Amenazas internas: el peligro desde dentro

17. agosto 2021
| No hay comentarios
Amenazas internas: el peligro desde dentro

Compartir publicación

La mayoría de las empresas se centran en los atacantes externos en la lucha contra el ciberdelito. Pero una amenaza creciente también acecha dentro de sus propias filas. Los expertos en seguridad de TI de FireEye Mandiant predicen que el 33 % de todos los incidentes de seguridad en 2021 se deberán a amenazas internas. ¿Qué pueden hacer las empresas para protegerse?

El acceso legítimo es fundamental: los empleados lo tienen y los atacantes lo quieren. De nada sirve el mejor candado de seguridad en la puerta si el delincuente ya está dentro. Todo fanático del crimen lo sabe. La situación es similar con los ataques cibernéticos que provienen de las propias filas de la empresa. Son particularmente peligrosos porque los perpetradores son personas en las que realmente confiamos. Es aún más preocupante que el número de amenazas internas esté aumentando significativamente. En 2019 y 2020, los equipos de Mandiant vieron más casos que nunca de personas internas que comprometieron sistemas críticos para el negocio, exponiendo datos confidenciales o chantajeando a sus empleadores. Dichos incidentes pueden causar daños financieros significativos y dañar la reputación.

Quién está detrás de los ataques internos

La mayoría de las amenazas internas se remontan a empleados negligentes que no tienen malas intenciones, sino que proporcionan a los piratas informáticos una puerta de entrada a través del descuido. Sin embargo, también hay ataques dirigidos por parte de personas internas. Al igual que los ataques de actores externos, estos suelen tener lugar durante un período de tiempo más largo. Los atacantes suelen intentar pasar desapercibidos y encubrir sus actividades. En algunos casos, incluso utilizan las cuentas de otros empleados para desviar la atención de ellos mismos.

Detrás de los ataques internos ya no está solo el ex empleado descontento que quiere vengarse de su ex empleador o robarle. En esencia, cualquier persona con acceso a redes, sistemas y datos representa un riesgo potencial, ya sea su propio empleado, así como su socio comercial o de la cadena de suministro. Las organizaciones con propiedad intelectual significativa o las empresas que se fusionan, se adquieren o experimentan cambios y desafíos significativos corren un mayor riesgo de convertirse en víctimas de personas malintencionadas.

Al contrario de lo que podría esperarse, los actores de hoy en día a menudo no actúan solos, sino en grupos que incluyen administradores de TI y miembros del equipo de amenazas internas que evitan alertas e investigaciones. Los miembros parciales de este grupo están fuera de las empresas, como organizaciones criminales e incluso afiliadas al gobierno que llevan a cabo actividades técnicas para permitir el acceso y el robo de datos.

Las cuatro amenazas internas más comunes

Los investigadores de Mandiant han examinado varios tipos de ataques internos en la práctica. Están surgiendo cuatro tendencias:

chantaje digital

El infiltrado malicioso amenaza con liberar los datos robados y puede pretender ser un hacker externo. El informante generalmente exige un rescate en una moneda digital como Bitcoin.

espionaje industrial

En este escenario, el infiltrado malintencionado roba la propiedad intelectual y comparte los datos con terceros, incluidos actores gubernamentales, a cambio de una compensación o una oportunidad laboral.

Destrucción de activos

El infiltrado malicioso intenta interrumpir los sistemas críticos para el negocio, causar una falla operativa o destruir las existencias de datos importantes.

Acecho

Jon Ford, Director General de Servicios Gubernamentales Globales y Soluciones de Seguridad de Amenazas Internas en Mandiant (Imagen: FireEye).

El infiltrado malicioso obtiene acceso a datos confidenciales de empleados o cuentas de usuario de colegas para obtener información personal.

Cuando se trata de intentos de chantaje, las empresas se encuentran bajo una enorme presión: ¿deben cumplir con las demandas o deben tratar de identificar al informante lo más rápido posible? ¿Y si eso no sucede a tiempo? Comprender los escenarios de ataque y rastrear a los perpetradores es complejo. Los desafíos clave para los equipos de seguridad en un intento de extorsión son: 1) determinar si los datos realmente han sido robados y 2) distinguir entre un incidente interno y un ataque de un tercero malicioso. Esto requiere una combinación de técnicas forenses, inteligencia de amenazas y métodos de investigación tradicionales. Los especialistas externos proporcionan análisis independientes y experiencia significativa para esto.

De esta manera, las empresas pueden protegerse contra los riesgos internos.

Las organizaciones necesitan combinar tecnología y vigilancia, y educar a sus empleados sobre los peligros de las amenazas internas a través de capacitación regular para detectar ataques internos de manera efectiva. En primer lugar, para evitar que sucedan cosas, las empresas deben ser conscientes del peligro que representan las amenazas internas y tomar las medidas de protección adecuadas. Cinco consejos para minimizar los riesgos:

  • Invierta en una solución de prevención de pérdida de datos de amenazas internas. Reconoce el comportamiento malicioso, emite una alarma y puede bloquear acciones si es necesario. La solución debería funcionar con y sin conexión a Internet.
  • Proteja todos los entornos de sus redes con controles de acceso. Cada usuario, desarrollador y administrador solo debe recibir los derechos que necesita absolutamente para su trabajo diario. Limite al mínimo la cantidad de empleados que pueden crear nuevas cuentas en entornos locales y en la nube.
  • Envíe datos de registro y agregación de eventos a un SIEM (Información de seguridad y gestión de eventos). Esto garantiza la autenticidad de los registros y evita que un atacante los borre o los manipule.
  • Implementar la segmentación de la red. Al separar las áreas de la red con controles de seguridad, evita que un atacante pueda propagarse sin restricciones. También debe limitar el tráfico innecesario entre entornos altamente confidenciales y menos confiables. Todos los sistemas que no necesariamente tienen que ser de acceso público deben estar separados del acceso público.
  • Garantice una bajada segura. Si un empleado deja la empresa, debe bloquear inmediatamente su acceso a la red. Todas las claves SSH, archivos PEM y contraseñas a las que la persona tuvo acceso deben cambiarse para todos los entornos. La autenticación multifactor (MFA) también debe desactivarse inmediatamente.

Las evaluaciones periódicas son importantes

Para mitigar el riesgo de amenazas internas, las organizaciones necesitan procesos de prevención de pérdida de datos, funcionalidad SIEM, análisis de comportamiento y un equipo dedicado. Las tres áreas centrales de personas, procesos y herramientas deben ser consideradas aquí. Las investigaciones sobre amenazas internas deben basarse en pruebas que rechacen la elaboración de perfiles y resistan el escrutinio legal. Los especialistas externos pueden revisar las capacidades existentes para maximizar la inversión, acelerar la creación de un nuevo programa de amenazas internas o mejorar un programa existente basado en años de catalogación de las mejores prácticas en la industria. Dado que los requisitos pueden cambiar rápidamente, es importante realizar evaluaciones de seguridad con regularidad. Permiten descubrir vulnerabilidades y mejorar continuamente la postura de seguridad. De esta forma, las empresas reciben una hoja de ruta individual para protegerse de forma eficaz frente a los ataques internos y sus efectos.

Más en FireEye.com

 

Acerca de Trellix

Trellix es una empresa global que redefine el futuro de la ciberseguridad. La plataforma abierta y nativa de detección y respuesta extendida (XDR) de la empresa ayuda a las organizaciones que enfrentan las amenazas más avanzadas de la actualidad a ganar confianza en que sus operaciones están protegidas y son resistentes. Los expertos en seguridad de Trellix, junto con un amplio ecosistema de socios, aceleran la innovación tecnológica a través del aprendizaje automático y la automatización para brindar soporte a más de 40.000 XNUMX clientes empresariales y gubernamentales.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Noticias de prensa
, , , ,