Acalvio y CrowdStrike impulsan en conjunto la seguridad de la identidad mediante el uso de Cuentas Señuelo
Acalvio Technologies y CrowdStrike Falcon® Identity Protection ayudan a las organizaciones de manera conjunta a combatir ataques basados en identidades cada vez más sofisticados. Acalvio ha presentado la primera y única implementación escalable a nivel empresarial de Honey Accounts y HoneyTokens con una gestión automatizada de su ciclo de vida.
Disponible en CrowdStrike Store, la integración permite a los clientes de CrowdStrike utilizar Honeytokens y Honey Accounts de Acalvio fácilmente para detectar oportunamente amenazas a la identidad.
Los ataques basados en la identidad van en aumento
Las amenazas a la identidad están involucradas en 8 de cada 10 intrusiones al presentarse identidades comprometidas y credenciales robadas, además de un 583% de aumento en los ataques de kerberos, según el Informe de amenazas globales CrowdStrike del 2024. La mayor adopción de servicios en la nube y entornos de trabajo remoto ha aumentado el énfasis del atacante en comprometer la identidad.
Los atacantes sofisticados como los grupos APT y los actores de ransomware suelen comenzar su campaña con un ataque a las identidades. Los atacantes pueden explotar identidades en puntos finales, aplicaciones y almacenes de identidades.
Proteger las identidades en línea es complejo y combatir las amenazas requiere una nueva clase de soluciones de seguridad de identidad.
Los atacantes pueden eludir las soluciones tradicionales de seguridad de identidad
Normalmente las empresas suelen tener implementadas soluciones de seguridad de identidad basadas en la prevención, como PAM, IAM y MFA. Estas soluciones ofrecen su valor para la aplicación de políticas, pero no se centran en detectar amenazas a la identidad.
Existe una importante superficie de amenaza a la identidad que es el objetivo de los atacantes. Por ejemplo, las cuentas de servicio representan un claro ejemplo de ello. Las cuentas de servicio suelen estar asociadas con privilegios más altos y son difíciles de proteger mediante MFA. Las soluciones PAM tienen una ventana de implementación larga y la incorporación de cuentas privilegiadas a PAM es un desafío.
Es claro que faltaba un elemento fundamental para la pila de seguridad de la identidad que se centra en detectar y responder a las amenazas que atentan contra ella. Gartner ha llamado a esto detección y respuesta a amenazas de identidad (ITDR por sus siglas en Inglés) y que fue incorporado como acrónimo en el reporte de tendencias para el 2022 por el mismo analista.
Los ataques basados en la identidad son difíciles de detectar utilizando mecanismos de detección tradicionales.
Los mecanismos de detección tradicionales, como el análisis de bitácoras y las técnicas de detección basadas en el comportamiento, no son eficaces para detectar con certeza todos los ataques basados en la identidad. El análisis de bitácoras es lento y requiere mucho tiempo, y los registros no siempre están disponibles.
Como lo indica CrowdStrike, cuando las credenciales de un usuario válido se ven comprometidas y un adversario se hace pasar por ese usuario, a menudo es muy difícil diferenciar entre el comportamiento típico del usuario y el del atacante, utilizando medidas y herramientas de seguridad tradicionales.
Tecnología de engaño para la seguridad basada en identidad
La tecnología de engaño o de Deception, ha sido reconocida por expertos de la industria e investigadores de soluciones de seguridad de identidad como un mecanismo probado para la defensa de amenazas a la identidad. Deception proporciona una detección de alta fidelidad a las amenazas de este tipo, es independiente de la técnica ofensiva específica y no depende de registros o firmas. Así mismo, el uso del engaño y aplicado al concepto de ITDR es una de las maneras en como este enfoque ha evolucionado acorde a Gartner.
¿Cómo se utilizan las cuentas Honey y los HoneyTokens en la tecnología de engaño?
Las “honey accounts” son cuentas falsas o señuelo (que representan personas y de servicios) creadas en el Active Directory (AD) y que están diseñadas específicamente para atraer a los atacantes y desviarlos de las identidades reales.
Los “Honey Tokens” son credenciales y datos falsos que están integrados en activos legítimos, como terminales y cargas de trabajo en la nube. Cualquier uso o manipulación de estos artefactos “carnada o ficticios” es un indicador muy confiable de una amenaza a la identidad.
Poner en funcionamiento cuentas Honey y HoneyTokens
La puesta en funcionamiento de Honey Accounts y Honey Tokens requiere un profundo conocimiento de la tecnología de engaño y una plataforma madura y escalable para su creación. Los administradores de seguridad empresarial que intentan crear cuentas “Honey” manualmente deben tomar varias decisiones:
- ¿Cuántas cuentas AD crear en cada dominio?
- ¿Qué tipo de cuentas crear?
- ¿Cómo combinar y hacer que las cuentas parezcan legítimas?
- ¿Cómo hacer que las cuentas AD sean resistentes al “fingerprint”?
- ¿Cómo “desviar a los adversarios” de los recursos críticos?
- ¿Cómo marcar manualmente varias cuentas de AD como cuentas señuelo?
La implementación y actualización de Honey Tokens a escala en una gran cantidad de puntos finales no se puede realizar manualmente. La automatización de TI tampoco puede resolver este problema, ya que los Honey Tokens deben crearse basándose en un conocimiento profundo del dominio de la tecnología de engaño, para que la solución sea efectiva.
Esto deja muy claro que las empresas deben tener una plataforma para poner en funcionamiento Honey Accounts y Honey Tokens para obtener soluciones efectivas de seguridad de identidad.
La solución
La integración (ahora disponible en el CrowdStrike Store) permite a los clientes de CrowdStrike utilizar la automatización de Acalvio y las recomendaciones basadas en inteligencia artificial para crear e implementar rápidamente HoneyTokens y Honey Accounts a través de CrowdStrike Falcon® Identity Protection.
Acalvio recomienda el número y los tipos de Cuentas Honey que se pueden registrar en CrowdStrike. Acalvio también implementa Honey Tokens en puntos finales. CrowdStrike monitorea la actividad en las cuentas Honey y bloquea efectivamente la amenaza a la identidad en función de esa información. Esta solución de seguridad de identidad es escalable y se puede utilizar para proteger puntos finales administrados y no administrados. Este es uno de los grandes casos de uso asociados al concepto de ITDR bajo la premisa de detección más la respuesta basada en políticas.
Acalvio aplica algoritmos avanzados de IA para recomendar las cuentas Honey y Honey Accounts y que resulten atractivas para los atacantes, luego se combinan con el entorno objetivo y son invisibles para los usuarios. La tecnología de Acalvio realiza ciclos de actualización automatizados de los artefactos de engaño generados para mantenerlos actualizados y realistas para los atacantes.
Beneficios clave de la solución
- La integración es escalable y admite la capacidad de implementarse en múltiples dominios de AD y muchos puntos finales.
- La solución de seguridad de identidad es fácil de adoptar y no requiere la instalación de ningún componente adicional en el entorno del cliente.
- La solución protege los puntos finales administrados y no administrados de amenazas a la identidad.
- El servicio en la nube garantiza un valor continuo y una fácil adopción mediante una integración entre Crowdstrike y Acalvio.
- Contención automática por Crowdstrike al identificarse el uso de los artefactos falsos.
Al integrar la experiencia de Acalvio en la plataforma CrowdStrike, los clientes obtienen acceso a una estrategia de defensa en profundidad aumentada que puede adaptarse rápidamente a las amenazas emergentes.
Con las capacidades de Honey Accounts y Honey tokens, las organizaciones pueden atraer y desviar a los atacantes de identidades reales y activos confidenciales. La solución de seguridad de identidad de Acalvio también ofrece una implementación perfecta y una gestión eficiente del ciclo de vida de los artefactos de engaño construidos y resistentes al fingerprint en todos los puntos finales de la empresa.
Lea más sobre la solución de Honey tokens y Honey Accounts de Acalvio para la protección de identidad de CrowdStrike Falcon®.
Para descubrir cómo Acalvio puede proteger los activos de identidad críticos en su organización aumentando su plataforma de ITDR, programe una charla con el equipo de TrustDimension y observe este video de manera inicial para conocer de los casos de uso https://www.youtube.com/watch?v=QdU16cfiXZk .
Fuente: Por el equipo de Acalvio.