Productos y Servicios PRODUCTOS Y SERVICIOS

Seguridad de IAM: separando el mal de lo cotidiano con los nuevos modelos de aprendizaje automático de SophosAI

El análisis de los roles de acceso al entorno de la nube y el comportamiento de los usuarios requiere recursos que escasean para muchas organizaciones. Sophos se complace en transformar este proceso que requiere mucho tiempo con un nuevo análisis basado en inteligencia artificial de los datos de actividad del usuario de AWS CloudTrail, integrado con un único paquete de servicios de seguridad administrada de nivel 1 de Amazon Web Services (AWS), validado por AWS.

Gestionar una explosión de identidades

A medida que las organizaciones aceleran la modernización de la infraestructura de TI con la ayuda de servicios de proveedores de nube como AWS, el 83% ha visto una explosión en la cantidad de identidades que acceden a los recursos del sistema en el último año, según Identity Defined Security Alliance (IDSA).

Estos roles que acceden a los recursos del entorno de la nube pueden ser un punto ciego significativo para las organizaciones y, como se destaca en el Informe de amenazas de Sophos 2022, la causa principal de muchos incidentes de seguridad ahora es a través de roles de acceso de usuario inseguros, con la aparición de una nueva clase de delincuentes ahora específicamente centrado en el acceso inicial.

Distinguir entre actividad rutinaria y maliciosa

El desafío para los equipos de seguridad de TI es distinguir entre la actividad de usuario rutinaria, accidental y maliciosa dentro de las cuentas de AWS. A medida que las prácticas de DevOps aumentan el ritmo del cambio dentro de los entornos a medida que se incorporan nuevos equipos y cambian los roles o proyectos, la cantidad de acciones únicas realizadas por los usuarios puede ser abrumadora para los equipos de seguridad y casi imposible de conectar y analizar como una serie de eventos.

“Estamos orgullosos de transformar esta imagen, con los nuevos modelos de SophosAI que analizan continuamente los registros de usuarios de AWS CloudTrail en Sophos Cloud Optix, la solución de gestión de la postura de seguridad en la nube de Sophos”, dijo Scott Barlow, vicepresidente de MSP global y alianzas en la nube de Sophos.

Esta extensión de AWS CloudTrail ayuda a Sophos a crear una imagen de la actividad del rol de usuario individual para identificar tanto los cambios accidentales como la actividad maliciosa de los roles comprometidos. Hace que los eventos de AWS CloudTrail cobren vida en una vista clara y detallada de la línea de tiempo de las actividades del usuario, identificando anomalías de alto riesgo, como acciones realizadas fuera del horario laboral normal y aquellas que nunca se realizaron antes. Alertar a los clientes en una vista de riesgo priorizado de incidentes de seguridad y cumplimiento en todas las cuentas de AWS y brindar orientación de remediación para que los equipos de seguridad los aborden fácilmente.

“Con esta actualización podemos reducir drásticamente los totales de alerta para los equipos de seguridad y ayudarlos a concentrarse en investigar patrones de comportamiento de alto riesgo que podrían conducir a un incidente de seguridad en una fracción del tiempo que les tomaba antes”, agrega Barlow.

Fig 1. Sophos Cloud Optix, la vista de línea de tiempo de acciones ayuda a los equipos de seguridad a prevenir incidentes importantes desde el principio, donde los roles de IAM comprometidos se utilizan para recopilar información y determinar si el entorno es susceptible. En este escenario, se generarían anomalías si la cuenta en la nube comenzara a recibir más operaciones de obtención, descripción o lista, como DescribeInstances, GetRolePolicy o ListAccessKeys. Estas acciones se pueden investigar y bloquear el rol comprometido.

Asegurar el acceso en múltiples niveles

Agregar la autenticación multifactor a cada inicio de sesión posible que un usuario desee utilizar también es una herramienta preventiva enormemente eficaz. Al igual que identificar roles de IAM con privilegios excesivos e identificar errores de configuración comunes de recursos en la nube, como dejar a RDP expuesto a Internet.

Para abordar estas configuraciones incorrectas de recursos humanos y no humanos, vulnerabilidades de seguridad y configuraciones incorrectas de acceso a la red, Sophos Cloud Optix ofrece amplias integraciones de servicios de seguridad de AWS que incluyen: el nuevo Amazon Inspector, AWS Security Hub, Amazon GuardDuty, AWS CloudTrail, New Amazon Inspector, Amazon Macie , AWS Systems Manager y Patch Manager, AWS Firewall Manager, AWS IAM Access Analyzer, AWS Trusted Advisor y Amazon Detective.

Los datos de estos servicios se presentan en una vista clara y priorizada de incidentes de prácticas recomendadas de seguridad y cumplimiento, incluidos los puntos de referencia de CIS a través de la consola de administración de Sophos Central, y se amplían con capacidades de prevención, detección y respuesta de la protección de cargas de trabajo y endpoints de Sophos con XDR, Firewall y Respuesta gestionada ante amenazas.

“La facilidad de integración con sus sistemas existentes es la verdadera prueba de una gran seguridad”, dijo Barlow. “Es por eso que diseñamos Sophos Cloud Optix para que se integre con Amazon Simple Notification Service, soluciones de gestión de eventos e información de seguridad (SIEM), servicios de colaboración y emisión de tickets ampliamente utilizados, y más para reducir el tiempo medio para resolver incidentes”.

Quite el peso de la seguridad en la nube de sus hombros

Como socio de servicios de seguridad administrada de nivel 1 de AWS, este enfoque conectado en una consola de administración es crucial para brindar los niveles más altos de prevención, detección y respuesta en los entornos de nube.

“Como socio con la competencia de AWS Managed Security Service (MSSP) de nivel 1, sabemos que una defensa proactiva requiere monitoreo y respuesta 24/7, pero para muchos equipos de TI, grandes y pequeños, no es realista mantener un equipo monitoreando y respondiendo a incidentes de seguridad durante todo el día ”, agrega Barlow.

Aquí es donde entra en juego el paquete de respuesta, supervisión y protección contra amenazas de Sophos. Disponible en AWS Marketplace, el paquete combina la gestión de la postura de seguridad en la nube y el cumplimiento integrado con AWS CloudTrail, Amazon GuardDuty y AWS Security Hub, firewall, carga de trabajo en la nube y protección de punto final, y el servicio Sophos Managed Threat Response para monitorear continuamente los entornos de AWS, analizar y clasificar eventos de seguridad. Este soporte le ayuda a aumentar la eficiencia de su programa de seguridad y de los equipos internos, aconsejándole de forma preventiva sobre los próximos pasos recomendados y actuando en su nombre, si lo desea.

Para obtener más información o hablar con un experto, visite sophos.com/aws-mssp