Un enfoque de 4 pasos para …



Los programas sólidos de detección de amenazas internas combinan datos contextuales y un conocimiento profundo de los roles y comportamientos de los empleados para identificar los mayores riesgos.

¿Cómo una empresa con 25,000 empleados y un equipo de amenazas internas de cuatro personas detecta y mitiga sus amenazas internas? O, para decirlo de manera más very simple, ¿cómo un analista monitorea y ejecuta casos continuamente a 6.250 empleados? La respuesta corta es: no pueden.

Los jefes de seguridad y los jefes de seguridad de la información se enfrentan al desafío de los presupuestos ajustados, la escasez de personalized y los requisitos cada vez más estrictos del programa de amenazas internas de los clientes del gobierno, incluso cuando enfrentan la presión de la junta y / o los accionistas para evitar amenazas al private, las finanzas, los sistemas de la organización, datos y reputación.

¿Cual es la solución? La única respuesta lógica es: al enfocarse con láser solo en los empleados de mayor riesgo, es decir, aquellos en puestos de confianza que tienen más probabilidades de cometer fraude, divulgación de información, violencia en el lugar de trabajo, espionaje, sabotaje u otros eventos adversos.

Recomiendo el siguiente enfoque de cuatro pasos para identificar y disuadir a personas de alto riesgo.

Paso 1. Use todos los datos disponibles para establecer el contexto – temprano.
El contexto es crítico para el proceso de análisis. Cuando los analistas ven una alerta o un grupo de alertas, hacen cinco preguntas:

  1. «¿Quién es esta persona? ¿Cuál es su papel y en qué están trabajando? ¿Son usuarios con acceso privilegiado? ¿Ha habido incidentes de seguridad pasados?
  2. «¿Qué?» ¿Qué dispositivo está usando la persona? ¿La IP de la empresa o los datos del cliente estuvieron involucrados?
  3. «¿Dónde?» ¿Cuál es su ubicación física (oficina, VPN, en viajes, cafetería)?
  4. «¿Cuando?» ¿Domingo por la tarde o fuera de horario durante la semana laboral?
  5. «¿Por qué?» ¿La actividad está relacionada con el trabajo y está dentro del alcance de su rol y proyecto? ¿La persona lo ha hecho antes? ¿Otros con roles similares hacen esto?

Las herramientas de análisis de comportamiento de usuarios y entidades (UEBA) pueden proporcionar algún contexto, como nombre, título, fecha de inicio, estado, departamento, ubicación, administrador y listas de observación, que pueden indicar niveles de acceso o actividad de alto riesgo. Sin embargo, estos atributos generalmente se usan para desencadenar puntajes de riesgo elevados solo cuando se make una actividad técnica específica.

Otros datos contextuales que las empresas deberían considerar obtener son registros de incorporación, historial de trabajo, patrones de trabajo, registros de viajes y gastos, registros de credenciales e impresoras, calificaciones de rendimiento y registros de capacitación.

Lo más importante, los datos contextuales deben estar disponibles en el comenzando del proceso analítico para que los usuarios de alto riesgo puedan ser identificados de inmediato. Entonces, toda la actividad analítica posterior puede centrarse en ellos, en lugar de en el flujo interminable de alertas sobre personas de bajo riesgo.

Paso 2. Identifique personas de alto riesgo basadas en el acceso y los roles.
Existen amplios grupos de expertos que pueden ser considerados de alto riesgo (ejecutivos, empresas y administradores de bases de datos), mientras que otros siguen siendo de bajo riesgo (reclutadores, empleados de advertising y private de comunicaciones) en función de sus niveles de acceso y funciones.

Los niveles de riesgo también pueden variar entre los empleados con acceso y funciones similares. Tenga en cuenta que dentro del departamento de finanzas hay un pequeño grupo de empleados (Grupo A) que se dedica directamente a compilar informes financieros consolidados. Mientras tanto, el Grupo B tiene acceso limitado ya que prepara subconjuntos de información aislados para los informes. El Grupo A claramente presenta un mayor riesgo de revelar información ilegalmente que el Grupo B. Incluso puede haber un asistente administrativo fuera de cualquiera de los grupos que tenga acceso a los informes antes de la publicación para imprimirlos, elevando su nivel de riesgo por encima de otros en el mismo rol.

Paso 3. Reúna y evalúe los indicadores de comportamiento.
Los expertos malintencionados a menudo desarrollan tácticas y técnicas para superar las limitaciones de su lugar en una organización y su nivel de acceso. Edward Snowden es un ejemplo. Pero incluso Snowden exhibió indicadores observables que en retrospectiva y tomados en conjunto podrían (y deberían) haber generado alarmas.

Los siguientes comportamientos pueden indicar un mayor potencial de riesgo interno:

  • Historial de incidentes de seguridad
  • Problemas de comportamiento
  • Casos sustanciales de RRHH / ética
  • Problemas de asistencia
  • Patrones de licencia inusuales
  • Viajes al extranjero / contactos
  • Horas inusuales
  • Reportes de violencia fuera del trabajo
  • Abuso de liquor / drogas ilegales
  • Amenaza empresa, gerente, compañero de trabajo, cliente
  • Se siente subestimado / mal pagado
  • Cambio en el comportamiento
  • Rechaza la asignación de trabajo
  • Se retira del equipo
  • Enfrentamiento con un compañero de trabajo / gerente
  • Publicaciones negativas en redes sociales
  • Problemas financieros
  • Arrestos
  • Violaciones de la política
  • Exfiltración de datos
  • Acceder a sitios world wide web de alto riesgo
  • Eliminación repentina de archivos
  • Intentos de acceso no autorizados

La recopilación y el uso de evidencia para estos comportamientos puede ser un asunto muy delicado para algunas empresas, si no completamente fuera de los límites. Dicho esto, el objetivo es proporcionar indicadores de comportamiento críticos que informen el modelo de riesgo descrito en el Paso 4.

Paso 4. Desarrolle un modelo de calificación de riesgo basado en el contexto y los comportamientos.
Los datos contextuales del usuario del Paso 1, los roles internos y los niveles de acceso identificados en el Paso 2, y los indicadores de comportamiento reunidos en el Paso 3, todos deben evaluarse en un modelo diseñado específicamente para evaluar y priorizar el riesgo interno.

He descubierto que el enfoque analítico más efectivo es emplear un modelo probabilístico desarrollado en colaboración con diversos expertos en la materia para identificar a las personas de alto riesgo.

El modelo es esencialmente una línea de base de riesgo que representa el conocimiento combinado de expertos en la materia en seguridad, psicología, fraude, contrainteligencia, actividad de pink de TI, etc. Cada nodo modelo representa comportamientos y factores estresantes que, cuando se dividen en sus elementos más básicos, son medible en datos que pueden aplicarse como evidencia al modelo.

Los resultados del modelo son puntajes de riesgo para cada individuo, actualizados continuamente a medida que hay nuevos datos disponibles. Es critical que el modelo también brinde transparencia a través de toda su cadena de razonamiento, y que la información de identificación particular esté enmascarada para proteger la privacidad specific.

Con los tipos de datos correctos, no solo de los sistemas de monitoreo de pink, sino que también incluye los indicadores de comportamiento y las fuentes de datos de código abierto enumerados anteriormente, los expertos de mayor riesgo se harán evidentes rápidamente.

Conclusión
Cualquier programa de mitigación de amenazas internas requiere una combinación de políticas, procesos y tecnologías, y el liderazgo adecuado para comunicarse e impulsar la implementación del programa en toda la empresa.

Sin embargo, incluso con todas las piezas correctas en su lugar, el programa no debe ser solo para cazar a los malos actores. Por el contrario, una vez que se identifiquen los usuarios de alto riesgo, y suponiendo que no hayan hecho nada ilegal, las empresas deberían comprometerse de manera proactiva con ellos, trabajando en colaboración para reducir su riesgo y hacer que vuelvan a usar todos sus talentos y energías.

Después de todo, hay una razón por la que se les confió el acceso interno en primer lugar.

Contenido relacionado:

David A. Sanders es Director de Operaciones de amenazas internas en Haystax, una unidad de negocios de Fishtech Group, donde es responsable de implementar la Suite de Mitigación de amenazas internas de Haystax en los clientes empresariales y del sector público de la compañía y respaldar la optimización de … Ver Bio completa

Más concepts





Enlace a la noticia initial