20.8 C
Madrid
miércoles, octubre 22, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

Una mirada dentro de la defensa de identidad SaaS de SaaS de Wing Security

Por Conectamentado
18
Una mirada dentro de la defensa de identidad SaaS de SaaS de Wing Security

Inmersión: ¿Por qué piratear cuándo puedes iniciar sesión?

Las aplicaciones SaaS son la columna vertebral de las organizaciones modernas, que alimenta la productividad y la eficiencia operativa. Pero cada nueva aplicación presenta riesgos de seguridad críticos a través de integraciones de aplicaciones y múltiples usuarios, creando puntos de golpe fáciles para los actores de amenazas. Como resultado, las infracciones de SaaS han aumentado, y según un documentación cibernético XM de mayo de 2024, las configuraciones erróneas de identidad y credenciales causaron el 80% de las exposiciones a la seguridad.

Los signos sutiles de un compromiso se pierden en el ruido, y luego los ataques de varias etapas se desarrollan sin ser detectados adecuado a las soluciones aisladas. Piense en una toma de cuenta en Entra ID, luego la ascenso de privilegios en GitHub, adjunto con la exfiltración de datos de Slack. Cada uno parece no estar relacionado cuando se ve de forma aislada, pero en una vírgula de tiempo conectada de eventos, es una violación peligrosa.

La plataforma SaaS de Wing Security es una posibilidad de múltiples capas que combina la gobierno de la postura con la detección y respuesta de amenazas de identidad en tiempo efectivo. Esto permite a las organizaciones obtener un planisferio de identidad cierto de su ecosistema SaaS, detectar y replicar rápidamente a las amenazas y predisponer futuros ataques.

Comenzando con la visibilidad y cobertura de SaaS

No puedes proteger lo que no sabes. La mayoría de las soluciones existentes (IAM, PAM, IAM, etc.) no cubren aplicaciones SaaS o carecen de la profundidad necesaria para detectar las amenazas de SaaS. Es por eso que el primer paso es aventajar la sombra y obtener una visibilidad completa en la pila de la ordenamiento, incluidas todas las aplicaciones, cuentas y todas las integraciones ocultas de terceros de las que los equipos de seguridad no tienen idea.

El enfoque de descubrimiento de Wing no es intrusivo, sin agentes ni proxies. Simplemente se conecta a través de API a los principales desplazados internos (como Okta, Google Workspace y Azure AD) y a aplicaciones SaaS críticas de negocios (desde Microsoft 365 y Salesforce hasta Slack, Github, etc.).

LEER  Vulnerabilidad crítica en el MCP de Anthrope expone máquinas de desarrolladores a exploits remotos

Wing descubre:

  • Identidades humanas (usuarios) y no humanos (cuentas de servicio, claves API, etc.).
  • Conectividad de aplicación a la aplicación e integraciones de terceros y sus ámbitos de permiso.
  • Aplicaciones y uso de datos con AI.
  • Estado de MFA, administradores en las diferentes aplicaciones SaaS (incluidos los administradores rancios)

La visibilidad por sí sola no es suficiente. Comprender el comportamiento de identidad en las aplicaciones SaaS es secreto para detectar y replicar a las amenazas reales en el tiempo. Ahí es donde entra la capa de detección de amenazas centrada en la identidad de Wing.

¿Quieres ver el ala en entusiasmo? Solicite una demostración con uno de nuestros expertos en seguridad.

Detección de amenazas de identidad de SaaS De registros dispersos a una historia de ataque claro

Wing mapea eventos de identidad y COI para representar cómo piensan los atacantes. Luego los correlaciona con las técnicas de Mitre ATT & CK para modificar los registros de SaaS largos y desordenados en una historia de ataque claro: simplificar las investigaciones, resumir la sofoco de alerta y acelerar el tiempo medio de la resolución (MTTR).

Cada detección está enriquecida con inteligencia de amenazas para el contexto: reputación de IP (geolocalización y privacidad), uso de VPN/tor, y más. Entonces, en ocasión de cavar registros en bruto durante días, los analistas pueden entender el tomo de jugadas del atacante en unos minutos.

Un ejemplo de la vida efectivo de cómo los hackers intentan explotar las identidades:

  • Paso 1 – Intento de spray de contraseña: Un ataque de spray de contraseña dirigido a múltiples cuentas de heredero internamente del entorno de ID de Entra. El atacante intentó iniciar sesión utilizando ataques basados ​​en credenciales para comprometer una o más cuentas de heredero sin activar mecanismos de soledad.
  • Paso 2 – Superposición de agente de heredero de cuenta cruzada: Los intentos de inicio de sesión en múltiples cuentas del mismo agente de heredero (UA) confirmaron que el atacante estaba probando sistemáticamente credenciales a escalera durante la etapa de inspección.
  • Paso 3 – Iniciar sesión exitoso posteriormente del atractivo: El atacante inició sesión con éxito en una cuenta. Este inicio de sesión coincidió con el mismo agente de heredero utilizado durante la etapa de inspección, lo que indica que las credenciales se comprometieron a través de la actividad de pulverización de contraseña precedente.
  • Paso 4 – Escalación de privilegios a través de la asignación de roles: El atacante intensificó los privilegios de la cuenta comprometida al asignar funciones administrativas de TI en la identificación de Entrad. Esto otorgó al atacante una visibilidad y control más amplios, incluido el golpe a servicios de terceros conectados a OAuth como GitHub.
  • Paso 5 – Exfiltración de datos de GitHub: Con privilegios elevados, el atacante aprovechó el golpe de GitHub vinculado a la cuenta de ID de Entra a los repositorios internos infiltrados. Los registros de actividad indican que se descargaron repositorios privados, incluidos proyectos que pueden contener código fuente, claves API o documentación interna. El atacante usó este punto de apoyo para exfiltrar la propiedad intelectual sensible directamente desde Github.

Término de tiempo del camino de ataque

La vírgula de tiempo de amenaza (Ref. Imagen #2) es más útil que los registros solo, ya que presenta todas las detecciones SaaS con contexto. Cada detección tiene un contexto detallado sobre la identidad afectada, el desencadenante y dónde y cuándo ocurrió (aplicación, marca de tiempo, geolocalización).

LEER  El nuevo malware del limpiaparabrisas de los datos de Pathwiper interrumpe la infraestructura crítica ucraniana en el ataque de 2025

La vírgula de tiempo de la ruta de ataque ayuda a los equipos de operaciones de seguridad:

  • Visualice cómo se desarrolló el ataque con una visión cronológica de las detecciones relacionadas.
  • Mapee cada detección a las técnicas de Mitre ATT & CK, como escaneo activo, cuentas válidas, manipulación de cuentas, etc.
  • Enriquezca la alerta con contexto y COI, IPS, agentes de usuarios, geolocalización, VPN/TOR y evidencia.
  • Conecte anomalías con actividad de rutina (por ejemplo, cambia el permiso posteriormente de una fuerza bruta exitosa).

Priorizar las amenazas

No todas las amenazas de seguridad son iguales. A cada amenaza se le asigna un puntaje de confianza de incumplimiento, cuantificando la probabilidad de que una amenaza resulte en una violación exitosa. Esta métrica se calcula en función de factores como:

  • El tipo de detecciones (es afirmar, spray de contraseña, pico en la actividad, etc.)
  • El número de detecciones por amenaza (es afirmar, una identidad tiene 4 detecciones)
  • La táctica del ataque basada en Mitre ATT & CK (es afirmar, golpe original, exfiltración, etc.)

Secops puede clasificar y centrarse primero en las amenazas más críticas. Por ejemplo, un solo inicio de sesión fallido de una nueva IP podría ser de pérdida prioridad cuando se ve por sí solo, pero un inicio de sesión exitoso seguido de la exfiltración de datos obtendría un puntaje de confianza más detención. En el tablero, puede ver una posaderas de amenazas priorizada, con amenazas de adhesión severidad en la parte superior que merecen una atención inmediata y las de pequeño peligro más debajo, reduciendo la sofoco de la alerta y proporcionando una detección de amenazas efectivo.

¿Quieres ver el ala en entusiasmo? Solicite una demostración con uno de nuestros expertos en seguridad.

Rastrear el estado y el progreso de la amenaza

La estructura de seguimiento de Wing ayuda a Secops a mantenerse organizados y evitar amenazas que se deslizan a través de las grietas. Los equipos pueden refrescar los estados y rastrear todas las amenazas desde la creación hasta la resolución.

LEER  El sitio web de APT36 Spoofs India Post para infectar a los usuarios de Windows y Android con malware

Las principales funcionalidades:

  • Amenazas de indicador para el seguimiento para una priorización efectivo o para monitorear casos específicos.
  • La bandera amenaza para activar un evento webhook para que aparezcan en sistemas externos como Siem o Soar y no se pasen por detención.
  • Actualice el estado de la amenaza basado en las investigaciones realizadas por los equipos SOC e IR.

Resolver rápido con guías de mitigación concisas

Cuando Secops profundiza en una amenaza específica, obtienen un tomo de jugadas de mitigación personalizado con pasos adaptados al tipo de ataque específico y la aplicación SaaS. Las guías de mitigación incluyen:

  • Recomendaciones personalizadas para cada tipo de detección
  • Documentación relevante (por ejemplo, cómo configurar las políticas de OKTA)
  • Las mejores prácticas para acometer la causa raíz y la prevención de la recurrencia (postura)

Prevención: comprobación de la causa raíz

Luego de que se haya detenido la amenaza, deberá preguntarse qué facilitó esta amenaza para tener éxito y cómo puede cerciorarse de que no vuelva a suceder.

Los equipos de seguridad deben corroborar si estos eventos están relacionados con los factores de peligro subyacentes en las configuraciones SaaS de la ordenamiento, por lo que no solo tratan los síntomas (la violación activa) sino que abordan la causa raíz.

Esto es posible porque la plataforma de Wing está en capas, combinando gobierno de postura de seguridad SaaS (SSPM) con capacidades de detección de amenazas de identidad. Wing monitorea continuamente para configuraciones erróneas (basadas en el ámbito de chapuzón de CISA), identificando esas configuraciones de peligro, como cuentas sin MFA o tokens de dependencia que nunca caducan.

Envolviendo: cerrar el tirabuzón de seguridad

Wing Security aporta claridad al caos de SaaS a través de una plataforma de seguridad de múltiples capas que combina una visibilidad profunda, la gobierno de riesgos priorizada y la detección en tiempo efectivo. Al combinar la gobierno de la postura (SSPM) y la detección y respuesta de amenazas de identidad (ITDR), las organizaciones pueden resumir la exposición al peligro, replicar a las amenazas con contexto y mantenerse por delante de los ataques de identidad SaaS.

Reserve una demostración con ala para encontrar puntos ciegos, atrapar amenazas temprano y arregle lo que pone en peligro su negocio.

spot_img
Artículo anterior
Guía de uso de comandos de corte de Linux
Artículo siguiente
El correo de noción ofrece ventajas de IA, pero omite algunas características de noción crucial
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado