Defensa contra amenazas internas | audacia
“¡La llamada viene del interior de la casa!”
El concepto erróneo más optimista sobre la ciberseguridad es que los buenos están adentro y los malos afuera. Aunque esta no es una caracterización injusta: el “nosotros vs. ellos” dicotomía; en última instancia, es una falsa sensación de seguridad de la que muchas organizaciones son víctimas.
En nuestra publicación de blog anterior sobre el papel de la ingeniería social en la ciberseguridad, sugerimos que el activo más valioso, aunque más vulnerable, de una empresa es su gente. También propusimos algunas formas en las que podríamos medir la probabilidad de que nuestra gente pudiera ser explotada en esta publicación sobre vulnerabilidad y gestión de riesgos en ciberseguridad.
Sin embargo, no consideramos si sería el caso de que nuestra propia gente nos mataría.
Contenido
¿Qué son las amenazas internas?
El término “amenaza interna” suena tan siniestro porque queremos creer que nuestra propia gente es confiable. Devin en contabilidad no parece particularmente turbio. Ramsey, el nuevo analista, y Peyton, el gerente del segundo turno, parecen ser miembros destacados del personal.
sería completamente paranoico pensar que alguno de ellos podría robar de la empresa no? El valor predeterminado es confiar inherentemente en las decisiones de empleo de su empresa. Después de todo, realizamos verificaciones de antecedentes, firmamos acuerdos e invertimos en el éxito de estas personas a través del desarrollo y los beneficios.
Algo a tener en cuenta al considerar cómo peligroso nuestra propia gente puede ser para nuestras operaciones es que no todas las amenazas internas son intencionales. Una credencial comprometida podría conducir a la explotación del acceso por parte de un intruso oportunista, pero la amenaza puede haberse originado por un error de juicio por parte de nuestro miembro de confianza sin intención maliciosa.
Las amenazas internas también pueden venir en forma de evasores de políticas, usuarios que toman atajos para solucionar políticas y procedimientos tediosos o inconvenientes, o terceros de confianza que pueden no tener políticas y procedimientos que coincidan con las medidas de seguridad de su empresa. En el otro extremo del espectro, escuchamos historias de terror de empleados comprometidos que cometen hurtos a gran escala, desfiguración de la propiedad o sabotaje.
Una tormenta perfecta: condiciones ideales para amenazas internas.
Una economía deprimida, el aumento de las demandas de los trabajadores, la baja satisfacción laboral y una alta tasa de rotación son condiciones del mercado que crean las condiciones ideales para las amenazas internas.
A raíz del COVID-19, hemos visto a muchos empleados buscando nuevas oportunidades y cambiando al trabajo remoto. Este éxodo masivo de trabajadores, también conocido como “La Gran Renuncia”, ha creado un desafío único para muchas empresas, particularmente durante el proceso de despido de empleados.
Un empleado descontento que se ha comprometido con una estrategia de salida puede tratar de filtrar datos o secretos de la empresa con el objetivo de comprometer al empleador. Otros empleados pueden buscar exportar datos, como listas de contactos y documentos relacionados con el trabajo, de modo que puedan aprovecharse para su búsqueda de empleo o reutilizarse en sus nuevas organizaciones.
Cómo ayudan las herramientas de ciberseguridad.
Las herramientas de ciberseguridad contemporáneas brindan a las organizaciones una estrategia de protección más diversificada para abordar problemas relacionados con amenazas internas o el compromiso de credenciales confiables. Estas herramientas suelen reforzar las capacidades de detección de la empresa al ampliar el alcance de la supervisión.
Con una plataforma avanzada de detección y respuesta de puntos finales (EDR), un centro de operaciones de seguridad puede usar varias técnicas para determinar si se está explotando una vulnerabilidad al examinar los sistemas en busca de patrones que serían indicativos de un compromiso.
Algunos productos EDR pueden analizar archivos en un sistema o permitir que los administradores echen un vistazo a los procesos y servicios en ejecución. La información de las plataformas EDR se puede utilizar para investigar posibles incidentes al habilitar el historial y el registro, y algunas plataformas EDR pueden realizar recuperaciones a nivel de sistema y archivo.
Las herramientas técnicas como un EDR, junto con un sistema de gestión de eventos e información de seguridad (SIEM), pueden analizar datos generados por máquinas para ayudar a los administradores de seguridad a determinar un compromiso del sistema.
Para detectar el compromiso del usuario final, se deben emplear técnicas de análisis de comportamiento de usuarios y entidades (UEBA). Las soluciones de UEBA integrarán información externa sobre los usuarios, incluidos datos de sistemas de recursos humanos e intercambios entre empleados, como chat y correo electrónico, con datos SIEM para analizar el comportamiento de los usuarios e identificar posibles amenazas.
La actividad sospechosa puede incluir múltiples conexiones simultáneas desde dos ubicaciones geográficamente dispersas, tiempos de inicio de sesión inusuales y cambios en el comportamiento de los usuarios, como operaciones o solicitudes sospechosas, acceso a sistemas no utilizados anteriormente y transferencias de datos inusuales. “Son las 2:00 am, ¿sabes dónde están tus usuarios?”
Diseño seguro: Zero Trust Architecture (ZTA).
Con la adopción generalizada de herramientas basadas en la nube y atendiendo a una fuerza de trabajo remota más móvil, muchas empresas están moviendo sus operaciones de infraestructura hacia una arquitectura de confianza cero (ZTA).
ZTA es un paradigma de diseño de seguridad que ha ganado mucha fuerza desde la década de 2010. A diferencia de un modelo de seguridad tradicional basado en el perímetro basado en la protección en el interior recursos de la afuera usando firewalls, el inquilino principal de ZTA sugiere que no hay perímetros y que la red ya está comprometida.
Esta estrategia defensiva es el epítome de la paranoia. Se basa en la evaluación continua de la confianza a lo largo de una sesión de trabajo. ZTA es principalmente un principio de seguridad por diseño que integra la aplicación de políticas, impulsada por datos de SIEM, UEBA y EDR (entre otras fuentes), para determinar si la solicitud y/o el solicitante cumplen con ciertos criterios y si, en última instancia, se debe otorgar el acceso. .
Orden Ejecutiva 14028.
El 12 de mayo de 2021, el presidente Biden firmó la Orden Ejecutiva 14028 sobre la Mejora de la Ciberseguridad de la Nación en la que las agencias federales se encargan de la implementación de tecnologías y mejores prácticas para avanzar hacia una Arquitectura de Confianza Cero (ZTA) y, a continuación, la Oficina de Administración and Budget (OMB) publicó el M-22-09 que describe la estrategia federal de arquitectura de confianza cero que requiere que las agencias cumplan con los objetivos de seguridad cibernética para fines del año fiscal 2024.
Potencia tu estrategia defensiva.
Para obtener más información sobre cómo mejorar las capacidades defensivas de su organización contra las amenazas internas con controles técnicos sólidos, consulte el curso Zero Trust Security.
Obtenga más información sobre otras prácticas de seguridad, incluido el diseño de una arquitectura de seguridad defendible en capas y la implementación de controles administrativos, con el programa Security Analyst Nanodegree.
COMIENZA A APRENDER