- \n
- Malware:<\/strong> Son programas maliciosos dise\u00f1ados para da\u00f1ar sistemas o robar informaci\u00f3n. Esto incluye virus, troyanos, ransomware y spyware, entre otros.<\/li>\n
- Ataques de phishing:<\/strong> Los ciberdelincuentes env\u00edan correos electr\u00f3nicos o mensajes falsos que parecen leg\u00edtimos para enga\u00f1ar a los usuarios y hacer que revelen informaci\u00f3n confidencial, como contrase\u00f1as o datos bancarios.<\/li>\n
- Ataques de ingenier\u00eda social:<\/strong> Los atacantes manipulan psicol\u00f3gicamente a las personas para obtener acceso no autorizado a sistemas o informaci\u00f3n confidencial. Esto puede incluir el enga\u00f1o a empleados para revelar contrase\u00f1as o informaci\u00f3n sensible.<\/li>\n
- Vulnerabilidades de software:<\/strong> Los sistemas y aplicaciones con fallas de seguridad pueden ser explotados por los atacantes para obtener acceso no autorizado. Es crucial mantener los sistemas actualizados y aplicar parches de seguridad.<\/li>\n
- Ataques de denegaci\u00f3n de servicio (DDoS):<\/strong> Los atacantes inundan los servidores o redes con tr\u00e1fico malicioso para sobrecargarlos y dejarlos inaccesibles para los usuarios leg\u00edtimos.<\/li>\n
- Fuga de datos:<\/strong> La p\u00e9rdida o exposici\u00f3n no autorizada de informaci\u00f3n confidencial puede resultar en da\u00f1os significativos, tanto para las organizaciones como para los individuos afectados.<\/li>\n<\/ol>\n
Para abordar las amenazas internas y detectar casos de exfiltraci\u00f3n de datos a trav\u00e9s de aplicaciones en la nube, puedes utilizar las siguientes t\u00e9cnicas:<\/p>\n
- \n
- Supervisi\u00f3n de actividad de usuarios:<\/strong> Implementa soluciones de monitoreo y registro de actividad de usuarios en tus sistemas y aplicaciones en la nube. Estas soluciones te permitir\u00e1n rastrear y analizar el comportamiento de los usuarios, identificando actividades sospechosas o inusuales, como transferencias masivas de datos o accesos no autorizados.<\/li>\n
- An\u00e1lisis de registros y eventos:<\/strong> Utiliza herramientas de an\u00e1lisis de registros y eventos para identificar patrones y anomal\u00edas en los registros de actividad de tus sistemas en la nube. Estas herramientas pueden ayudarte a detectar actividades sospechosas, como intentos de acceso no autorizado, cambios inusuales en los permisos de archivos o actividades fuera de horario laboral.<\/li>\n
- Seguimiento de datos confidenciales:<\/strong> Implementa soluciones de clasificaci\u00f3n y etiquetado de datos confidenciales en tus sistemas en la nube. Estas soluciones te permitir\u00e1n identificar y rastrear la ubicaci\u00f3n y el movimiento de datos sensibles, lo que facilitar\u00e1 la detecci\u00f3n de cualquier intento de exfiltraci\u00f3n de datos.<\/li>\n
- Control de accesos y privilegios:<\/strong> Establece pol\u00edticas de control de accesos y privilegios en tus sistemas en la nube. Asigna permisos de acceso de acuerdo con el principio de “menos privilegios”, lo que significa que los usuarios solo deben tener acceso a la informaci\u00f3n y funcionalidades necesarias para realizar sus tareas. Esto reducir\u00e1 la superficie de ataque y limitar\u00e1 las oportunidades de exfiltraci\u00f3n de datos.<\/li>\n
- Alertas y notificaciones:<\/strong> Configura alertas y notificaciones para recibir avisos en caso de actividades sospechosas o intentos de exfiltraci\u00f3n de datos. Estas alertas pueden enviarse a los administradores del sistema o a equipos de seguridad cibern\u00e9tica para una r\u00e1pida respuesta y mitigaci\u00f3n.<\/li>\n
- Capacitaci\u00f3n y concienciaci\u00f3n:<\/strong> Realiza programas de capacitaci\u00f3n y concienciaci\u00f3n sobre seguridad cibern\u00e9tica para tus empleados. Ens\u00e9\u00f1ales sobre las amenazas internas y c\u00f3mo detectar y reportar actividades sospechosas. La concienciaci\u00f3n sobre seguridad cibern\u00e9tica es fundamental para fomentar una cultura de seguridad en toda la organizaci\u00f3n.<\/li>\n
- Auditor\u00edas de seguridad:<\/strong> Realiza auditor\u00edas regulares de seguridad en tus sistemas en la nube para identificar posibles vulnerabilidades o brechas de seguridad. Estas auditor\u00edas te ayudar\u00e1n a fortalecer tus medidas de seguridad y a mantener un entorno seguro para tus datos confidenciales.<\/li>\n<\/ol>\n
Recuerde que estas t\u00e9cnicas son solo algunas de las muchas medidas que puedes implementar para abordar las amenazas internas y detectar casos de exfiltraci\u00f3n de datos.<\/p>\n
Cada organizaci\u00f3n puede tener requisitos y necesidades espec\u00edficas, por lo que es importante adaptar estas t\u00e9cnicas a tu entorno y consultar con profesionales de seguridad cibern\u00e9tica para obtener asesoramiento especializado.<\/p>\n
La mayor\u00eda del movimiento de datos ocurre en los \u00faltimos 50 d\u00edas de empleo de los usuarios, es importante prestar especial atenci\u00f3n a ese per\u00edodo y tomar medidas adicionales para detectar posibles casos de exfiltraci\u00f3n de datos. Aqu\u00ed hay algunas acciones que puedes considerar:<\/p>\n
- \n
- Supervisi\u00f3n intensificada:<\/strong> Aumenta la supervisi\u00f3n de la actividad de los usuarios durante los \u00faltimos 50 d\u00edas de su empleo. Esto puede incluir un monitoreo m\u00e1s frecuente de los registros de actividad, la revisi\u00f3n de los archivos y datos accedidos, y la vigilancia de cualquier transferencia de datos fuera de los patrones normales.<\/li>\n
- Reglas de detecci\u00f3n:<\/strong> Configura reglas de detecci\u00f3n espec\u00edficas para identificar comportamientos o actividades inusuales durante los \u00faltimos 50 d\u00edas de empleo. Estas reglas pueden estar dise\u00f1adas para detectar cambios dr\u00e1sticos en el volumen de datos transferidos, accesos a informaci\u00f3n confidencial no autorizados o cualquier otro comportamiento que pueda indicar una posible exfiltraci\u00f3n de datos.<\/li>\n
- Monitoreo de endpoints:<\/strong> Implementa soluciones de monitoreo de endpoints en los dispositivos utilizados por los usuarios durante los \u00faltimos 50 d\u00edas de su empleo. Estas soluciones pueden registrar y analizar la actividad en los dispositivos, incluyendo la transferencia de archivos y el uso de aplicaciones en la nube, para identificar posibles casos de exfiltraci\u00f3n de datos.<\/li>\n
- Alertas de salida de datos:<\/strong> Configura alertas y notificaciones para recibir avisos cuando se detecte un flujo inusual de datos fuera de la red o de los sistemas en la nube durante los \u00faltimos 50 d\u00edas de empleo de un usuario. Estas alertas pueden indicar intentos de exfiltraci\u00f3n de datos y permitir una respuesta r\u00e1pida para prevenir p\u00e9rdidas o filtraciones de informaci\u00f3n sensible.<\/li>\n
- Evaluaci\u00f3n de riesgos:<\/strong> Realiza una evaluaci\u00f3n de riesgos espec\u00edfica para los usuarios durante los \u00faltimos 50 d\u00edas de su empleo. Considera factores como el acceso a datos confidenciales, los privilegios y permisos otorgados, y cualquier cambio en su comportamiento o actitud hacia la organizaci\u00f3n. Esta evaluaci\u00f3n puede ayudar a identificar posibles riesgos y a tomar medidas preventivas adicionales.<\/li>\n
- Control de salida de datos:<\/strong> Implementa controles de salida de datos durante los \u00faltimos 50 d\u00edas de empleo de los usuarios. Esto puede incluir restricciones en la transferencia de archivos confidenciales, el monitoreo de dispositivos de almacenamiento externo y la revisi\u00f3n manual de cualquier solicitud de extracci\u00f3n de datos.<\/li>\n<\/ol>\n
Recuerda que cada organizaci\u00f3n es \u00fanica y puede tener diferentes necesidades y desaf\u00edos en cuanto a la detecci\u00f3n de exfiltraci\u00f3n de datos. Estas acciones proporcionan una base para abordar los movimientos de datos durante los \u00faltimos 50 d\u00edas de empleo, pero es importante adaptarlas y personalizarlas seg\u00fan las circunstancias y los riesgos espec\u00edficos de tu organizaci\u00f3n.<\/p>\n
\n<\/figure>\n<\/div>\nEl an\u00e1lisis presentado en esta publicaci\u00f3n se basa en datos de uso an\u00f3nimos recopilados por la plataforma Netskope Security Cloud <\/em>relacionados con un subconjunto de clientes de Netskope con autorizaci\u00f3n previa.<\/em><\/span><\/p>\n
Alcance<\/h3>\n
En el \u00e1mbito de la investigaci\u00f3n que nos ocupa, el concepto de amenaza interna engloba una amplia gama de situaciones potenciales. Sin embargo, para delimitar adecuadamente nuestro estudio, nos centraremos en aquellos casos en los que nos referimos a la obtenci\u00f3n de informaci\u00f3n interna por parte de individuos mediante el empleo de aplicaciones en la nube. En este contexto, los datos corporativos confidenciales extra\u00eddos se definen como aquellos que, de filtrarse al p\u00fablico o a un competidor, podr\u00edan causar un perjuicio significativo a una organizaci\u00f3n.<\/p>\n
Es importante destacar que nuestra investigaci\u00f3n no se enfoca en aquellos individuos con acceso privilegiado que recurran a m\u00e9todos tradicionales, tales como el traslado de datos a trav\u00e9s de unidades USB, la impresi\u00f3n de documentos y su posterior sustracci\u00f3n del edificio, o la captura de im\u00e1genes del monitor mediante dispositivos m\u00f3viles.<\/p>\n
La proliferaci\u00f3n de aplicaciones en la nube ha abierto nuevas puertas en materia de almacenamiento y acceso a informaci\u00f3n sensible. En consecuencia, el escrutinio se centra en aquellos actores internos que, aprovechando estas herramientas tecnol\u00f3gicas, realizan una extracci\u00f3n clandestina de datos confidenciales, incrementando as\u00ed la vulnerabilidad de las organizaciones ante la posibilidad de filtraciones perjudiciales.<\/p>\n
Conscientes de la creciente importancia de esta tem\u00e1tica, nuestra investigaci\u00f3n busca arrojar luz sobre los mecanismos utilizados por estas personas para llevar a cabo sus actividades, as\u00ed como evaluar las medidas de seguridad existentes y proponer soluciones efectivas para contrarrestar esta amenaza interna en el \u00e1mbito empresarial.<\/p>\n
En definitiva, nos encontramos inmersos en una era en la que el acceso a la informaci\u00f3n se ha vuelto m\u00e1s \u00e1gil y globalizado, pero tambi\u00e9n m\u00e1s propenso a los riesgos internos. El desaf\u00edo radica en encontrar un equilibrio entre la eficiencia y la seguridad, a fin de salvaguardar los activos corporativos m\u00e1s valiosos de las organizaciones en un entorno digital cada vez m\u00e1s complejo y cambiante.<\/p>\n
Resumen de nuestro enfoque<\/h2>\n
Nuestro enfoque para abordar la amenaza interna se basa en tres elementos clave. En primer lugar, se requiere una arquitectura adecuada que permita monitorear de manera efectiva el tr\u00e1fico en la nube. Esto implica implementar soluciones de seguridad y vigilancia que puedan identificar y rastrear cualquier actividad sospechosa relacionada con la extracci\u00f3n de datos corporativos confidenciales.<\/p>\n
En segundo lugar, es fundamental aplicar etiquetas a los datos que se transfieren dentro de la organizaci\u00f3n. Estas etiquetas proporcionan una clasificaci\u00f3n y categorizaci\u00f3n precisa de la informaci\u00f3n, lo que facilita su seguimiento y control. Al etiquetar los datos, se puede establecer un sistema de permisos y accesos restringidos, lo que reduce el riesgo de filtraciones no autorizadas.<\/p>\n
Por \u00faltimo, pero no menos importante, es esencial realizar un an\u00e1lisis continuo de los datos en busca de comportamientos an\u00f3malos. Mediante el uso de herramientas y algoritmos avanzados de detecci\u00f3n de anomal\u00edas, se puede identificar patrones inusuales de actividad, como transferencias masivas de datos o accesos no autorizados. Este enfoque proactivo permite detectar y detener cualquier actividad sospechosa antes de que se produzca una filtraci\u00f3n de datos confidenciales.<\/p>\n
En resumen, nuestro enfoque se centra en establecer una arquitectura de monitoreo eficiente, aplicar etiquetas a los datos y realizar un an\u00e1lisis riguroso en busca de comportamiento an\u00f3malo. Al combinar estos elementos, buscamos fortalecer las defensas contra la amenaza interna y salvaguardar la integridad de los datos corporativos confidenciales.<\/p>\n
Arquitectura<\/h3>\n
\n\nAmenazas Internas – Arquitectura
Arquitectura para monitorear el tr\u00e1fico en la nube<\/figcaption><\/figure>\n<\/div>\n Para lograr una identificaci\u00f3n efectiva del movimiento de datos hacia la nube desde el entorno corporativo, implementamos un monitoreo exhaustivo de los registros de proxy de reenv\u00edo en l\u00ednea y los registros de auditor\u00eda de API. Estos registros proporcionan valiosa informaci\u00f3n sobre el flujo de datos tanto hacia aplicaciones en la nube administradas como no administradas. Adem\u00e1s, los registros de auditor\u00eda nos permiten identificar el acceso a estos datos desde dispositivos tanto administrados como no administrados.<\/p>\n
Es importante destacar que, en cumplimiento de los est\u00e1ndares de privacidad y seguridad, toda la informaci\u00f3n recopilada se anonimiza, asegurando la confidencialidad de los datos personales y cumpliendo con las regulaciones pertinentes. Una vez que los datos se han anonimizado, se realiza un an\u00e1lisis detallado en busca de anomal\u00edas y patrones sospechosos.<\/p>\n
Este an\u00e1lisis se lleva a cabo mediante t\u00e9cnicas y algoritmos avanzados que buscan identificar comportamientos inusuales, como transferencias masivas de datos, accesos no autorizados o patrones de actividad desconocidos. Al detectar estas anomal\u00edas, podemos tomar medidas preventivas y correctivas para evitar cualquier fuga de datos confidenciales o actividad maliciosa.<\/p>\n
En conclusi\u00f3n, mediante el monitoreo de los registros de proxy de reenv\u00edo en l\u00ednea y los registros de auditor\u00eda de API, y utilizando t\u00e9cnicas de anonimizaci\u00f3n y an\u00e1lisis de datos, podemos identificar y evaluar de manera efectiva el movimiento de datos hacia la nube, asegurando la protecci\u00f3n y seguridad de los activos corporativos. Este enfoque proactivo nos permite detectar y abordar r\u00e1pidamente cualquier amenaza interna, mitigando el riesgo de filtraciones y da\u00f1os a la organizaci\u00f3n.<\/p>\n
Aplicar etiquetas<\/h3>\n
Para obtener la m\u00e1xima informaci\u00f3n de los registros, es fundamental aplicar etiquetas al tr\u00e1fico en la nube mediante dos mecanismos diferentes. Estos mecanismos de etiquetado nos permiten clasificar y categorizar de manera precisa los datos en movimiento, lo que facilita su seguimiento y an\u00e1lisis. A continuaci\u00f3n, describiremos brevemente estos dos enfoques de etiquetado.<\/p>\n
- \n
- Etiquetado basado en metadatos: Este enfoque consiste en asignar etiquetas a los datos en funci\u00f3n de los metadatos asociados. Los metadatos pueden incluir informaci\u00f3n como la fuente del dato, su ubicaci\u00f3n geogr\u00e1fica, el nivel de confidencialidad, el tipo de archivo, el prop\u00f3sito de uso, entre otros. Al aplicar etiquetas basadas en metadatos, podemos obtener una visi\u00f3n detallada y contextualizada de los datos en movimiento, lo que facilita su gesti\u00f3n y control.<\/li>\n
- Etiquetado basado en contenido: Este enfoque implica la aplicaci\u00f3n de etiquetas en funci\u00f3n del contenido real de los datos. Aqu\u00ed, se utilizan algoritmos y t\u00e9cnicas de an\u00e1lisis de contenido para identificar patrones, palabras clave o caracter\u00edsticas espec\u00edficas en los datos. Por ejemplo, se pueden utilizar etiquetas para identificar datos de tarjetas de cr\u00e9dito, informaci\u00f3n personal identificable (PII, por sus siglas en ingl\u00e9s) o datos financieros sensibles. El etiquetado basado en contenido permite una identificaci\u00f3n m\u00e1s precisa y automatizada de los datos confidenciales en movimiento.<\/li>\n<\/ol>\n
Al combinar estos dos mecanismos de etiquetado, obtenemos una clasificaci\u00f3n m\u00e1s completa y precisa de los datos en la nube. Esto nos permite tener un mayor nivel de control sobre el flujo de informaci\u00f3n y facilita la identificaci\u00f3n de posibles riesgos y comportamientos inusuales. Adem\u00e1s, el etiquetado adecuado nos permite aplicar pol\u00edticas de seguridad y acceso m\u00e1s eficaces, asegurando que los datos confidenciales sean manejados de acuerdo con las regulaciones y directrices internas de la organizaci\u00f3n.<\/p>\n
En resumen, el etiquetado del tr\u00e1fico en la nube a trav\u00e9s de mecanismos basados en metadatos y contenido nos brinda una mayor comprensi\u00f3n y control de los datos en movimiento. Esto es esencial para garantizar la seguridad y la gesti\u00f3n adecuada de la informaci\u00f3n confidencial, al tiempo que nos permite aplicar pol\u00edticas de seguridad m\u00e1s efectivas y tomar medidas preventivas en caso de anomal\u00edas o riesgos potenciales.<\/p>\n
Aplicaci\u00f3n de etiquetas de instancia<\/h4>\n
En nuestro proceso de aplicaci\u00f3n de etiquetas, utilizamos las etiquetas de instancia para obtener una mayor comprensi\u00f3n del tr\u00e1fico en la nube.<\/p>\n
Estas etiquetas se basan en la observaci\u00f3n de la propia aplicaci\u00f3n, el nombre de la instancia extra\u00edda a trav\u00e9s del proxy y el dominio del nombre de usuario utilizado para iniciar sesi\u00f3n en la aplicaci\u00f3n.<\/p>\n
A continuaci\u00f3n, explicaremos c\u00f3mo aplicamos estas etiquetas de instancia y c\u00f3mo contribuyen a nuestro an\u00e1lisis.<\/p>\n
- \n
- Observaci\u00f3n de la aplicaci\u00f3n: Al examinar detenidamente la aplicaci\u00f3n en s\u00ed, podemos identificar caracter\u00edsticas y comportamientos espec\u00edficos que nos permiten asignar etiquetas de instancia relevantes. Esto implica analizar los flujos de datos, las funciones de la aplicaci\u00f3n y las acciones realizadas por los usuarios dentro de la misma. Por ejemplo, podemos identificar si la aplicaci\u00f3n maneja datos financieros, datos de recursos humanos o datos de clientes, y aplicar las etiquetas correspondientes en consecuencia.<\/li>\n
- Nombre de instancia extra\u00eddo por el proxy: Al monitorear los registros de proxy, podemos obtener informaci\u00f3n sobre el nombre de la instancia utilizada en la comunicaci\u00f3n con la nube. Esta informaci\u00f3n nos ayuda a identificar la aplicaci\u00f3n espec\u00edfica o el servicio en la nube utilizado, lo que nos permite aplicar etiquetas de instancia relacionadas con esa aplicaci\u00f3n o servicio en particular. Esto es especialmente \u00fatil cuando una organizaci\u00f3n utiliza m\u00faltiples instancias de una misma aplicaci\u00f3n o servicios en la nube.<\/li>\n
- Dominio del nombre de usuario utilizado para iniciar sesi\u00f3n: Al analizar los registros de acceso y autenticaci\u00f3n, podemos observar el dominio del nombre de usuario utilizado para iniciar sesi\u00f3n en la aplicaci\u00f3n. Esto nos proporciona informaci\u00f3n adicional para aplicar etiquetas de instancia espec\u00edficas. Por ejemplo, si el dominio del nombre de usuario indica que se trata de un empleado del departamento de ventas, podemos asignar etiquetas relacionadas con las actividades y datos asociados con ese departamento.<\/li>\n<\/ol>\n
La aplicaci\u00f3n de etiquetas de instancia nos brinda una visi\u00f3n m\u00e1s detallada y precisa del tr\u00e1fico en la nube. Esto nos permite clasificar y categorizar adecuadamente los datos en movimiento, lo que facilita su seguimiento y an\u00e1lisis.<\/p>\n
Adem\u00e1s, nos ayuda a aplicar pol\u00edticas de seguridad y acceso m\u00e1s espec\u00edficas, asegurando que los datos se gestionen y protejan de acuerdo con las necesidades y regulaciones de la organizaci\u00f3n.<\/p>\n
Al aplicar etiquetas de instancia basadas en la observaci\u00f3n de la aplicaci\u00f3n, el nombre de la instancia extra\u00eddo por el proxy y el dominio del nombre de usuario utilizado para iniciar sesi\u00f3n, logramos una mayor comprensi\u00f3n y control del tr\u00e1fico en la nube.<\/p>\n
Esto nos permite realizar un an\u00e1lisis m\u00e1s preciso y aplicar medidas de seguridad adecuadas para proteger los datos corporativos confidenciales.<\/p>\n
Por ejemplo, un usuario llamado John que trabaja en Acme usa Google Gmail para la correspondencia personal y Acme le proporciona una cuenta de Google Gmail para la correspondencia comercial.\u00a0Consideramos estas dos instancias de la misma aplicaci\u00f3n;\u00a0La instancia personal de John y la instancia de la organizaci\u00f3n Acme.<\/p>\n
- Reglas de detecci\u00f3n:<\/strong> Configura reglas de detecci\u00f3n espec\u00edficas para identificar comportamientos o actividades inusuales durante los \u00faltimos 50 d\u00edas de empleo. Estas reglas pueden estar dise\u00f1adas para detectar cambios dr\u00e1sticos en el volumen de datos transferidos, accesos a informaci\u00f3n confidencial no autorizados o cualquier otro comportamiento que pueda indicar una posible exfiltraci\u00f3n de datos.<\/li>\n
- An\u00e1lisis de registros y eventos:<\/strong> Utiliza herramientas de an\u00e1lisis de registros y eventos para identificar patrones y anomal\u00edas en los registros de actividad de tus sistemas en la nube. Estas herramientas pueden ayudarte a detectar actividades sospechosas, como intentos de acceso no autorizado, cambios inusuales en los permisos de archivos o actividades fuera de horario laboral.<\/li>\n
- Ataques de phishing:<\/strong> Los ciberdelincuentes env\u00edan correos electr\u00f3nicos o mensajes falsos que parecen leg\u00edtimos para enga\u00f1ar a los usuarios y hacer que revelen informaci\u00f3n confidencial, como contrase\u00f1as o datos bancarios.<\/li>\n
![\"Netskope](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/05\/690689081faa1af47d65b6abbb4bed45-e1684257468993.webp\" "\\"\\"")
<\/a>