Las amenazas internas son usuarios con acceso legítimo a los activos de la organización que causan daños de forma maliciosa o accidental. Las amenazas internas no son necesariamente empleados actuales, también pueden ser ex empleados, contratistas, o socios que tienen acceso a los sistemas o datos de una organización.
Dado que las amenazas internas representan el vector principal para el 60% de las violaciones de datos, las organizaciones deben analizar las amenazas que atraviesan su puerta todos los días con tanto rigor como se protege el perímetro contra los atacantes externos.
¿Por qué debemos tener cuidado con las amenazas internas?
En un informe reciente de SANS sobre amenazas avanzadas, los expertos identificaron brechas importantes en la defensa de amenazas internas impulsadas por la falta de visibilidad en una línea de base del comportamiento normal del usuario, así como la administración de privilegios en las cuentas de los usuarios, que representan un objetivo más atractivo para casos de phishing o robo de credenciales.
Detectar amenazas internas no es tarea fácil para los equipos de seguridad. Algunos usuarios ya tienen acceso legítimo a la información y los activos de la organización, el gran desafío es distinguir entre una actividad normal del usuario y una potencialmente maliciosa. Existen personas que saben donde residen los datos confidenciales dentro de la organización y, a menudo, tienen niveles elevados de acceso.
Como resultado, la violación de datos interna es más costosa para las organizaciones que una causada por un atacante externo. En el estudio "The Cost of insider Threats 2018" del Ponemon Institute, los investigadores detectaron que el costo promedio anual de una amenaza interna fue de $8.76 millones de dólares, mientras que el de una violación externa durante el mismo periodo fue de $3.86 millones.
4 Tipos de amenazas internas
No todos los colaboradores son iguales y varían mucho en motivación, conciencia, nivel de acceso e intención.
- PAWN. Los empleados son manipulados para realizar actividades maliciosas, a menudo involuntariamente, a través de Spear phishing o Ingeniería Social. Ya sea que descargue malware a su equipo o divulgue credenciales a un tercero que finja ser un empleado de la mesa de ayuda.
- Goof. No actúan con intenciones maliciosas, sino que realizan acciones deliberadas y potencialmente dañinas. Son usuarios ignorantes o arrogantes que creen que están exentos de las políticas de seguridad, ya sea por conveniencia o incompetencia. El 95% de las organizaciones tienen empleados que intentan activamente evitar los controles de seguridad y casi el 90% de los incidentes son causados por este tipo de acciones.
- Collaborator. Son usuarios que cooperan con un tercero para usar su acceso de manera que intencionalmente cause daño a la organización. Generalmente roban propiedad intelectual, información del cliente o causan interrupciones en las operaciones comerciales normales.
- Lone Wolf. Los lobos solitarios son completamente independientes y actúan maliciosamente sin influencia o manipulación externa. Son especialmente peligrosos cuando tienen niveles elevados de privilegios, como los administradores del sistema o de bases de datos.
¿Cómo prevenir las amenazas internas?
Para detectar eficazmente las amenazas internas, primero deben de comenzar cerrando las brechas de visibilidad agregando soluciones de monitoreo y gestión de eventos (SIEM) o integrando una solución de análisis de comportamientos de usuarios y entidades (UEBA) que pueden venir dentro de las funcionalidades de un DLP (Data Leak/Loss Prevention). Muchos comienzan con registros de acceso, autenticación y cambio de claves, para luego ampliarlo a medida que maduran los casos de uso de amenazas internas.
Una vez que la información se ha centralizado, se pueden modelar los comportamientos de los usuarios y asignar valores de riesgo específicos, como descargas a medios extraíbles. Con suficientes datos históricos se puede crear una línea base de comportamiento normal para cada usuario.
Hay varios tipos de amenazas internas que las organizaciones deben tener en cuenta y cada uno representa síntomas diferentes para que los equipos de seguridad los diagnostiquen. Al comprender las motivaciones de los atacantes, los equipos de seguridad pueden ser más proactivos en su enfoque para la defensa de éstas.
#ISO27001 #Insider #Amenazas #Vulnerabilidades #Amenazasinternas #Ciberseguridad #Cybersecurity
:background_color(white)/hotmart/product_contents/2725f7a4-d76a-46d7-aade-d11796bfd47c/EASYSECPLANDECIBERSEGURIDADDESCARGA.png)
1 Comentarios
(y)
ResponderBorrar¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.