Una amenaza interna es un riesgo de seguridad para una organización que proviene del propio negocio. Puede tener su origen en empleados actuales o antiguos, contratistas o cualquier otro socio comercial que tenga -o haya tenido- acceso a los datos y sistemas informáticos de una organización. Debido a que se origina desde dentro y puede ser intencional o no, una amenaza interna es una de las más costosas y difíciles de detectar de todos los tipos de ataque.
Tipos de amenazas internas
Hay múltiples tipos de amenazas internas que se definen en la intención y la motivación de las personas involucradas.
- Las personas internas «negligentes» pueden no tener la intención de poner en riesgo a la organización, pero lo hacen de manera no maliciosa al comportarse de manera insegura. Estas personas internas pueden no responder a los ejercicios de concienciación y formación en materia de seguridad o pueden cometer errores aislados ejerciendo un mal juicio. En cualquiera de los dos casos, la negligencia se cita a menudo como el tipo de riesgo más caro para los empleados.
- Las personas internas «colusorias» colaborarán con actores de amenazas externas maliciosas para comprometer la organización. Aunque es arriesgado y poco frecuente, este tipo de amenaza interna es cada vez más común, ya que los ciberdelincuentes profesionales utilizan cada vez más la web oscura para reclutar empleados como aliados. Estos casos suelen implicar fraude, robo de propiedad intelectual o una combinación de ambos, lo que puede hacerlos muy costosos. Este tipo de colusión también puede tardar más en detectarse, ya que los actores maliciosos de amenazas externas suelen conocer bien la tecnología de seguridad y las estrategias para evitar la detección.
- Los «insiders» maliciosos exfiltran datos o cometen otros actos negativos contra la organización con el objetivo de obtener recompensas económicas u otros beneficios personales. Los insiders maliciosos que buscan una segunda fuente de ingresos suelen exfiltrar datos lentamente a cuentas personales para evitar ser detectados. Otro tipo de infiltrado malicioso, el empleado descontento, tendrá como objetivo sabotear deliberadamente una empresa o robar su propiedad intelectual. Se les puede ver peinando información sensible de la empresa o completando grandes exportaciones de datos, especialmente en el momento en que renuncian a su puesto o dan el aviso habitual de dos semanas antes de dejar un puesto.
- Los insiders «de terceros» son contratistas o proveedores a los que una empresa suele dar algún tipo de acceso a su red. Estos «insiders» pueden tener empleados que entran en alguna de las categorías anteriores o simplemente pueden tener fallos en sus propios sistemas y dispositivos que abren vulnerabilidades a los atacantes.
- Resolver la enigmática amenaza interna
- Detección de movimientos laterales a través de la creación de servicios remotos
- Lecciones para los equipos de seguridad a partir de las mega brechas de la temporada
Riesgos que suponen las amenazas de los «insiders»
Los «insiders» son especialmente peligrosos porque, a diferencia de los «outsiders» que trabajan para penetrar en la organización, suelen tener acceso legítimo a los sistemas informáticos y a la red, que necesitan para realizar su trabajo diario. Si se abusa de estas autorizaciones o se aprovechan para perjudicar a la organización, los resultados pueden ser catastróficos y costosos para la empresa.
Cuando trabajan activamente para poner en peligro una organización, los iniciados también tienen una ventaja, ya que suelen conocer la estructura de datos de la empresa y dónde reside la propiedad intelectual. También pueden saber cómo se protege esa información, lo que les facilita eludir cualquier medida de seguridad.
Debido a que una persona interna ya tiene acceso directo a la organización y a su red y no necesita hackear el perímetro exterior, las amenazas internas suelen ser más difíciles de defender que los ataques de personas externas. También son más difíciles de detectar, ya que los movimientos de las amenazas internas a menudo se mezclan con los comportamientos justificados de la empresa.
Detección de las amenazas internas
Las amenazas internas pueden evadir fácilmente las defensas existentes, lo que hace más difícil su detección. Sin embargo, la familiaridad y el acceso a los datos sensibles que tienen los insiders hace que la detección sea crítica. Dado que las amenazas internas pueden mezclarse con actividades justificadas por el negocio, los equipos de seguridad deben ser capaces de mirar más allá de los artefactos individuales para descubrir comportamientos y otros patrones que puedan indicar un compromiso. Estos patrones variarán dependiendo del tipo de amenaza interna.
La probabilidad de detectar a un insider, y los puntos dentro del ciclo de vida del ataque en los que es probable que se descubra es diferente para cada tipo de amenaza interna. Los insiders negligentes pueden ser detectados identificando sus vulnerabilidades existentes antes de que sean comprometidas, identificando cuando sus credenciales son comprometidas o si sus credenciales son aprovechadas para el comando y control, o descubriendo un movimiento lateral inusual que se origina con ese usuario. Las personas con información privilegiada colusoria se detectan con mayor frecuencia cuando se comunican con sus colaboradores externos maliciosos o les pasan datos. Los usuarios internos maliciosos pueden mostrar un patrón de acceso o exfiltración de información que no necesitan o a la que no deberían tener acceso. Los terceros con información privilegiada también pueden ser identificados de todas estas maneras.
Al detectar las amenazas internas, es vital que las organizaciones tengan una imagen completa de los dispositivos, personas y otras entidades sin requerir registros o agentes de punto final en toda su red, ya que a menudo pueden no estar disponibles. Estos deben ser rastreados incluso cuando las direcciones IP cambian, con el fin de identificar datos y patrones de comportamiento. Los equipos de seguridad también deben tener acceso a un contexto completo en torno a estas entidades, incluidos los perfiles de dispositivos y usuarios con una función empresarial, las direcciones de correo electrónico, los dominios visitados, los archivos a los que se ha accedido, las relaciones y mucho más.
Detección de amenazas internas & Investigación
Awake detecta los ataques de amenazas internas que se mezclan con la actividad justificada por el negocio mediante la identificación de anomalías y malas intenciones. La plataforma Awake Network Detection and Response analiza los datos de captura de paquetes completos para extraer cientos de señales relevantes para la seguridad, deduciendo y perfilando entidades como dispositivos y dominios, así como sus comportamientos y relaciones. También captura el conocimiento institucional del equipo, incluyendo el contexto empresarial que puede iluminar los roles de los usuarios y los comportamientos de referencia. La plataforma permite entonces la detección del comportamiento de las TTP de los atacantes y de las amenazas específicas de la organización. Toda la actividad se correlaciona en una línea de tiempo de la amenaza que abarca IOCs, TTPs, y no malware. Este proceso permite la clasificación automática con puntuaciones de riesgo para cada dispositivo y dominio.
Este nivel de visibilidad y análisis forense detallado sólo era posible anteriormente para los expertos en seguridad más sofisticados del mundo, e incluso entonces, sólo era posible a través de un proceso manual que consumía mucho tiempo, lo que significaba que las amenazas internas se descubrían tardíamente, si es que se descubrían. Awake ha hecho que la detección de amenazas internas sea accesible para cualquier organización, independientemente de su tamaño, presupuesto o sofisticación, permitiendo a los equipos de seguridad llevar a cabo una respuesta concluyente y rápida aprovechando la inteligencia exhaustiva de la red.
También puedes ver
.