Las amenazas de los "información privilegiada de TI" hacen que muchos departamentos de seguridad de TI empiecen a sudar frío. Y con razón, porque ya están firmemente anclados en la TI corporativa. Por lo tanto, presentan un riesgo particularmente alto después de un compromiso porque difícilmente pueden ser detectados por los mecanismos de seguridad normales que están dirigidos hacia el exterior.
Por lo tanto, es difícil protegerse completamente contra amenazas internas utilizando medios tradicionales. Para protegerse contra las amenazas internas y descubrir lo que sucede dentro de la organización, las organizaciones necesitan las estrategias adecuadas y las soluciones técnicas que van más allá de los métodos de seguridad de TI tradicionales.
75% de las brechas de seguridad por parte de personas internas
Si observa qué amenazas tienen éxito en última instancia y logran penetrar en la TI de una empresa, entonces las amenazas internas no son un riesgo que deba ignorarse. De hecho, según el Equipo de Investigación de Riesgos de la Información de Gartner, las amenazas internas son responsables del 50-70 por ciento de todos los incidentes de seguridad y, cuando se trata específicamente de violaciones de seguridad, los internos son responsables de las tres cuartas partes de ellos.
Las consecuencias pueden ser graves: Ponemon Institute estima que las amenazas internas cuestan 8,76 millones de dólares al año y por empresa afectada. Esto es importante porque lleva un promedio de 280 días identificar y contener cada infracción, un escenario aterrador para cualquier empresa.
Las tres formas principales de amenazas internas
El ejemplo más famoso de una amenaza interna es sin duda Edward Snowden.
Pero sus actividades, aunque sean las más conocidas, no son ni mucho menos típicas de los escenarios a los que se enfrentan la mayoría de las organizaciones, especialmente en el contexto comercial. En la mayoría de los casos, las amenazas internas adoptan tres formas principales: internos "accidentales", "comprometidos" o "maliciosos".
1. Como sugiere el nombre, es el infiltrado "malicioso" típicamente un empleado o contratista que roba información. Edward Snowden es probablemente el ejemplo más famoso de esto, con muchos otros infiltrados maliciosos que roban información no como denunciantes sino para obtener ganancias financieras, como los ladrones de datos bancarios suizos hace unos años.
2. El informante "comprometido" es considerado por muchos como la forma más problemática, ya que todo lo que normalmente ha hecho esa persona es hacer clic inocentemente en un enlace o escribir una contraseña. Esto suele ser el resultado de campañas de phishing, en las que a los usuarios se les presenta un enlace a un sitio web que parece auténtico para engañarlos para que ingresen sus credenciales u otra información confidencial.
3. No menos peligroso es el insider “accidental” o “negligente”. Descubrir a estos infiltrados puede ser particularmente desafiante, porque no importa cuán cuidadosos sean las empresas y los empleados con la ciberseguridad, los errores ocurren.
Opciones tecnológicas de defensa
Para evitar errores tan simples pero, en el peor de los casos, de gran alcance, muchas organizaciones ya están utilizando cursos de formación intensivos para sensibilizar a sus empleados en este sentido. Sin duda, algunos ataques internos accidentales y comprometidos se pueden prevenir simplemente entrenando a los usuarios finales para que reconozcan y eviten los intentos de phishing. Pero más allá de la educación, existen oportunidades tecnológicas que se enfocan en el comportamiento del usuario para protegerse mejor contra las amenazas internas.
Análisis de comportamiento de usuarios y entidades (UEBA)
Aprovechar las soluciones de ciberseguridad tradicionales y orientadas al exterior crea un punto ciego muy grande. Para abordar el desafío multifacético de las amenazas internas, los equipos de seguridad necesitan la infraestructura y las herramientas tecnológicas para ver el panorama completo de todas las amenazas, incluidas las internas. Aquí es donde entra en juego el análisis de comportamiento de usuarios y entidades (UEBA). Al comprender los comportamientos típicos, los equipos de seguridad pueden identificar más fácilmente cuándo ocurre un problema. Muchas organizaciones ya están utilizando las soluciones correspondientes basadas en inteligencia artificial y aprendizaje automático para una protección proactiva y efectiva.
Conclusión: estrategia proactiva con análisis
Las organizaciones necesitan la infraestructura tecnológica y las herramientas para ver el panorama completo de las amenazas. Por lo tanto, los SOC modernos utilizan el análisis de comportamiento de usuarios y entidades (UEBA) dentro de sus sistemas SIEM para protegerse desde dentro contra errores humanos, negligencia e información privilegiada malintencionada. Una estrategia tan proactiva, combinada con capacitación, puede reducir drásticamente el punto ciego interno e identificar muchas amenazas internas de manera temprana.
Más información en Exabeam.com[ID de starbox = 17]