Los atacantes no irrumpen, sino que inician sesión . Ese cambio ha convertido la identidad en el nuevo perímetro de la ciberseguridad moderna.

Todas las empresas se enfrentan al mismo reto: un entorno de identidad en constante cambio que es difícil de supervisar y aún más difícil de proteger. Sophos no es una excepción. Con miles de usuarios y cientos de aplicaciones conectadas a través de Microsoft Entra ID (antes Azure AD), nuestro panorama de identidades corporativas evoluciona a diario.

«Es un animal vivo que respira», afirma Rajeev Kapur, vicepresidente de Infraestructura de TI de Sophos. «Cada cambio, cada nueva integración, cada actualización introduce un riesgo potencial, incluso cuando tu postura de seguridad ya es sólida».

Las revisiones tradicionales de la arquitectura proporcionaban al equipo instantáneas periódicas, pero no podían seguir el ritmo de un entorno centrado en la nube en constante movimiento. Sophos necesitaba una visibilidad continua, no solo confianza una vez al trimestre.

Cuando el equipo de Kapur activó Sophos Identity Threat Detection and Response (ITDR) , esperaba obtener información gradual. En cambio, encontró resultados casi de inmediato.

«Desde que iniciamos sesión y nos conectamos a Entra ID hasta que vimos nuestros primeros resultados procesables, pasaron menos de 45 minutos», afirma Kapur. «Esa rápida amortización fue increíble».

En la primera hora, ITDR reveló dos riesgos sutiles pero importantes que años de auditorías no habían detectado:

Acceso excesivamente permisivo a aplicaciones de terceros: varias integraciones tenían permisos más amplios de lo necesario, lo que aumentaba el riesgo potencial de la cadena de suministro.

Lagunas en el acceso de dispositivos no fiables: en determinadas condiciones, un dispositivo no gestionado podía acceder a un portal de gestión.

«No se trataba de vulnerabilidades evidentes», afirma Kapur. «Eran problemas de configuración sutiles que nunca se habrían detectado sin una supervisión continua».

La complejidad oculta de la identidad en la nube

Hoy en día, los atacantes rara vez irrumpen de forma violenta. Inician sesión utilizando credenciales robadas o filtradas .

A medida que las organizaciones se pasan a la nube, los sistemas de identidad se han convertido en el nuevo perímetro, y están en constante movimiento. Cada nueva aplicación, cada nuevo usuario o cada cambio de política introduce un riesgo potencial.

El propio entorno corporativo de Sophos, como el de muchas empresas, funciona a escala global: miles de usuarios, cientos de aplicaciones conectadas y un flujo constante de actualizaciones y solicitudes de permisos.

Incluso con auditorías periódicas y la supervisión de expertos, es difícil, a menudo imposible, mantener una visibilidad completa. Durante años, el equipo se basó en evaluaciones periódicas. Los expertos realizaban revisiones de la configuración, presentaban sus conclusiones y confirmaban las medidas correctivas. Pero estas revisiones solo proporcionaban una instantánea en el tiempo. Tan pronto como se ponía en marcha una nueva integración o un administrador realizaba un pequeño cambio, esos resultados quedaban obsoletos.

Lo que Sophos ITDR aportó fue algo fundamentalmente diferente: garantía continua. En lugar de esperar a una nueva evaluación, el sistema escanea, analiza y señala las anomalías de identidad las 24 horas del día.

Confianza continua, no certeza periódica

La experiencia interna de Sophos refleja lo que muchas organizaciones se enfrentan hoy en día. Los sistemas de identidad en la nube ofrecen una flexibilidad sin igual, pero esa flexibilidad conlleva fragilidad. A diferencia de las defensas tradicionales, los riesgos de identidad a menudo se derivan de debilidades en la postura de seguridad, no del malware. Y esos riesgos son más difíciles de detectar sin una visibilidad continua. Una política de MFA omitida aquí, una aplicación demasiado permisiva allá… Estas pequeñas grietas pueden sumar una exposición importante.

Lo que diferencia a Sophos ITDR es la rapidez con la que proporciona claridad.

En menos de una hora, Kapur afirma que su equipo pasó de activar la solución a descubrir posibles problemas que antes habían pasado desapercibidos.

Y esa rapidez es importante. En un mundo en el que los atacantes se mueven más rápido que nunca, la capacidad de ver y solucionar los problemas antes de que sean explotados puede marcar la diferencia entre una corrección rutinaria y una brecha de seguridad en toda regla.

La nueva frontera de la ciberdefensa

Para Sophos, probar nuevas tecnologías internamente es una parte fundamental de nuestra filosofía de seguridad desde el diseño. El uso de nuestros propios productos en condiciones empresariales reales valida su eficacia, acelera su mejora y garantiza que todas las ventajas para el cliente se basen en el rendimiento en el mundo real.

Sophos ITDR es ahora una capa integral de ese ecosistema, que conecta la información sobre identidades con la telemetría de los endpoint, la red y la nube a través de la plataforma Sophos Central y el lago de datos.

«Incluso si solo buscas una forma de validar tu configuración de Entra ID», afirma Kapur, «Sophos ITDR es una herramienta fantástica. Se implementa rápidamente, ofrece un valor instantáneo y simplemente funciona».