Empleado leal … ¿o cómplice del ciberdelincuente?



¿Se pueden aplicar ingeniería inversa a los métodos de reclutamiento de información privilegiada de los malos para revelar posibles amenazas internas? Vamos a ver.

Si bien la mayoría de los empleados no se unen a sus empresas con la intención de hacer daño, algunos terminan haciendo exactamente eso. Ya sea por descontento, activismo, malinterpretación o mera oportunidad, los empleados que salen mal crean un daño significativo a sus empleadores. Los ciberdelincuentes son buenos para encontrar a esas personas para que sirvan como sus cómplices, por lo que la pregunta es: ¿Por qué los empleadores no son buenos en eso también?

Tenga en cuenta que no solo los empleados pueblan el campo de las amenazas internas. Este panorama de amenazas «se extiende a socios, contratistas y terceros relacionados que están integrados con la organización y rápidamente se convierte en un problema difícil de resolver», dice Greg Foss, estratega senior de ciberseguridad en VMware Carbon Black.

Desafortunadamente, ninguna empresa es inmune a una amenaza interna.

«Sería audaz que cualquier empresa dijera: &#39No hay nadie en mi personalized que acepte un millón de dólares para conectar una memoria USB», dice Marcus Fowler, director de amenazas estratégicas de Darktrace, en una entrevista de octubre con Dim Leyendo. «Esa es una declaración audaz a menos, quiero decir, tal vez si eres una compañía de uno».

Las amenazas internas están aumentando y resultan en daños costosos. Según un Ponemon 2020 estudiar, el costo world promedio de las amenazas internas aumentó en un 31% en dos años a $ 11.45 millones, y la frecuencia de incidentes aumentó en un 47% en el mismo período de tiempo. El centro de costo total más alto está en contención, con un promedio de $ 211,533 por empresa al año. El costo de más rápido crecimiento está en las investigaciones, que ahora cuestan un 86% más que las investigaciones de hace tres años.

Y, según Carnegie Mellon, la revista US Magic formula Assistance and CSO encuesta, «desde aproximadamente 2004, del 40 al 45% de todos los incidentes son incidentes internos», dice Randy Trzeciak, director del National Insider Danger Center, que se encuentra en la división CERT del Software program Engineering Institute de la Carnegie Mellon College. «No es la mayoría, pero es solo menos de la mitad de los incidentes que experimenta una organización con información privilegiada, ya sea accidental o malicioso».

Además, casi tres de cada cuatro incidentes internos maliciosos se manejan internamente, sin «ninguna acción lawful o ninguna actividad policial», agrega. «Por lo tanto, estos incidentes no se informan significativamente».

Aunque varias tecnologías pueden ser útiles en la búsqueda de amenazas internas potenciales y activas, muchas fallan por las razones más simples.

«Si bien la mayoría de las herramientas de seguridad tradicionales buscan un comportamiento claramente malicioso, son los usuarios quienes simplemente aprovechan los sistemas, ya que están destinados a propósitos nefastos, los que son simultáneamente los más impactantes y los más difíciles de detectar antes del compromiso», dice Foss.

Los desafíos son innumerables, pero aquí hay algunas consideraciones para detectar empleados que pueden volverse contra su empresa.

Busque comportamientos sospechosos por parte de personas heterogéneas
«No los llamaría traidores, pero diría que están en una situación desafortunada», dice Josh Rickard, ingeniero de investigación de seguridad en Swimlane, que ofrece una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que investiga incidentes sospechosos. alertas y comportamiento del usuario.

Las tecnologías como el análisis del comportamiento de los usuarios pueden ayudar a las organizaciones a encontrar amenazas internas, «pero trabajar en estrecha colaboración con los gerentes de recursos humanos, legales y de línea directa brindará a las organizaciones información que la tecnología no proporcionará», dice Rickard.

Examina lo que miran los malos
Los ciberdelincuentes saben que reclutar personas con información privilegiada suele ser un juego largo, pero no siempre. Saber qué buscan los malos y dónde lo buscan, es esencial para encontrar y utilizar estas mismas pistas..

«Los actores de amenazas que se dirigen a su organización realizarán (inteligencia de código abierto) o reconocimiento de personas que pueden ser vulnerables debido a presiones financieras, descontento, ingeniería social u otras razones», dice Rickard. «Por ejemplo, si un empleado publicó información sobre tener deudas financieras o estar molesto por su empleador en las redes sociales, un actor de amenazas puede aprovechar estas declaraciones. En este punto, puede comenzar a construir una relación con esta persona. »

La buena noticia es que no todos los empleados caerán en la trampa. Por ejemplo, un empleado de Tesla rechazó un soborno de $ 1 millón para instalar malware para un atacante, dijo Fowler, quien recientemente se unió a Darktrace después de una carrera en la CIA. Culpa a los atacantes por no hacer sus deberes.

«Antes incluso de ofrecer el dinero, deberían haber llegado a un lugar para saber que este es un tipo de persona que aceptaría el dinero», dijo. «Y no debería haber sido una pregunta. Si traes un activo (humano), para cuando hagas la &#39revelación&#39, ya deberías saber: &#39Te unes a nosotros. Todos sabemos que esta pasando aqui.&#39»

Conozca las herramientas y tácticas de reclutamiento de los malos
Los actores maliciosos investigarán una organización para identificar a los empleados mediante el uso de herramientas como LinkedIn, ZoomInfo, Maltego con enlaces sociales y Jigsaw, según Daniel Wooden, vicepresidente asociado de consultoría de Bishop Fox. Los atacantes más avanzados incluso utilizarán servicios de pago como Pipl API, LexusNexis Westlaw y TransUnion TLOxp.

«Una vez que tienen una lista de objetivos, generalmente refinarán la lista investigando a los empleados individuales, prestando mucha atención a la función genuine, las habilidades y el conocimiento técnico, así como a los atributos más personales, como la ubicación, los registros de arrestos, la familia, las redes sociales presencia y otros datos disponibles públicamente que la gente tiende a exponer «, dice.

Una vez seleccionados sus objetivos blandos, los atacantes tienen que diseñar un program para comprometerlos «a fin de llevar a cabo un ataque con un propósito específico, ya sea obtener información confidencial no pública sobre una organización o persona o pedirle al empleado comprometido que proporcione credenciales de trabajo. a un servicio, o una miríada de otras cosas «, agrega Wood.

Brilla una luz en lugares oscuros
Monitorear la Dim World wide web debería ser un hecho. Pero los datos oscuros también deben monitorearse de cerca.

«La información que a menudo es más difícil de proteger son los datos oscuros y no estructurados que no se pueden traducir fácilmente en ceros y unos», dice Kon Leong, director ejecutivo y cofundador de ZL Systems. «En cambio, los datos oscuros son información creada por humanos para humanos, incluidos correos electrónicos, archivos compartidos y mensajes. Más del 80% de los datos de una empresa típica no están estructurados y, a pesar de la gran cantidad de información almacenada, pocos han tomado las medidas adecuadas para protegerlos. o aprovechar todo su potencial «.

Ser realista
En última instancia, tenga en cuenta que incluso estos consejos tienen un valor limitado. Su mejor opción es reforzar los lazos humanos entre el empleado y el empleador y abordar los problemas antes de que se conviertan en vulnerabilidades o oportunidades para atraer.

«Las amenazas internas han sido una realidad desafortunada durante mucho tiempo», dice Rolf von Roessing, socio y director ejecutivo de Forfa Consulting AG y vicepresidente de la junta de ISACA. «Si bien los métodos históricos como la verificación de antecedentes, el monitoreo de patrones de comportamiento y el análisis de historiales crediticios pueden haber sido comunes en el pasado, simplemente no podemos &#39aplicar ingeniería inversa&#39 a la mente humana para predecir si una infracción podría ocurrir a través de una persona u otra».

Escritora y analista prolífica, la obra publicada de Pam Baker aparece en muchas publicaciones importantes. También es autora de varios libros, el más reciente de los cuales es «Details Adivination: Massive Details Approaches». Baker también es un orador common en conferencias de tecnología y miembro … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original