Durmiendo con el enemigo
José Luis Laguna, Systems Engineer Manager Fortinet Iberia
27/11/2019Por un lado, nos encontramos con el intruso malicioso. Se trata de usuarios que causan daño de forma deliberada a través de actividades como el fraude, el robo de datos o de información de carácter personal y el sabotaje. Entre ellos podemos encontrarnos con empleados descontentos, individuos con intereses políticos, usuarios que aprovechan para cometer ciberespionaje o ciberterrorismo en nombre de un competidor, de grupos políticos o de estados nacionales, o simplemente alguien con una motivación económica. En referencia a este tipo de infiltrados, el 60% de las empresas indicaron que estaban preocupadas por esta amenaza.
Otro perfil es el del empleado negligente. Se trata de un individuo que, sin intereses maliciosos, apela a la productividad para aplicar políticas de evasión. Sus actividades pueden ir desde crear una puerta trasera secreta en la red para poder acceder y solucionar problemas de los sistemas o trabajar de forma remota, hasta implementar un sistema de contraseñas fácil de comprometer para los dispositivos en red, pasando por no comprobar las configuraciones en busca de errores que luego se extienden a otros dispositivos. El 65% de las compañías mostraron su preocupación por el riesgo que conllevan sus acciones. De hecho, el riesgo de estos usuarios es alto, ya que casi siempre tienen acceso privilegiado a sistemas y dispositivos, como bases de datos y servidores de archivos. Si bien es posible que no tengan la intención de dañar a la organización, su negligencia puede tener un impacto significativo en el negocio. Los sistemas mal protegidos, por ejemplo, tienen muchas más probabilidades de ser descubiertos y comprometidos por los atacantes y el malware. Y los dispositivos mal configurados por sí solos pueden hacer que los sistemas críticos fallen.
Por último, nos encontramos con el descuidado. Estos individuos simplemente han cometido un error por descuido que conduce a un fallo inadvertido en el sistema, a una brecha de datos o a una violación accidental. Puede producirse por algo tan simple como hacer clic en un archivo adjunto malicioso dentro de un correo electrónico de phishing o navegar por sitios web maliciosos, hasta olvidarse de proteger el router o servidor. Al igual que los usuarios negligentes, cuanto más privilegio tienen, mayor es el impacto de sus descuidos. Como es un comportamiento que pasa inadvertido, es mucho más difícil de prevenir. Por ello, el 71% de las organizaciones lo consideran preocupante.
Los privilegiados, los más peligrosos
La lista de infiltrados internos potencialmente peligrosos está encabezada por los usuarios y administradores de TI con privilegios. No solo tienen mayor acceso al funcionamiento interno de los sistemas y dispositivos, sino que su comportamiento puede resultar más dañino que el de otros. Sin embargo, cualquier empleado puede tener un impacto significativo en la red, al igual que el personal externo, los proveedores de servicios o los altos ejecutivos.
Muchos de los ataques actuales están diseñados para aumentar los privilegios, por lo que incluso un trabajador temporal con acceso severamente restringido puede crear serios estragos dentro de una organización. Esta amenaza puede agravarse cuando existe más de un riesgo, como cuando un usuario introduce malware en una red que también ha implementado contraseñas débiles o dispositivos mal configurados por los usuarios.
Más de dos tercios de las organizaciones creen que los ataques con información privilegiada han sido más frecuentes durante el último año.
Además del caos general que puede provocar una persona con información privilegiada, hay sistemas específicos que son los que tienen más probabilidades de ser atacados. Puesto que la motivación económica es la más habitual entre los ciberatacantes, los sistemas financieros se sitúan a la cabeza de la lista de recursos en riesgo. Sin embargo, en los ataques de espionaje industrial, los recursos de I+D y los sistemas de soporte a clientes son los objetivos principales.
Un elemento común en casi todos los ataques es la búsqueda de los datos, ya sea para robarlos o para destruirlos. Y el rey de los datos es la información del cliente. La IIP del usuario (Información Personal Identificable) que puede ser extraída y vendida en el mercado negro puede generar importantes recompensas económicas para el atacante interno. En segunda instancia se encuentra la propiedad intelectual que puede venderse a los competidores o guardarse para pedir rescate y los datos financieros que pueden utilizarse para traficar con información privilegiada.
El arte de pasar desapercibido
La preocupación por las amenazas internas no es un simulacro. Más de dos tercios de las organizaciones creen que los ataques con información privilegiada han sido más frecuentes durante el último año, y casi la mitad de las empresas confirman haber experimentado entre uno y cinco incidentes críticos causados por una persona con información privilegiada en los últimos doce meses.
Las razones son variadas, desde la falta de concienciación y formación de los empleados hasta la insuficiente protección de los datos. Sin embargo, una de las tendencias más preocupantes es la cantidad de datos que se mueve fuera del perímetro del centro de datos tradicional debido al auge de los dispositivos móviles, una mayor dependencia de las aplicaciones web y la rápida transferencia de datos a la nube. Partiendo de que un empleado bienintencionado con una tarjeta de crédito puede suscribirse a un servicio en la nube que ni siquiera conoce y luego almacenar datos allí, lo que se conoce como shadow IT (TI en la sombra), el potencial de compromiso negligente o incluso malicioso de los datos sigue aumentando.
Un elemento común en casi todos los ataques es la búsqueda de los datos, ya sea para robarlos o para destruirlos.
El mayor desafío de estas amenazas es que son muy difíciles de identificar. Estas personas con información privilegiada ya tienen acceso con credenciales a la red y a los servicios, por lo que se activan muy pocas alertas, si es que se activan, cuando empiezan a comportarse de forma anómala. Y con el aumento de la cantidad de datos que ya están saliendo del perímetro de la red tradicional, es más fácil que nunca ocultar el robo de datos.
10 medidas para combatir el riesgo de las amenazas internas
No existe una píldora mágica para solucionar estos problemas. Requiere planificar, implementar y reorientar las tecnologías, y obtener una visión holística de toda la red, en un momento en el que muchas organizaciones están sufriendo los retos de visibilidad derivados de la transformación digital y la proliferación de proveedores. He aquí 10 estrategias que ayudan a minimizar el riesgo de amenazas internas:
- Capacite a los empleados para ver y reportar actividades sospechosas. Realice comprobaciones de los antecedentes de los usuarios a los que se ha concedido acceso privilegiado a los recursos digitales.
- Implemente herramientas que supervisen el comportamiento y las actividades de los usuarios, incluida la violación de políticas y aproveche el machine learning para detectar comportamientos inusuales.
- Segmente la red para limitar la actividad a áreas específicas de la red. Para operaciones más sensibles, un modelo de confianza cero puede ser especialmente efectivo.
- Implemente herramientas de gestión de la configuración que puedan evaluar e identificar rápidamente los dispositivos mal configurados.
- Supervise el acceso a los datos y las transferencias de archivos, e invierta en tecnologías de seguimiento de archivos.
- Implemente un proceso de prevención de fuga de datos (DLP) y tecnologías relacionadas.
- Reforzar la gestión de identidades y accesos (IAM), incluido el uso de la autenticación multifactor.
- Cifre los datos en movimiento, en uso y en reposo. Invierta en tecnologías que puedan inspeccionar datos cifrados a alta velocidad.
- Utilice una herramienta SIEM para correlacionar la información sobre amenazas recopilada a través de la red e identificar los eventos que son imposibles de detectar mediante la correlación manual.
- Utilice tecnologías fraudulentas y honeypots para detectar la actividad que se desvía de las tareas asignadas.
Los atacantes siguen ejerciendo presión sobre toda la superficie de ataque en busca de un fallo a explotar. Sin embargo, al combinar la disuasión y la detección con la automatización, las organizaciones pueden adoptar un enfoque mucho más proactivo para detectar y mitigar las amenazas internas, al tiempo que mantienen al personal de seguridad centrado en tareas de alto nivel como la planificación estratégica y el análisis de amenazas.