"Cada batalla se gana antes de pelear"
- Sun Tzu El arte de la guerra

El arte de la guerra, El tratado del filósofo chino Sun Tzu sobre estrategia militar, es uno de los textos más influyentes en la historia moderna, que influye en la toma de decisiones estratégicas de centros de comando militar, salas de juntas corporativas y del vestidores de equipos deportivos icónicos. El libro trata menos sobre las x y las o de las batallas individuales que sobre la disciplina de la preparación. "Si ignoras tanto a tu enemigo como a ti mismo, seguramente estarás en peligro" Sun Tzu enseña.

Este consejo sirve como un recordatorio esencial en el panorama actual de la ciberseguridad: la preparación y la autoconciencia son tan cruciales para la ciberseguridad como lo son para la batalla. Para tener en cuenta las amenazas cibernéticas cada vez más sofisticadas, las empresas deben alejarse de una mentalidad reactiva e impulsada por el cumplimiento hacia un enfoque más proactivo de seguridad primero. Para evitar los peligros de la ignorancia, las empresas necesitan un flujo constante de datos e inteligencia en sus operaciones de seguridad, ya que solo pueden prepararse para las amenazas que entienden.

Las herramientas de análisis de amenazas que analizan los riesgos de seguridad asociados con el acceso privilegiado son armas poderosas para los programas estratégicos de gestión de acceso privilegiado (PAM). También son clave para aplicar los consejos de Sun Tzu a la seguridad cibernética moderna y para ser más conscientes tanto de los ciberatacantes enemigos como de los peligros de las cuentas privilegiadas no administradas que podrían poner en riesgo a su organización.

Los equipos de seguridad con un programa PAM o aquellos que buscan implementar uno deberían aprovechar los proveedores de PAM capacidades de análisis de amenazas y mire también las capacidades analíticas que ya utilizan sus equipos de Seguridad y Operaciones.

Dado que la mayoría de los ataques cibernéticos siguen la progresión de ganar un punto de apoyo inicial en la red y luego moverse lateralmente para aumentar los privilegios, herramientas de análisis de amenazas proporcionar capacidades vitales de reducción de riesgos y la base para un programa PAM efectivo.

Así es como el análisis de amenazas puede ayudar a las organizaciones a mejorar su postura de seguridad y eficiencia operativa al comprenderse mejor a sí mismas y a sus enemigos.

Mantenga las cuentas privilegiadas sin garantía fuera del campo de batalla

El arte de la guerra tiene un capítulo entero dedicado a la importancia de comprender el "terreno" en el que tiene lugar una batalla. En alineación con ese concepto, los programas PAM bien administrados aprovechan el análisis de amenazas para escanear y descubrir continuamente cuentas privilegiadas no administradas tanto en las instalaciones como en la nube.

Un buen lugar para comenzar es con cuentas de Linux, Unix y Windows no administradas. Tener las cuentas no administradas bajo control presenta una ganancia rápida en términos de reducción cuantificable del riesgo. Una vez que se han descubierto las cuentas no administradas, la solución PAM puede incorporar automáticamente estas cuentas, eliminando los procesos que consumen mucho tiempo y son propensos a errores.

Reúna inteligencia y cierre los ataques en tiempo real

Una vez que se han identificado las cuentas privilegiadas no administradas, las capacidades de análisis de amenazas proporcionan controles consistentes contra el comportamiento riesgoso asociado con los vectores de ataque comunes en entornos SaaS, on-premise e IaaS. El análisis de amenazas proporciona un contexto vital sobre la actividad anómala y el comportamiento privilegiado que ayuda a las organizaciones a seguir los consejos de Sun Tzu para "conocer al enemigo y conocerte a ti mismo".

Incluso cuando las organizaciones administran y protegen las credenciales para sus híbridos entornos en la nube, aún existe la posibilidad de que estas credenciales se dejen expuestas en repositorios de código público o en sistemas de usuarios finales. Los atacantes malintencionados podrían encontrar estas claves y usarlas para causar daño, como causar interrupción del negocio.

Tenga en cuenta que el análisis de amenazas en las soluciones PAM puede detectar cuándo se han utilizado claves de acceso de AWS privilegiadas sin haber sido recuperadas de la solución PAM. Al reconocer este indicador de posible compromiso, la solución PAM puede rotar automáticamente las credenciales y alertar a los equipos de seguridad, brindándoles un tiempo de respuesta adicional. Las mismas capacidades pueden ayudar a defenderse contra el robo de credenciales y otros vectores de ataque en entornos locales también.

Al analizar los datos sobre el uso de cuentas de privilegios a través del aprendizaje automático y la inteligencia artificial, el análisis de amenazas puede establecer patrones de uso de referencia para detectar anomalías de comportamiento que podrían indicar ataques en curso. Ejemplos incluyen:

• Comportamiento que viola los permisos del usuario, como que un empleado omita la solución PAM para restablecer una contraseña
• Intentos no autorizados de escalar privilegios, incluido un administrador que se concede privilegios innecesarios
• Comportamiento irregular de una identidad no humana, como un inicio de sesión interactivo para una cuenta de servicio
• Comportamiento irregular de una identidad humana, como un usuario que recupera un volumen inusual de contraseñas de una bóveda de credenciales
• Los usuarios inactivos se activan repentinamente, por ejemplo, las cuentas de usuario de un empleado inactivo vuelven a aparecer para acceder a datos confidenciales.
• Uso irregular de la máquina, como servidores que señalan grandes cargas de trabajo durante períodos no laborables

Al detectar estas y otras anomalías, los equipos de seguridad pueden investigar rápidamente o incluso responder automáticamente y apagar posibles ataques, ayudándoles a prestar atención al consejo de Sun Tzu de "caer como un rayo".

Integre el análisis de amenazas privilegiado con otras herramientas de seguridad

La integración de las soluciones PAM con otras soluciones, como las herramientas de gestión de eventos de información de seguridad (SIEM), que registran y analizan datos para monitorear eventos de seguridad, puede aumentar el valor de ambas soluciones. Al centrarse en la infraestructura más sensible de una organización y en la actividad de mayor riesgo, las soluciones PAM pueden identificar riesgos que las herramientas SIEM tradicionales pueden no tener.

Compartir información bidireccionalmente entre las soluciones PAM y SIEM puede eliminar los silos de información y unificar la inteligencia de amenazas en toda la empresa. Esto proporciona a los equipos SOC la capacidad de atacar rápida y rápidamente a los eventos de seguridad.

Dijo Sun Tzu "Conocete a ti mismo y ganarás todas las batallas."  El análisis de amenazas puede ayudar a las organizaciones a prepararse para la batalla en curso en el panorama de amenazas en constante evolución al ayudar a garantizar que todas las cuentas privilegiadas se administren, supervisen y controlen por completo para comprender el comportamiento de sus adversarios y remediar las amenazas en tiempo real.

¿Tiene curiosidad acerca de cómo el análisis de amenazas se ajusta a una estrategia PAM efectiva? Ver este Webinar para obtener más información.

*** Este es un blog sindicado de Security Bloggers Network de CyberArk escrito por Sam Flaster. Lea la publicación original en: https://www.cyberark.com/blog/know-thy-enemy-threat-analytics-boosts-pam-effectiveness/