos factores que habilitan las capacidades de análisis de comportamiento de usuario y entidad que el SOC necesita, y hacerlo bien permite un modelo analítico resistente, de modo que, si los hackers pueden evitar ser detectados por un conjunto de análisis, serán detectados por otros. Una vez que el SOC ha detectado alguna pista de que las malas actividades están en curso, pueden conducir un conjunto de actividades de respuesta tales como alcance de compromiso, orquestación del flujo de trabajo o controles de automatización para bloquear el ataque.
Una de las actividades de respuesta importantes impulsadas por un SOC moderno es la adaptación de controles para bloquear ataques. Sin embargo, el desafío aquí es sobre falsos positivos: actividades que parecen sospechosas, pero que en realidad son legítimas. Si el SOC inadvertidamente bloquea el tráfico legítimo o detiene las acciones de un usuario verdaderamente legítimo, en realidad está obstaculizando el negocio en lugar de ayudar. Esto es lo que marca la diferencia. Detectar a un usuario sospechoso y activar los sistemas necesarios de autenticación y acceso para identificar si el usuario es realmente legítimo sin perjudicar el curso del negocio.
Haciendo que la autenticación y el acceso sean invisibles con el comportamiento del usuario
Al igual que en el papel de mantener alejados a los malos, hay tres áreas críticas para garantizar que los buenos puedan acceder a los recursos que necesitan de forma conveniente y segura en la empresa digital:
- Gobernancia de identidad: para entender quién tiene acceso a qué y gestionar excepciones.
- Gestión de identidad: para gestionar el acceso de los empleados de acuerdo con su labor en la organización.
- Autenticación y acceso: para demostrar que los usuarios son quienes dicen ser.
Por ahora, nos centraremos específicamente en las capacidades de Autenticación y Acceso, lo que considero el "plano de control" de la identidad. Cuando un usuario intenta acceder a recursos corporativos, el sistema de autenticación debe tomar una decisión rápida de si el usuario es o no quien dice ser. El típico “usuario y contraseña” ha sido durante muchos años el sistema de ingreso a los recursos de una organización. Pero, si das un paso atrás y piensas en esto, es un poco loco que, a pesar de todos los avances tecnológicos en informática, la mayoría de las empresas aún utilicen una forma tan simplista de autenticación y acceso para proteger su información más sensible.
En RSA, también le hemos proporcionado al mundo un par de alternativas a las contraseñas básicas: Autenticación de dos factores (2FA) y Autenticación basada en riesgos (RBA). 2FA utiliza algo que usted usualmente tiene (su token o teléfono) y algo que usted siempre sabe (su número de PIN) para proporcionar una autenticación "fuerte" bajo la premisa de que sería muy poco probable que un hacker tenga su token y conozca su PIN. RBA, por su parte, se trata de una autenticación adaptable para comprender varios factores de la transacción del usuario (dispositivo, geolocalización, etc.) para verificar que la transacción del usuario sea válida.
Si bien estas capacidades son realmente robustas, es cierto que la seguridad es más efectiva cuando se vuelve invisible para el usuario, proporcionándole toda la comodidad para llevar a cabo su trabajo, mientras mantiene a ellos (y a la empresa) seguros silenciosamente en el camino. Para lograr el objetivo de la autenticación y el acceso de usuarios "invisibles", no solo necesita dos, sino muchos factores para demostrar que el usuario es quien dice ser. Eso significa establecer una base del dispositivo del usuario, las ubicaciones típicas de las que trabajan, su comportamiento típico y determinar si la forma en que actúan es típica o anómala. Si es típico, continúan funcionando normalmente. Si hay una anomalía, es fundamental probar que realmente son ellos. La mejor manera de lograr esto es con una autenticación de aumento, como TouchID.
Entonces, ¿cómo beneficia el User & Entity Behavioral Analytics (UEBA) al equipo de Identidad y Acceso del Equipo de gestión IAM? Cualquier actividad sospechosa del usuario que detecte el SOC se convierte en otro conjunto de ideas para ayudar al motor de riesgo RSA SecurID® Access a determinar el nivel correcto de seguridad para demostrar que el usuario es de fiar. Si la plataforma RSA NetWitness® puede activar un flujo de trabajo, o incluso mejor, una alimentación automática, que proporciona información para el acceso a SecurID de RSA, podemos permitir que las actividades cotidianas del equipo SOC e IAM se ayuden entre sí. Este es un gran paso para hacer que la autenticación y el acceso sean más invisibles y más seguros.
UEBA: Reuniéndolo todo
Como parte de un SIEM (Información de seguridad y gestión de eventos por sus siglas en inglés) evolucionado, las capacidades de UEBA permiten que el SOC inteligente detecte actividad anómala del usuario indicativa de credenciales comprometidas o una amenaza interna. La detección de estos tipos de eventos puede impulsar el proceso de administración y reparación de incidentes para detectar una campaña de piratas informáticos en una empresa. Este es el puente que une a los equipos SOC e IAM, haciendo que ambas disciplinas sean más óptimas y efectivas.
Permitir que el proceso y las tecnologías de SOC e IAM funcionen conjuntamente es una estrategia que RSA ha estado impulsando como parte de nuestra estrategia de seguridad basada en el negocio. La adquisición de Fortscale permite a RSA acelerar la entrega de esa estrategia, brindando a nuestros clientes los beneficios de tecnologías innovadoras e integradas para combatir el riesgo digital.