Los ataques cibernéticos a través del abuso de acceso pueden dañar a una empresa, a sus empleados y a sus clientes. De acuerdo con el "IBM X-Force Threat Intelligence Index 2020", las amenazas internas inadvertidas son la razón principal del aumento de más del 200 % en la cantidad de registros vulnerados en 2019 con respecto al 2018. Las personas internas generalmente saben dónde se encuentran los datos confidenciales de una organización y, a menudo, tienen altos niveles de acceso, independientemente de si tienen intenciones maliciosas o no.
Los ataques internos también son costosos para las empresas. En el estudio del costo de las amenazas internas 2020 de Ponemon Institute, los investigadores descubrieron que el costo anual promedio de la brecha de seguridad de datos internos era de USD 11.45 millones, y que el 63 % de los incidentes se atribuían a negligencia.
Ya sea de forma accidental o deliberada, las personas con información privilegiada pueden exponer, o ayudar a exponer, información confidencial del cliente, propiedad intelectual y dinero.
Los empleados actuales, exempleados, contratistas o socios comerciales son personas con información privilegiada que podrían representar una amenaza. Sin embargo, cualquier persona con el nivel adecuado de acceso a los sistemas informáticos y datos de una empresa pueden dañarla, incluyendo los proveedores o vendedores.
Las personas internas tienen distintos niveles de motivación, conciencia, nivel de acceso e intención. Ponemon Institute describe a estas personas como negligentes, criminales o con credenciales. Y Gartner agrupa las amenazas internas en cuatro categorías: peones, tontos, colaboradores y lobos solitarios. Nota: Ponemon Institute y Gartner generan y proporcionan informes de investigación, asesoramiento y educación independientes a empresas y organizaciones gubernamentales.
Los peones son empleados que, sin saberlo, son manipulados para realizar actividades maliciosas. Ya sea descargando malware o revelando credenciales a estafadores a través de correos electrónicos de estafa focalizada o ingeniería social, los peones dañan a una organización.
Los tontos son usuarios ignorantes o arrogantes que creen que están exentos de las políticas de seguridad. Por conveniencia o incompetencia, intentan activamente eludir los controles de seguridad. Y en contra de las políticas de seguridad, los tontos dejan los datos y recursos vulnerables sin protección, lo que brinda un acceso fácil a los atacantes. "El 90 % de los incidentes internos son causados por tontos", según el informe "Go-to-Market for Advanced Insider Threat Detection" de Gartner.
Los colaboradores cooperan con personas externas, como los competidores de una empresa o los estados nación, para cometer un delito. Usan su acceso para robar propiedad intelectual e información de clientes o causar interrupciones en las operaciones comerciales, a menudo para obtener ganancias financieras o personales.
Además, a menudo para obtener ganancias económicas, los lobos solitarios actúan de forma independiente y maliciosa sin influencia externa o manipulación. Los lobos solitarios son especialmente peligrosos cuando tienen grandes privilegios, como los administradores de sistemas o de bases de datos.
Si el objetivo de un estafador se encuentra dentro de un sistema protegido, se concentra en obtener los privilegios de acceso de un empleado. Los estafadores se aprovechan de los peones y los tontos para cometer sus delitos cibernéticos. Usan muchas tácticas y técnicas para obtener credenciales: correos electrónicos de estafa, ataques de abrevadero y malware, por nombrar algunos. Con esas credenciales, los estafadores pueden moverse lateralmente dentro de un sistema, escalar sus privilegios, realizar cambios y acceder a datos confidenciales o dinero. Los estafadores pueden acceder a datos o información desde ubicaciones no seguras durante la comunicación de salida utilizando un servidor de mando y control (C2). Pueden realizar cambios en los intentos de salida o realizar transferencias de salida de volumen.
Cómo atacan los estafadores:
Existen diferentes controles técnicos y no técnicos que las empresas pueden adoptar para mejorar la detección y prevención de cada tipo de amenaza interna.
Cada tipo presenta diferentes señales para que los equipos de seguridad puedan identificarlas. Pero al comprender las motivaciones de los atacantes, los equipos de seguridad pueden abordar la defensa contra amenazas internas de manera proactiva. Para mitigarlas, las organizaciones exitosas utilizan enfoques integrales. Podrían usar software de seguridad que:
En un Informe SANS sobre amenazas avanzadas de 2019, los profesionales de seguridad identificaron brechas significativas en la defensa contra amenazas internas. El informe descubrió que las brechas se deben a la falta de visibilidad en dos áreas: un estándar del comportamiento normal del usuario y gestión de cuentas de usuarios con privilegios. Estas brechas se convierten en objetivos atractivos para las tácticas de estafa por correo electrónico y credenciales comprometidas.
Después de establecer un modelo de amenazas, las organizaciones se enfocan en detectar y solucionar las amenazas internas y las brechas de seguridad.
Los equipos de seguridad deben distinguir entre la actividad habitual de un usuario y la actividad posiblemente maliciosa para detectar amenazas internas. Para diferenciar entre estas actividades, las empresas deben primero solucionar las brechas de visibilidad. Luego, deben agregar los datos de seguridad a una solución de supervisión centralizada, ya sea parte de una plataforma de gestión de información y eventos de seguridad (SIEM) o una solución independiente de analítica del comportamiento de entidades y usuarios (UEBA). Muchos equipos comienzan con registros de cambios de acceso, autenticación y cuenta. Luego, amplían el alcance a fuentes de datos adicionales, como una red privada virtual (VPN) y registros de puntos finales, a medida que los casos de uso de amenazas internas incrementan.
Las organizaciones deben adoptar una solución de gestión de accesos privilegiados (PAM) y añadir datos del acceso a cuentas privilegiadas desde esa solución a la plataforma SIEM. Una vez que las empresas centralizan la información, pueden modelar el comportamiento del usuario y asignar puntuaciones de riesgo. Las puntuaciones de riesgo están vinculados a eventos riesgosos específicos, como cambios en la geografía del usuario o descargas a medios extraíbles. La asignación de puntuaciones de riesgo también brinda a los equipos del centro de operaciones de seguridad (SOC) la capacidad de supervisas el riesgo en toda la empresa, ya sea creando listas de vigilancia o destacando a los usuarios de mayor riesgo en su organización.
Con suficientes datos históricos, los modelos de seguridad pueden crear un estándar del comportamiento normal de cada usuario. Este estándar indica las operaciones normales de un usuario o máquina para que el sistema pueda identificar desviaciones. Se debe realizar un seguimiento de las desviaciones de usuarios individuales y deben compararse con otros usuarios en la misma ubicación, con el mismo cargo o función laboral.
Al adoptar una vista centrada en el usuario, los equipos de seguridad pueden detectar rápidamente la actividad de amenazas internas y gestionar el riesgo de los usuarios desde una ubicación centralizada. Por ejemplo, la analítica del comportamiento del usuario puede detectar intentos de inicio de sesión anormales en un momento inusual del día o desde una ubicación inusual o múltiples intentos fallidos de contraseña y generar una alerta según corresponda para que un analista lo valide. En otras palabras, cualquier anomalía de comportamiento ayudará a identificar cuándo un usuario se ha convertido en una persona interna malintencionada o si un atacante externo ha comprometido sus credenciales.
Una vez validado, un sistema de orquestación, automatización y respuesta de seguridad (SOAR) puede crear un flujo de trabajo de resolución de amenazas internas. Luego, la guía de referencias puede especificar qué resolución se necesita. La posible resolución podría incluir desafiar a la persona interna con MFA o revocar el acceso, cualquiera de los cuales puede llevarse a cabo automáticamente con la solución de gestión de accesos e identidades (IAM).
Las amenazas de seguridad han aumentado y se han vuelto más complejas a medida que se han expandido las prácticas de trabajo desde casa y de trabajo remoto. Como resultado, el trabajo remoto ha cambiado fundamentalmente las prioridades de seguridad y las medidas de seguridad. Este cambio de seguridad ha introducido nuevos desafíos para los equipos de seguridad:
Los directores de seguridad de la información (CISO) deben hacer frente al rápido cambio en la seguridad de TI a medida que se mueve fuera de la red corporativa. Un equipo CISO debe comprender mejor los distintos comportamientos de sus empleados remotos y las implicaciones del trabajo remoto para detectar amenazas internas y proteger de manera efectiva los activos empresariales. Para abordar los desafíos de la fuerza laboral remota, los CISO deben poder responder las siguientes preguntas:
Al comprender los comportamientos de los trabajadores remotos, los equipos de seguridad pueden detectar un comportamiento anormal que podría indicar un compromiso de credenciales o una intención maliciosa. A menudo, pueden detectar estos comportamientos en los límites de la VPN antes de que los empleados causen posibles daños. En el perímetro, los CISO deben determinar si sus funcionalidades actuales de amenazas internas les permiten:
Supongamos que un atacante logra evadir la detección en el perímetro y está dentro de la red de la empresa. En ese caso, los equipos de seguridad deben validar la amenaza buscando varias credenciales comprometidas o indicadores de abuso de acceso.
Los equipos de seguridad pueden derivar indicadores de amenazas internas a través de muchos métodos, a menudo asistidos por machine learning. Estos métodos pueden ayudar a determinar si el acceso es de un empleado legítimo o un ladrón de credenciales. Dentro de la red de la organización, los CISO deben evaluar si sus funcionalidades actuales de amenazas internas les permiten:
Al adaptar proactivamente sus programas para compensar el cambio en el comportamiento de los empleados y maximizar las inversiones en herramientas existentes, los equipos de seguridad pueden proteger mejor una red empresarial.
El robo de información, el sabotaje de TI y el fraude se están produciendo cada vez más a manos de personal interno experto e informado. Gracias al acceso fácil a su información más valiosa, pueden aprovechar las brechas de seguridad y causar daños irreparables a su organización.
IBM® QRadar User Behavior Analytics (UBA) analiza la actividad del usuario para detectar a actores internos maliciosos y determinar si las credenciales de usuario se han puesto en riesgo. Los analistas de seguridad pueden identificar fácilmente a los usuarios peligrosos, ver sus actividades anómalas y analizar el registro subyacente y los datos que contribuyen a la puntuación de riesgo de un usuario.
Otorgue derechos de acceso, proporcione inicio de sesión único desde cualquier dispositivo, mejore la seguridad con la autenticación multifactor, habilite la gestión del ciclo de vida del usuario, proteja las cuentas con privilegios y más.
Obtenga insights accionables a partir de los datos de seguridad aislados, identifique rápidamente las amenazas principales y reduzca la cantidad total de alertas. Con una mayor visibilidad de entornos locales y en la nube, su equipo puede aplicar IA para acelerar las investigaciones y automatizar la respuesta y la resolución.
La detección de amenazas es solo una parte de la seguridad. También necesita una respuesta de incidentes inteligente por el volumen cada vez mayor de alertas, las diversas herramientas y la escasez de personal. Las organizaciones maduras están adoptando una única plataforma de orquestación, automatización y respuesta de seguridad (SOAR), y trabajan con servicios de consultoría y gestionados para mejorar sus centros de operaciones de seguridad.
Comprenda sus riesgos de ataques cibernéticos con una visualización global del panorama de las amenazas.
Una mirada a qué es la gestión de amenazas y qué herramientas y técnicas ayudan a gestionar las ciberamenazas.
Interactúe con expertos de IBM, comparta consejos y mejores prácticas con sus pares y manténgase actualizado acerca de las últimas mejoras de productos.
Según el informe, se estima que para el 2021 se producirán daños de USD 6 billones, lo que costará más que todos los daños causados por desastres naturales en todo el mundo en un solo año. ¿Cómo se verá afectado por las amenazas internas?