El 60% de las amenazas internas involucran la planificación de los empleados …


Los investigadores muestran que la mayoría de los empleados de «riesgo de fuga» que planean abandonar una organización tienden a comenzar a robar datos de dos a ocho semanas antes de irse.

Más del 80% de los empleados que planean abandonar una organización traen sus datos con ellos. Estas personas con «riesgo de fuga» estuvieron involucradas en aproximadamente el 60% de las amenazas internas analizadas en un nuevo estudio.

Los investigadores analizaron más de 300 incidentes confirmados como parte del «Informe de amenazas internas Securonix 2020». Descubrieron que la mayoría de las amenazas internas implican la filtración de datos confidenciales (62%), aunque otras incluyen el uso indebido de privilegios (19%), la agregación de datos (9,5%) y el sabotaje de infraestructura (5,1%). Los investigadores descubrieron que los empleados que planean una salida comienzan a mostrar el llamado comportamiento de riesgo de vuelo entre dos semanas y dos meses antes de su último día.

La mayoría de las personas que extraen información confidencial lo hacen por correo electrónico, un patrón detectado en casi el 44% de los casos. El siguiente método más preferred es cargar la información en sitios world wide web de almacenamiento en la nube (16%), una técnica que se está volviendo preferred a medida que más organizaciones confían en application de colaboración en la nube como Box y Dropbox. También se sabe que los empleados roban información corporativa mediante descargas de datos (10.7%), dispositivos extraíbles no autorizados (8.9%) y espionaje de datos a través de SharePoint (8%).

Las amenazas internas de hoy en día se ven diferentes a las de hace unos años, dice Shareth Ben, director de Insider Risk and Cyber ​​Threat Analytics con Securonix. Las herramientas en la nube han facilitado que los empleados compartan archivos con cuentas no comerciales, creando un desafío para los equipos de seguridad.

«El problema con estas herramientas de colaboración en la nube, desde el punto de vista de la fuga de datos, es que los administradores de TI y los equipos de operaciones de seguridad no tienen mucha visibilidad de lo que sucede con respecto a cómo los usuarios comparten los datos», explica Ben. La mayoría de las empresas han adoptado la nube, o están en el proceso de adoptar la nube, porque es una prioridad comercial, pero la seguridad a menudo se queda atrás.

Los equipos de operaciones de seguridad de TI, especialmente en las grandes empresas, luchan por sacar conclusiones de las amenazas internas debido a la falta o diferencias entre las políticas y los procedimientos de cada línea de negocios, indica el informe. Las herramientas para detectar la agregación de datos a menudo van a la zaga, principalmente porque las empresas tienen problemas para clasificar los datos considerados confidenciales cuando se extienden por las redes. A medida que más compañías confían en sus empleados para hacer lo correcto mientras usan aplicaciones en la nube, se hace más difícil descubrir cuándo alguien se ha vuelto deshonesto.

«Cada vez es más difícil diferenciar lo anormal de lo standard», explica Ben. Ofrece información adicional sobre cómo detectar actividades sospechosas de los empleados.

Manchar banderas rojas
Hay dos formas de detectar el riesgo de fuga, dice Ben. En la primera etapa, las empresas pueden buscar mayores instancias de un empleado que intente acceder a ciertos sitios internet. Su actividad de navegación incluirá más tiempo en sitios internet de búsqueda de empleo pueden enviar un currículum por correo electrónico a terceros. Si el empleado en cuestión es un administrador, «eso es aún más alarmante», continúa Ben. Cita instancias en las que alguien intenta acceder a ciertas cuentas administrativas o sitios de SharePoint. Este tipo de comportamiento no es necesariamente malo, señala, pero provoca una mirada más cercana.

En la segunda etapa de detección de un riesgo de fuga, las personas que exhiben el comportamiento inicial comienzan a mover información considerada confidencial por correo electrónico, herramientas de colaboración o USB. El uso de dispositivos USB ha seguido disminuyendo por dos razones principales: más organizaciones han comenzado a bloquear o restringir el uso de USB, y los empleados se están volviendo cada vez más dependientes de las herramientas basadas en la nube. Ben también señala que los correos electrónicos a una cuenta personal suelen ser más sospechosos que los correos electrónicos a varias personas. Es poco probable que una información privilegiada involucre a un grupo en un esquema de exfiltración de datos.

Con respecto al mal uso de la cuenta privilegiada, los investigadores notaron comportamientos específicos que podrían conducir a una amenaza interna. Estos incluyen elusión de los controles de TI (24.3%), anomalía de geolocalización (18.9%), alteración de registros de auditoría poco común y comando sospechoso ejecutado (16.2%), uso compartido de cuentas (13.5%), anomalía de autenticación (10.8%) y autoescalada de privilegios (8.1%).

Si bien Ben dice que el tipo de datos extraídos varía según la organización, la mayoría de los empleados que planean dejar una empresa toman cosas en las que trabajaron. Alguien que pasó la mayor parte de su tiempo en un proyecto puede sentirse con derecho a él sin embargo, su empleador puede sentir de manera diferente. La mayoría de las personas intentan filtrar los archivos de Microsoft Business office, señala. El código fuente es otro tipo común de datos robados.

Los datos objetivo también varían según la vertical de la industria. En productos farmacéuticos y ciencias de la vida, donde se produjo el 28,3% de los incidentes, los iniciados pueden tener como objetivo la propiedad intelectual valiosa. En los servicios financieros, el segundo hotspot más grande para amenazas internas con un 27.7%, los intrusos pueden encontrar valor en el robo de información de identificación personal o datos bancarios. El «Informe de investigaciones de violación de datos 2020» de Verizon descubrió que el 35% de los ataques contra organizaciones financieras y de seguros involucraban a actores internos.

«Cuanto más grande es la marca, más grande es la corporación, más tienen que perder, mayor es la exposición al riesgo», dice Ben. La mayoría de las compañías de Fortune 500 tienen un grupo de amenazas internas dedicado a mitigar el riesgo de la organización. Las empresas más pequeñas y medianas quieren tener lo mismo pero carecen del presupuesto. Otras prioridades, como la instalación de las herramientas de seguridad adecuadas, son lo primero.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de own de Darkish Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance plan & Technology, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia unique