La mayoría de las empresas se centran en los atacantes externos en la lucha contra el ciberdelito. Pero una amenaza creciente también acecha dentro de sus propias filas. Los expertos en seguridad de TI de FireEye Mandiant predicen que el 33 % de todos los incidentes de seguridad en 2021 se deberán a amenazas internas. ¿Qué pueden hacer las empresas para protegerse?
El acceso legítimo es fundamental: los empleados lo tienen y los atacantes lo quieren. De nada sirve el mejor candado de seguridad en la puerta si el delincuente ya está dentro. Todo fanático del crimen lo sabe. La situación es similar con los ataques cibernéticos que provienen de las propias filas de la empresa. Son particularmente peligrosos porque los perpetradores son personas en las que realmente confiamos. Es aún más preocupante que el número de amenazas internas esté aumentando significativamente. En 2019 y 2020, los equipos de Mandiant vieron más casos que nunca de personas internas que comprometieron sistemas críticos para el negocio, exponiendo datos confidenciales o chantajeando a sus empleadores. Dichos incidentes pueden causar daños financieros significativos y dañar la reputación.
Quién está detrás de los ataques internos
La mayoría de las amenazas internas se remontan a empleados negligentes que no tienen malas intenciones, sino que proporcionan a los piratas informáticos una puerta de entrada a través del descuido. Sin embargo, también hay ataques dirigidos por parte de personas internas. Al igual que los ataques de actores externos, estos suelen tener lugar durante un período de tiempo más largo. Los atacantes suelen intentar pasar desapercibidos y encubrir sus actividades. En algunos casos, incluso utilizan las cuentas de otros empleados para desviar la atención de ellos mismos.
Detrás de los ataques internos ya no está solo el ex empleado descontento que quiere vengarse de su ex empleador o robarle. En esencia, cualquier persona con acceso a redes, sistemas y datos representa un riesgo potencial, ya sea su propio empleado, así como su socio comercial o de la cadena de suministro. Las organizaciones con propiedad intelectual significativa o las empresas que se fusionan, se adquieren o experimentan cambios y desafíos significativos corren un mayor riesgo de convertirse en víctimas de personas malintencionadas.
Al contrario de lo que podría esperarse, los actores de hoy en día a menudo no actúan solos, sino en grupos que incluyen administradores de TI y miembros del equipo de amenazas internas que evitan alertas e investigaciones. Los miembros parciales de este grupo están fuera de las empresas, como organizaciones criminales e incluso afiliadas al gobierno que llevan a cabo actividades técnicas para permitir el acceso y el robo de datos.
Las cuatro amenazas internas más comunes
Los investigadores de Mandiant han examinado varios tipos de ataques internos en la práctica. Están surgiendo cuatro tendencias:
chantaje digital
El infiltrado malicioso amenaza con liberar los datos robados y puede pretender ser un hacker externo. El informante generalmente exige un rescate en una moneda digital como Bitcoin.
espionaje industrial
En este escenario, el infiltrado malintencionado roba la propiedad intelectual y comparte los datos con terceros, incluidos actores gubernamentales, a cambio de una compensación o una oportunidad laboral.
Destrucción de activos
El infiltrado malicioso intenta interrumpir los sistemas críticos para el negocio, causar una falla operativa o destruir las existencias de datos importantes.
Acecho
El infiltrado malicioso obtiene acceso a datos confidenciales de empleados o cuentas de usuario de colegas para obtener información personal.
Cuando se trata de intentos de chantaje, las empresas se encuentran bajo una enorme presión: ¿deben cumplir con las demandas o deben tratar de identificar al informante lo más rápido posible? ¿Y si eso no sucede a tiempo? Comprender los escenarios de ataque y rastrear a los perpetradores es complejo. Los desafíos clave para los equipos de seguridad en un intento de extorsión son: 1) determinar si los datos realmente han sido robados y 2) distinguir entre un incidente interno y un ataque de un tercero malicioso. Esto requiere una combinación de técnicas forenses, inteligencia de amenazas y métodos de investigación tradicionales. Los especialistas externos proporcionan análisis independientes y experiencia significativa para esto.
De esta manera, las empresas pueden protegerse contra los riesgos internos.
Las organizaciones necesitan combinar tecnología y vigilancia, y educar a sus empleados sobre los peligros de las amenazas internas a través de capacitación regular para detectar ataques internos de manera efectiva. En primer lugar, para evitar que sucedan cosas, las empresas deben ser conscientes del peligro que representan las amenazas internas y tomar las medidas de protección adecuadas. Cinco consejos para minimizar los riesgos:
- Invierta en una solución de prevención de pérdida de datos de amenazas internas. Reconoce el comportamiento malicioso, emite una alarma y puede bloquear acciones si es necesario. La solución debería funcionar con y sin conexión a Internet.
- Proteja todos los entornos de sus redes con controles de acceso. Cada usuario, desarrollador y administrador solo debe recibir los derechos que necesita absolutamente para su trabajo diario. Limite al mínimo la cantidad de empleados que pueden crear nuevas cuentas en entornos locales y en la nube.
- Envíe datos de registro y agregación de eventos a un SIEM (Información de seguridad y gestión de eventos). Esto garantiza la autenticidad de los registros y evita que un atacante los borre o los manipule.
- Implementar la segmentación de la red. Al separar las áreas de la red con controles de seguridad, evita que un atacante pueda propagarse sin restricciones. También debe limitar el tráfico innecesario entre entornos altamente confidenciales y menos confiables. Todos los sistemas que no necesariamente tienen que ser de acceso público deben estar separados del acceso público.
- Garantice una bajada segura. Si un empleado deja la empresa, debe bloquear inmediatamente su acceso a la red. Todas las claves SSH, archivos PEM y contraseñas a las que la persona tuvo acceso deben cambiarse para todos los entornos. La autenticación multifactor (MFA) también debe desactivarse inmediatamente.
Las evaluaciones periódicas son importantes
Para mitigar el riesgo de amenazas internas, las organizaciones necesitan procesos de prevención de pérdida de datos, funcionalidad SIEM, análisis de comportamiento y un equipo dedicado. Las tres áreas centrales de personas, procesos y herramientas deben ser consideradas aquí. Las investigaciones sobre amenazas internas deben basarse en pruebas que rechacen la elaboración de perfiles y resistan el escrutinio legal. Los especialistas externos pueden revisar las capacidades existentes para maximizar la inversión, acelerar la creación de un nuevo programa de amenazas internas o mejorar un programa existente basado en años de catalogación de las mejores prácticas en la industria. Dado que los requisitos pueden cambiar rápidamente, es importante realizar evaluaciones de seguridad con regularidad. Permiten descubrir vulnerabilidades y mejorar continuamente la postura de seguridad. De esta forma, las empresas reciben una hoja de ruta individual para protegerse de forma eficaz frente a los ataques internos y sus efectos.
Más en FireEye.com
Acerca de Trellix Trellix es una empresa global que redefine el futuro de la ciberseguridad. La plataforma abierta y nativa de detección y respuesta extendida (XDR) de la empresa ayuda a las organizaciones que enfrentan las amenazas más avanzadas de la actualidad a ganar confianza en que sus operaciones están protegidas y son resistentes. Los expertos en seguridad de Trellix, junto con un amplio ecosistema de socios, aceleran la innovación tecnológica a través del aprendizaje automático y la automatización para brindar soporte a más de 40.000 XNUMX clientes empresariales y gubernamentales.