0 Comentarios

Todo el mundo es consciente del peligro de amenazas internas en cuanto a seguridad se refiere. Varias veces al año escuchamos noticias sobre una nueva violación de datos causada por información privilegiada filtrada malintencionadamente. Uno de los ejemplo más recientes, podría ser la Autoridad de Salud del Estado de Washington (HCA) donde el 9 de febrero de 2016, los datos de más de 90000 pacientes fueron filtrados por un empleado.

La mayoría de estos informes provienen de instituciones gubernamentales o públicas, sin embargo esto no significa que las empresas privadas no sean susceptibles de amenazas internas. De hecho, los ataques internos son algo que las empresas de todo el mundo experimentan todos los días, pero que la gran mayoría opta por no hacer público, ya que puede dañar la reputación y conducir a una pérdida de clientes e inversores.

Un ataque interno en sí mismo es un término que abarca muchos tipos de acciones maliciosas, desde un robo de datos completamente intencional o fraude cometido con fines de lucro, hasta el sabotaje, espionaje industrial, incluso a errores no intencionados o inadvertidos . Teniendo estas acciones en común el hecho de que todos ellos están comprometidos por empleados con acceso legítimo al funcionamiento interno de la empresa. A menudo dichos empleados son gerentes, operadores de bases de datos, programadores o especialista, que trabajan con datos sensibles, infraestructura o configuraciones crítica de sistemas.

Tratar eficazmente con esta variedad de amenazas dentro de la organización es un proceso complejo y difícil que requiere un compromiso y esfuerzo importante dentro de las empresas. Una gestión de amenazas internas adecuada dará algunos resultados, pero para prevenir y detectar verdaderamente las amenazas internas, es necesario un enfoque de gestión de empleados diseñada de una manera específica.

Poner en practica todos los consejos y recomendaciones para lidiar con los insiders puede ser duro y lento. Esta es la razón por la cual las mejores prácticas las hemos juntado en seis grandes pasos con los que seremos capaces de prevenir eficazmente las amenazas de fugas de información privilegiada, poniendo las medidas necesarias para una detección eficiente y una pronta respuesta antes posibles ataques insiders que terminen en fuga de información privilegiada.

Entender las amenazas insiders

Con el fin de crear una seguridad realmente eficaz, primero debe comprender la naturaleza de una amenaza insider y los distintos tipos de ataques existen. Las amenazas internas de seguridad de la información provienen de personal interno que normalmente se definen como personas que tienen acceso legítimo a información restringida o confidencial o ha infraestructura crítica de la empresa.

Hay tres grupos principales que se pueden clasificar como insiders:

  • Empleados - Son el primer grupo que nos viene a la mente, los empleados actuales tienen acceso inmediato y legítimo a todos o la gran mayoría de los datos sensibles. El mayor peligro entre los empleados de la empresa, se plantea con los usuarios con cuentas privilegiadas. Estos usuarios tienen un nivel más alto de acceso y usualmente disfrutan de un alto nivel de confianza en al compañía, poniéndolos en la mejor posición para cometer acciones maliciosas.

  • Terceros - las empresas modernas y mas concretamente las del sector tecnológico, suelen estar afiliadas con una amplia gama de diferentes personas y organizaciones. Subcontratas, proveedores de servicios y socios comerciales tienen acceso a la red corporativa y a datos confidenciales que podrían utilizar para llevar a cabo ataques maliciosos.

  • Exempleados - mientras que técnicamente pierden su acceso legítimo al terminar el contrato, no todas las empresas se molestan en eliminar adecuadamente las credenciales inactivas. Si un exempleado descubre que sus credenciales siguen funcionando, puede usarlas para llevar a cabo acciones maliciosas. Otro peligro potencial es una puerta trasera o una bomba lógica (software malicioso que se apaga automáticamente después de un período de tiempo establecido) que el antiguo empleado puede dejar atrás para poder acceder al sistema o sabotear las operaciones comerciales, mucho después de que se vaya.

También es importante entender las razones comunes para cometer ataques con información privilegiada. En algunos casos, los cambios en el comportamiento de los empleados puede mostrar algunas pistas sobre lo que están planeando y permitirá prevenir un ataque interno antes de que se produzca.

  • Espionaje corporativo: los empleados pueden ser reclutados por la competencia a través de chantaje o soborno para transferir datos sensibles. Los casos de espionaje corporativo pueden ser muy difíciles de detectar. Si el empleado hace muchos viajes inesperados o de repente se tiene una afluencia de dinero, pueden ser acciones alarmantes.

  • Ganancia financiera personal: el empleado puede robar una base de datos de clientes para venderla en un mercado negro o comenzar un negocio competitivo. En este caso, a menudo se jacta ante sus colegas de ello, lo que puede ayudar a prevenir o detectar el ataque.

  • Venganza por injusticia - los empleados descontentos pueden llevar a cabo acciones maliciosas para devolver a la empresa la injusticia percibida por ellos. Las acciones maliciosas de venganza a menudo están diseñadas para generar tanto daño a la empresa como sea posible e interrumpir los procedimientos de negocio.

  • Errores no intencionados - en muchos casos, una fuga de información resulta ser un simple error por parte de un empleado, ya sea por hacer un clic en un enlace de correo electrónico sospechoso, decirle la contraseña a un colega, o enviar datos confidenciales a la persona equivocada. La posibilidad de tales amenazas involuntarias debe tenerse en cuenta y su prevención debe incluirse como parte de una estrategia general de prevención de ataques insider en la empresa.

Comprender la naturaleza de los ataques insiders es un paso importante que ayudará a llevar a cabo una evaluación de riesgo más completa y así poder definir las principales debilidades de seguridad.

Administración de credenciales

Debe organizarse el trabajo asignando credenciales de tal manera que se limite el número de cuentas privilegiadas, restringiendo el acceso a la información sensible tanto como sea posible, creando un entorno de trabajo desfavorable para acciones maliciosas.

Para lograr esto, hay dos principios principales que se deben seguir:

  • Principio de privilegios mínimos : cada nueva cuenta, de forma predeterminada debe crearse con el nivel de privilegios más bajo posible. El nivel de privilegios sólo debe ser elevado si es necesario. De esta manera se limita el número de cuentas privilegiadas dentro de la organización y nos aseguramos de que todas ellas tienen un propósito específico y están constantemente en uso.
  • Principio de separación de funciones: las funciones dentro de la organización deben ser divididos entre individuos tanto como sea posible, promoviendo la colaboración cada vez que una tarea compleja necesite ser resuelta. Estadísticamente, los empleados son mucho menos propensos a realizar acciones maliciosas cuando están colaborando con otros empleados. Por ejemplo, las acciones, como la copia de seguridad y la restauración de datos, deben separarse entre diferentes personas si es posible.

Los dos principios mencionados trabajan juntos para minimizar las oportunidades de ataques con información privilegiada, fortaleciendo una postura general de seguridad de los datos de la organización.

Evaluación de riesgos exhaustiva

La evaluación de riesgos es un proceso necesario que permite identificar todos los puntos débiles de nuestra seguridad actual, dando una comprensión clara de lo que necesita ser securizado.

Hay tres pasos principales para la evaluación de riesgos:

  • Identificar potenciales menazas
  • Identificar las vulnerabilidades de la organización ante estas amenazas
  • Identificar cuánto daño se produciría en caso de este tipo de ataque

La información recibida dará una comprensión clara de qué medidas de seguridad deben implementarse y cómo se debe priorizar su implementación.

La evaluación del riesgo debe llevarse a cabo periódicamente, así como en el momento en que se introduzcan cambios importantes en la seguridad o en la infraestructura de la red. Las amenazas internas deben examinarse como parte integral de un proceso de evaluación de riesgos. Como resultado, se debe obtener una comprensión clara de la efectividad de las medidas de prevención y protección de amenazas internas y cómo fortalecerlas.

En general, los resultados de una evaluación de riesgo deben ser utilizados para construir y revisar la estrategia general de seguridad de la compañía, incluyendo la protección de las amenazas internas y externas.

Trabajar en el conocimiento de la seguridad de los empleados

En muchos casos, las infracciones de seguridad son causadas directamente por los empleados, que descuidan las reglas y las prácticas de seguridad más simples. Tales negligencias se dan tan a menudo que, que la educación en seguridad dentro de la empresa, debería ser continua. Los empleados son a menudo completamente inconscientes de ciertas prácticas de seguridad, o están dispuestos a saltarse dichas normas en favor de su propia conveniencia, sin darse cuenta de la gravedad de las consecuencias que pueden provocar, siendo el típico caso, el de "sacar el trabajo adelante".

La única manera de remediar esta situación es llevar a cabo una formación de sensibilización de seguridad con el fin de familiarizar a los empleados con las últimas tendencias en seguridad y hacerles conscientes de cómo afectan ellos mismos a la seguridad cibernética de la empresa. Esto ayudará a reducir significativamente el número de errores cometidos por los empleados (ya que si son conscientes de las graves consecuencias de sus acciones, les inducirá a ser más cuidadosos), protegiéndose por ejemplo de la ingeniería social. Sabrán no sólo ignorar los enlaces en los correos electrónicos de spam, sino que también informarán a un compañero de trabajo de acciones inadecuadas.

Al hacer que los empleados sean conscientes de las medidas de seguridad que se están tomando para controlar las amenazas internas, aislamos muchos problemas a un lado, creando un ambiente de trabajo saludable, basado en la confianza y disuadiendo a algunos de que lleven a cabo ataques insider.

Gestión de cuentas y contraseñas

El uso de cuentas compartidas o predeterminadas es una práctica frecuente y extendida en muchas organizaciones. Sin embargo, esto puede permitir que ciertos empleados obtengan acceso a cuentas privilegiadas que no deben tener. Prohibir el uso de cuentas compartidas sin control, es imprescindible para una seguridad confiable.

También nos debemos asegurarse de que las cuentas están completamente protegidas por contraseñas complejas únicas, cambiadas de forma regular. Debemos cambiar inmediatamente cualquier contraseña por defecto que nuestra empresa pueda utilizar para cualquier software o hardware. Estas contraseñas suelen ser públicas y permitirán a los hackers y a los usuarios maliciosos tomar el control de los sistema fácilmente. Otra cosa importante es prohibir el uso compartido de contraseñas entre los empleados, así como el uso de una sola contraseña en varias cuentas sin ningún tipo de control. Con estos pequeños controles, no sólo estamos haciendo más difícil la vida a los insiders, sino que también estamos protegiendo los datos de ataques ajenos.

Otra forma de reforzar la seguridad en las cuentas y asegurarnos de que una cuenta es utilizada por la persona correcta, es implementar un segundo factor de autenticación. Este sistema, implementado con dispositivos móviles o con tokens físicos, puede utilizarse para confirmar de forma fiable la identidad de la persona que intenta iniciar sesión, sirviendo como red de seguridad en caso de que se haya comprometido una contraseña.

Realizar un seguimiento

Monitorizar a los empleados es una gran prevención, existiendo herramientas de detección que ayudarán a disuadir eficazmente a los insiders y asegurando la integridad de los datos confidenciales. Un software profesional de monitorización, o un SIEM, dará una visibilidad completa de lo que los usuarios están haciendo, lo que proporciona la capacidad de detectar rápidamente los ataques de fuga de información, localizando si existe un culpable y emitiendo la consiguiente respuesta oportuna.

  • Supervisar las acciones del usuario. Muchas empresas se limitan a acceder a la supervisión o los logs de inicio de sesión del software y los sistemas que estamos utilizando. Sin embargo, en la mayoría de los casos esto no es suficiente, ya que el usuario podrá disimular fácilmente sus acciones dentro de su trabajo regular, modificando o desactivar la mayoría de los registros internos, o simplemente pasando desapercibido ante la rutina. Es mejor llevar a cabo un monitorización exhaustiva de las acción del usuario usando soluciones de monitorización dedicadas. Este software estará completamente protegido de la manipulación (Mandamos la información a un SIEM), siendo capaces de producir un registro completo de las acciones del usuario, permitiendo detectar de manera eficiente los ataques insiders.

  • Supervisar usuarios privilegiados. Los usuarios con cuentas privilegiadas suelen trabajar directamente con datos sensibles o con configuraciones críticas del sistema, teniendo todas las herramientas necesarias para realizar acciones maliciosas, pudiendo al mismo tiempo, desactivar cualquier supervisión predeterminada. Es importante utilizar herramientas diseñadas específicamente para manejar a dichos usuarios , como vimos con las soluciones PAM.

  • Monitorización de terceros y usuarios remotos. Terceros, como proveedores de servicios y subcontratas, no tienen necesariamente el mismo nivel de seguridad tanto de las amenazas internas como externas como se puede tener en nuestra propia organización. Cuando se accede a los datos confidenciales de forma remota, ya sea por terceros o por nuestros propios empleados, debemos asegurarnos de que se transfieran datos, sólo cuando estén cifrados, teniendo todas las sesiones remotas completamente supervisadas. Esto permitirá evitar los malicious insiders , asegurándose de que los empleados en remoto, no usen mal los datos confidenciales.

  • Alertas personalizadas y análisis de comportamiento. Uno de los mayores desafíos de la monitorización de acciones, es el procesamiento y tratamiento eficiente de una gran cantidad de datos recibidos. Las soluciones de monitorización, generalmente emplean sistemas de alerta personalizables que se pueden usar para crear alertas que se adapten mejor a nuestras situaciones particulares. Dichas alertas se dispararán en determinados eventos sospechosos, permitiendo que el personal de seguridad compruebe si hay una violación de datos o un uso indebido. Algunas soluciones utilizan sistemas de análisis de comportamiento más sofisticados que intentan detectar eventos sospechosos automáticamente. Dichos sistemas son muy recomendables y pueden dar buenos resultados, aunque son mucho más caros y tienden a producir muchos falsos positivos, por lo menos en un primer momento, hasta que son refinados.

Conclusión

Hemos visto a lo largo de estas seis pequeñas recomendaciones, como podemos prevenir los ataques insider , seis pequeños consejos que generan mucho impacto dentro de las organizaciones, que no son fáciles de alcanzar, pero que una vez puestos en marcha, podemos ver claramente una gran reducción, principalmente de acciones no malintencionadas, pero que podrían haber provocado graves daños si no se hubiesen localizado. Desde nuestro blog de seguridad , intentamos mejorar día a día, y hoy hemos intentado mejorar en el control de los ataques insiders , de su monitorización y mitigación. Espero que os sea de ayuda la información, y ahora, lo mas dificil de todo, poner estas buenas practicas en marcha.

Ruben.Ramiro

Profesional en Tecnologías de la seguridad y ciberseguridad en Telefónica. Apasionado de los MOOC y la autoformación. Si me tuviese que definir, tendría que ir muchísimo al gimnasio. UHHA!

Comentarios