El foco que necesitan las amenazas internas



El ataque de alto perfil debería estimular conversaciones serias a nivel de directorio sobre la importancia de la prevención de amenazas internas.

Hace unas semanas, se conoció la noticia de un incidente de seguridad masivo en Twitter que afectó a algunos de los políticos, celebridades y empresas más influyentes del mundo. Personas de alto perfil, incluidos Jeff Bezos, Elon Musk y Joe Biden, tuitearon mensajes llenos de estafas solicitando transferencias de Bitcoin a millones de seguidores.

¿El resultado? A pesar de impulsar una estafa bastante descarada, los piratas informáticos recibieron rápidamente cientos de transferencias de personas de todo el mundo, por un overall de más de $ 100,000.

Gorjeo dijo en respuesta al incidente: «Detectamos lo que creemos que es un ataque de ingeniería social coordinado por parte de personas que atacaron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internos».

En otras palabras, es evidente que esto fue el resultado de la negligencia por parte de un informante. Si bien se engañó a los internos para que divulgaran información confidencial, está claro que una de las amenazas más generalizadas para la seguridad empresarial no está relacionada en absoluto con la tecnología: son los humanos los que son susceptibles de verse comprometidos por los atacantes, ya sea sin saberlo o por dinero. ganancia.

El hackeo de Twitter sacudió el mundo de la ciberseguridad y alertó a la población en general, y con razón. Pero no debemos dejar pasar este evento sin reconocer la atención nacional que arroja sobre los peligros que representan las amenazas internas para las organizaciones de todos los tamaños.

Esto debería servir como una llamada de atención y una oportunidad de aprendizaje para que los líderes empresariales y los profesionales de la seguridad comprendan mejor lo que implican las amenazas internas, incluidas las vías comunes y los indicadores de ataque, y qué se puede hacer para detectar este tipo de comportamiento.

¿Qué son las amenazas internas?
Las amenazas internas han estado en el radar de los equipos de seguridad durante mucho tiempo, pero el peligro se ha visto amplificado por una mayor conectividad y las nuevas vías resultantes para la actividad maliciosa. En pocas palabras, una amenaza interna es el riesgo que representan los empleados o contratistas con respecto al robo de datos confidenciales, el uso indebido de sus privilegios de acceso o la actividad fraudulenta que pone en riesgo a la organización.

Las amenazas internas más comunes involucran la exfiltración de datos confidenciales, donde los datos se transfieren fuera de una crimson y son obtenidos por un actor malintencionado o robados intencionalmente por un empleado. Las personas con riesgo de fuga, es decir, aquellas que están a punto de dejar su trabajo precise, son los culpables más comunes de este tipo de actividad. Otras vías típicas incluyen el uso indebido de privilegios, el sabotaje de la infraestructura y la exfiltración de datos.

Para comprender el alcance del problema, no busque más allá de los titulares que resultaron del pirateo de Twitter o el caso de robo de datos de Tesla de 2018. Ambos casos ganaron titulares en casi todos los medios de comunicación nacionales, y la seguridad se vio seriamente comprometida debido a la vulnerabilidad común. de cada organización: seres humanos con acceso a información confidencial que tenían los medios para utilizarla, consciente o inconscientemente, con fines maliciosos.

Actividad maliciosa de información privilegiada simplificada a través del almacenamiento en la nube
No es ningún secreto que a medida que evoluciona la tecnología, también lo hace la superficie de ataque empresarial. Este también es el caso cuando se trata de amenazas internas. Uno de los cambios más importantes de los últimos años es el aumento del uso de herramientas empresariales en la nube, que facilitan a los empleados compartir información de la empresa con cuentas personales.

Las herramientas de colaboración en la nube son un problema importante para las organizaciones desde la perspectiva de la fuga de datos. Los equipos de TI y seguridad no tienen visibilidad de cómo los usuarios comparten datos, y ser capaz de detectar anomalías es especialmente difícil en estas situaciones.

Si bien las empresas adoptan la nube por sus innumerables beneficios y escalabilidad, no se puede exagerar que la seguridad nunca debe ser una ocurrencia tardía. Las organizaciones deben implementar algún tipo de supervisión, como establecer un acceso o roles privilegiados, o un análisis basic de las actividades de los empleados cuando les permiten usar este tipo de herramientas.

Detectar amenazas internas
La detección y eliminación de una amenaza interna se decrease al análisis del comportamiento y simplemente a saber qué buscar en toda la organización que podría indicar una actividad interna maliciosa. Algunos ejemplos incluyen indicadores de manipulación del registro de auditoría, ejecución de comandos sospechosos, uso compartido de cuentas, anomalías de autenticación, autoescalada de privilegios y elusión de los controles de TI.

Una persona con información privilegiada malintencionada generalmente exhibirá un comportamiento y tomará las acciones de una persona que está trabajando para tener en sus manos información más confidencial de la que normalmente tiene acceso en un día laboral standard. Cada indicador no significa necesariamente que haya una amenaza por sí solo, pero si se detectan, es importante que se lleve a cabo una investigación para descartarla como una posibilidad.

El camino a seguir
Puede parecer simple, pero la clave para detectar y eliminar las amenazas internas es identificar la actividad sospechosa, lo que significa que los equipos de seguridad y TI necesitan una visibilidad de extremo a extremo de las actividades de los usuarios y las herramientas necesarias para llevar a cabo análisis de comportamiento en tiempo true. Esto requiere que las empresas inviertan el dinero y el tiempo adecuados para mejorar las personas, los procesos y las tecnologías que impulsan sus programas de seguridad.

El evento reciente con Twitter puede haber parecido nada más que una estafa para el ciudadano medio, pero tengo la esperanza de que su alto perfil les dé a los profesionales de seguridad la munición que necesitan para iniciar conversaciones serias a nivel de directorio sobre los peligros de las amenazas internas y la importancia de realizar las inversiones necesarias para evitar que sigan siendo noticia.

Shareth es un profesional de seguridad de la información con más de una década de experiencia en ingeniería de campo y administración de programas, que atiende las necesidades de seguridad de los clientes de Fortune 500. Actualmente se centra en proporcionar soluciones de amenazas internas y ciberamenazas al brindar sinergias … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original