cloud-riders.ES Azure,Azure Securty,Azure Stack,Cloud,DataCenter Management,Seguridad Auditoría y seguimiento de IAM

Auditoría y seguimiento de IAMAuditoría y seguimiento de IAM

enero 17, 2024enero 17, 2024| jiollerjioller| 0 Comments | 11:04 pm
Categorías:

En este artículo vamos a revisar la auditoría y seguimiento de IAM.

La auditoría y el monitoreo de IAM no solo deben verificar el cumplimiento, sino también monitorear  indicadores de amenazas y actividades anómalas.

Comprende la generación, recolección, y análisis de registros, eventos y otra información para proporcionar los mejores medios para detectar  infracciones relacionadas con el cumplimiento y actividades sospechosas. Ataques como el uso de objetos robados.

Las credenciales y el uso indebido del acceso privilegiado por parte de personas internas no se detectarían a tiempo.  de ninguna manera, si es que existe, sin un programa eficaz de auditoría y seguimiento de IAM.

Estas auditorías y las capacidades de monitoreo se pueden integrar con herramientas automatizadas que organizan  acciones de respuesta para contrarrestar estos ataques IAM.

Informes eficaces de auditoría y  El monitoreo también proporciona conciencia situacional de la postura de seguridad de una organización. 

Auditoría y seguimiento de IAM:

  • Proporciona disuasión a los usuarios, especialmente a los usuarios privilegiados que saben que se están rastreando sus acciones.
  • Proporciona conciencia sobre cómo se utiliza el sistema y cómo se intenta utilizarlo incorrectamente;•Detecta problemas y problemas potenciales a través de indicadores de ataque/compromiso y cambios de comportamiento.
  • Recopila evidencia forense que también respalda la evaluación de la efectividad que conduce a mejoras en las capacidades.

Hay muchos tipos de amenazas que la auditoría y el monitoreo de IAM pueden contrarrestar, pero tienden a clasificarse en uno de dos grupos; amenazas internas y acceso no autorizado.

Las amenazas internas van desde el uso autorizado de sus privilegios para realizar acciones inapropiadas (por ejemplo, descargar una lista de clientes actuales) hasta administradores que buscan causar daño a la organización y ex empleados cuyo acceso no fue desactivado.

Por ejemplo, en septiembre de 2022, una persona que trabajaba como profesional de ciberseguridad en una empresa financiera con sede en Hawai se declaró culpable y admitió que, después de romper los vínculos con la empresa, utilizó las credenciales de su antiguo empleador para obtener acceso a la configuración del sitio web de la empresa, las configuraciones y el tráfico web y de correo electrónico intencionalmente mal dirigido a computadoras no afiliadas a la empresa, incapacitando el sitio web y el correo electrónico de la empresa.

La auditoría y el monitoreo de IAM podrían haber evitado esto al permitir que el sistema elimine el acceso del usuario al separarse de la empresa.

El acceso no autorizado puede ocurrir cuando sistemas externos o usuarios con menor seguridad (es decir, autenticación más débil) obtienen acceso de manera inapropiada al sistema y a los datos de una organización.

Además, la explotación de vulnerabilidades en protocolos de seguridad, algoritmos criptográficos y/o programas de terceros también podría dar lugar a un acceso no autorizado.

https://www.justice.gov/usao-hi/pr/honolulu-man-pleads-guilty-sabotaging-former-employer-s computer-network

El acceso no autorizado puede ocurrir con el robo o secuestro de las credenciales de un usuario legítimo para atacar el sistema de una organización con las credenciales robadas o secuestradas.

En este caso, el comportamiento y las acciones del impostor probablemente serán diferentes del comportamiento normal del usuario legítimo y pueden conducir a la detección del robo de identidad.

El usuario legítimo también puede recibir notificaciones sobre fallas de inicio de sesión u otra actividad que no realizó y puede proporcionar información fuera de banda para ayudar a detectar al impostor.

A continuación se presentan consideraciones clave para evaluar la capacidad de auditoría y monitoreo de una organización para determinar qué mejoras son necesarias para contrarrestar las principales amenazas.

Es importante señalar que esta no es una evaluación única. Se deben hacer evaluaciones periódicamente y capacidades actualizadas para satisfacer las necesidades cambiantes y estar mejor posicionados para contrarrestar nuevas amenazas.

  • La organización define y comprende lo que se considera comportamiento normal/aceptable, comportamiento sospechoso y mal comportamiento.
  • La organización utiliza reglas de políticas definidas y de facto, requisitos/modelos de sistemas y líneas de base de la actividad actual para identificar parámetros de monitoreo y análisis.

•La organización identifica a los usuarios con acceso a activos críticos (por ejemplo, joyas de la corona) y enfoca un monitoreo mejorado en los activos críticos.

  • Recopile datos, incluidos registros estándar/registros de auditoría y eventos de seguridad, así como otros datos sobre los usuarios, sistemas, aplicaciones y comportamientos de la red.
  • Utilice los datos recopilados para detección y alertas en tiempo real, almacenamiento para uso forense, referencia del comportamiento actual, análisis para detectar tendencias e indicaciones de comportamiento anómalo.
  • El análisis del comportamiento requerirá un período inicial (y actualizaciones continuas) de recopilación y análisis para establecer líneas de base y umbrales.
  • Esto debería abordar las líneas de base de días normales, días ocupados y situaciones de emergencia.
  • Evite la recopilación y el análisis que no proporcione información útil de una cantidad tan grande de alertas sin prioridad que requieran análisis humano, ya que esto es un desperdicio de sistemas y recursos humanos y no logrará una mejor ciberseguridad.
  • Recopilar y analizar datos que proporcionen información procesable a su personal y a la gerencia para crear conciencia sobre la seguridad y puedan respaldar el caso comercial de financiación adicional para mejorar sus capacidades de auditoría y monitoreo de IAM.
  • Determine las herramientas y capacidades apropiadas para derivar información de manera efectiva a partir de los datos recopilados.
  • Considere qué formatos de datos y contenido se pueden procesar, la configurabilidad, la escalabilidad, la capacidad de crecimiento para proporcionar o interactuar con otros sistemas y capacidades.
  • Por ejemplo, una herramienta SIEM que pueda adaptarse a la capacidad SOAR o una que pueda funcionar con herramientas analíticas avanzadas, incluido el aprendizaje automático.
  • Las herramientas y capacidades deben coincidir y aumentar mejor las habilidades y disponibilidad de su personal.
  • La revisión manual de registros o de resultados de herramientas demasiado detallados o frecuentes no será eficaz.
  • Si sus herramientas actuales están en el nivel SIEM básico, concéntrese en la gestión de identidades y acceso:

Configurándolos para alertar sobre sus eventos más críticos y proporcionar la información más pertinente al personal.

Las organizaciones con capacidades más sofisticadas deberían comenzar a buscar comportamientos anómalos y desarrollar procedimientos sobre cómo lidiar con posibles amenazas internas.

Por ejemplo, cuándo cerrarlos inmediatamente versus cuándo llevarlos a trampas y recolectar más evidencia forense.

Iniciativas como el Proyecto de Detección de Anomalías a Múltiples Escalas (ADAMS) de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) proporcionan información valiosa para que las organizaciones la utilicen como punto de partida al intentar identificar y remediar amenazas internas.

El proyecto desarrolló un motor de detección de anomalías para redes (ADEN) para detectar usuarios malintencionados y caracterizar el comportamiento anómalo típico de los usuarios malintencionados, para respaldar inteligencia y respuesta procesables basadas en predicciones mejoradas.

Si bien solo un pequeño porcentaje de comportamiento anómalo se asoció con usuarios malintencionados, el proyecto destacó varios hallazgos clave asociados con el comportamiento de usuarios malintencionados, entre ellos:

  • Los usuarios malintencionados eran más activos y optaban por “no hacer nada” muchas menos veces que los usuarios benignos.
  • Los usuarios malintencionados obtuvieron información significativamente más confidencial que los usuarios benignos.
  • Aunque los usuarios malintencionados parecieron guardar más datos en dispositivos extraíbles que los usuarios benignos, en nuestro estudio no se encontró que estas diferencias fueran estadísticamente significativas.
  • Los usuarios malintencionados editaron los datos un poco menos en comparación con los usuarios de jugadores benignos.
  • Sin embargo, tampoco se encontró que estas diferencias fueran estadísticamente significativas.
  • Los usuarios malintencionados enviaron mucha más información fuera de la organización que los usuarios benignos.
  • Los usuarios malintencionados obtuvieron muchos menos datos no confidenciales en comparación con los jugadores benignos.

Seguiremos con estos temas.

Un saludo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Related Post