Amenazas Internas: anatomía de un ataque

Jesús Calle, Security AAmbassador de CAD Security, analiza las amenazas internas de las compañías en tiempos de COVID

Jesús Calle, Security Ambassador de CAD Security, analiza las amenazas internas de las compañías en tiempos de COVID

El 60% de las amenazas internas involucran a empleados que planean dejar su empresa en un tiempo determinado

 

Los principales estudios de amenazas internas muestran que la mayoría de los «riesgo de fuga» provienen de los empleados que planean abandonar una organización y tienden a comenzar a robar datos de dos a ocho semanas antes de irse.

Más del 80% de los empleados que planean abandonar una organización traen sus datos con ellos.

Estas personas con «riesgo de fuga» estuvieron involucradas en aproximadamente el 60% de las amenazas internas analizadas.

Amenazas Internas sobre la mesa

La mayoría de las amenazas internas implican la filtración de datos confidenciales (62%), aunque otras incluyen el uso indebido de privilegios (19%), la agregación de datos (9.5%) y el sabotaje de infraestructura (5.1%).

Los empleados que planean una salida comienzan a mostrar el llamado comportamiento de riesgo de salida entre dos semanas y dos meses antes de su último día.

La mayoría de las personas que extraen información confidencial lo hacen por correo electrónico, un patrón detectado en casi el 44% de los casos.

El siguiente método más popular es cargar la información en sitios web de almacenamiento en la nube (16%), una técnica que se está volviendo popular a medida que más organizaciones confían en software de colaboración en la nube como Dropbox u otros similares.

También se sabe que los empleados roban información corporativa mediante descargas de datos (10.7%), dispositivos extraíbles no autorizados (8.9%) y espionaje de datos a través de SharePoint (8%), inclusive fotografiando pantallas en un procentaje menor.

El efecto pandemia aumenta el nivel de amenaza

Las amenazas internas de hoy en día se ven diferentes a las de hace unos años, sostiene Jesus Calle, Security Ambassador de CAD Security.

Las herramientas en la nube han facilitado que los empleados compartan archivos con cuentas no comerciales, creando un desafío para los equipos de seguridad.

«El problema con estas herramientas de colaboración en la nube, desde el punto de vista del empleado, acelera la posibilidad de la fuga de datos, es que los administradores de TI y los equipos de operaciones de seguridad no tienen mucha visibilidad de lo que sucede con respecto a cómo los usuarios comparten los datos», explica Jesús Calle.

La nueva normalidad trae nuevos desafíos

Muchas empresas producto de la pandemia han adoptado la nube, o están en el proceso de adoptar la nube, porque es una prioridad comercial, pero la seguridad a menudo se queda atrás.

Los equipos de operaciones de seguridad de TI, especialmente en las grandes empresas, luchan por sacar conclusiones de las amenazas internas debido a la falta o diferencias entre las políticas y los procedimientos de cada línea de negocios.

Las herramientas para detectar la agregación de datos a menudo son vitales, pero requieren un contrato de uso de herramientas informáticas para cubrir aspectos legales.

Fundamentalmente las empresas tienen problemas para clasificar los datos considerados confidenciales.

A medida que más compañías confían en sus empleados para hacer lo correcto mientras usan aplicaciones en la nube, se hace más difícil descubrir cuándo alguien se ha vuelto deshonesto.

«Basado en mi experiencia, puedo asegurar que cada vez es más difícil diferenciar lo anormal de lo normal», explica Jesús Calle.

Detectar las banderas rojas en el escenario

Hay dos maneras de detectar las amenazas internas.

En la primera etapa, las empresas pueden buscar mayores instancias de un empleado que intente acceder a ciertos sitios web.

Su actividad de navegación incluirá más tiempo en sitios web de búsqueda de empleo; pueden enviar un currículum por correo electrónico a terceros.

Si el trabajador en cuestión es un administrador, eso es aún más alarmante, para mantener la sustentabilidad de los datos, afirma Jesús Calle.

Cita instancias en las que alguien intenta acceder a ciertas cuentas administrativas o sitios de SharePoint.

Este tipo de comportamiento no es necesariamente malo, señala, pero provoca una mirada más cercana.

En la segunda etapa de detección de un riesgo de fuga, las personas que exhiben el comportamiento inicial anómalo.

Ellos comienzan a mover información considerada confidencial por correo electrónico, herramientas de colaboración o USB.

El uso de dispositivos USB ha seguido disminuyendo por dos razones principales:

Más organizaciones han comenzado a bloquear o restringir el uso de USB.

Los empleados se están volviendo cada vez más dependientes de las herramientas basadas en la nube.

Los correos electrónicos a una cuenta individual suelen ser más sospechosos que los correos electrónicos a varias personas.

Es poco probable que una persona con información privilegiada involucre a un grupo en un esquema de extracción de datos.

Con respecto al mal uso de la cuenta privilegiada, los comportamientos específicos que podrían conducir a una amenaza interna.

Estos incluyen elusión de los controles de TI (24.3%), anomalía de geolocalización (18.9%), alteración de registros de auditoría poco común y comando sospechoso ejecutado (16.2%).

El uso compartido de cuentas ocupa un (13.5%), anomalía de autenticación (10.8%) y autoescalada de privilegios (8.1%).

El tipo de datos robados varía, la mayoría de los empleados que planean dejar una empresa toman cosas en las que trabajaron.

Percepción de Derechos

Alguien que pasó la mayor parte de su tiempo en un proyecto puede sentirse con derecho a él; sin embargo, su empleador puede sentir todo lo contrario.

La mayoría de las personas intentan filtrar los archivos de Microsoft Office y PDF.

El código fuente suele ser otro tipo común de datos robados.

Los datos objetivo también varían según la vertical de la industria.

En productos farmacéuticos y ciencias de la vida, donde se produjo el 28,3% de los incidentes, los iniciados pueden tener como objetivo la propiedad intelectual valiosa.

Las empresas más pequeñas y medianas quieren contar con herramientas para brindar protección a sus activos.

En este caso Zecurion puede ofrecerle alternativas en la nube, para adaptarse a su presupuesto escaso.

La instalación de un DLP como Zecurion en todos los casos se vuelve prioritaria.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam