Cómo Proteger la Red de Amenazas Internas
Las estrategias tradicionales de ciberseguridad tienden a priorizar la defensa de la red de fuerzas externas. Sin embargo, centrarse en el perímetro puede generar puntos ciegos internos, lo que puede dejar a las organizaciones vulnerables a las amenazas internas.
En esta publicación de blog, le mostraremos cómo funcionan las amenazas internas y qué puede hacer para proteger su organización.
¿Qué es una amenaza interna?
Un miembro interno es cualquier persona que tiene conocimiento o acceso autorizado a los recursos de una organización. Una amenaza interna es el daño potencial que un interno puede causar con ese conocimiento o acceso.
Los iniciados generalmente caen en una de tres categorías:
Negligente: una persona interna negligente pone en riesgo a una organización sin darse cuenta. No están tratando activamente de causar daño, pero sus acciones pueden dejar a la organización vulnerable a compromisos sin querer. La negligencia representa más de la mitad de todas las amenazas internas.
Malintencionado: una persona interna maliciosa busca intencionalmente dañar una organización, a menudo robando datos o proporcionando acceso al sistema a una parte externa. Los infiltrados maliciosos a menudo están motivados por ganancias financieras, falta de reconocimiento en el lugar de trabajo o pérdida de empleo. Otros pueden robar propiedad intelectual en un intento de avanzar en sus carreras.
Tercero: un tercero interno es alguien a quien se le ha otorgado cierto nivel de acceso a los activos de una organización, pero no es un miembro de tiempo completo de esa organización. Una amenaza interna puede dañar los activos de una organización directamente o exponer esos activos a terceros malintencionados.
Pandillas de ransomware que reclutan activamente a personas con información privilegiada
Para las pandillas de ransomware, obtener acceso inicial al objetivo suele ser la parte más complicada de una operación. Para abordar este cuello de botella en la cadena de ataque, muchos grupos operan bajo el modelo de ransomware como servicio, mediante el cual los desarrolladores de ransomware reclutan afiliados para infiltrarse en redes vulnerables a cambio de una parte del pago del rescate.
Algunos grupos de ransomware han tratado de eliminar por completo el paso intermedio aprovechando a los internos para obtener acceso no autorizado a las redes corporativas; en otras palabras, pagando a los empleados de grandes organizaciones para que les ayuden a poner un pie en la puerta.
En marzo de 2022, la banda de ransomware Lapsus$, responsable de ataques de alto perfil contra Samsung, Nvidia y Ubisoft, entre otros, anunció que estaba reclutando expertos en las principales empresas tecnológicas como Microsoft, Apple, EA, AT&T que podrían proporcionar acceso a una VPN corporativa, Citrix o AnyDesk. Los actores de amenazas suelen utilizar este tipo de herramientas de acceso remoto para obtener un punto de apoyo inicial en la red de destino, después de lo cual es relativamente fácil llevar a cabo los pasos posteriores de un ataque.
Lapsus$ no es el primer grupo de ransomware que intenta trabajar con información privilegiada. En 2021, LockBit ofreció "millones de dólares" a personas con información privilegiada corporativa que podrían brindarle a la pandilla acceso a RDP corporativo, VPN y cuentas de correo electrónico.
Cómo proteger la red de amenazas internas
Dado que las empresas de tecnología a menudo tienen cientos o miles de empleados, cada uno con sus propios privilegios, derechos de acceso y dispositivos de la empresa, vigilar cada activo es una propuesta desalentadora.
En su lugar, las organizaciones deberían centrarse en limitar el acceso a estos activos. A continuación se presentan algunas estrategias efectivas para ayudar a administrar el riesgo de amenazas internas.
1. Llevar a cabo una evaluación de riesgos
Antes de que se puedan implementar medidas de seguridad, una organización debe comprender claramente qué es lo que está tratando de proteger. Como tal, las organizaciones deben llevar a cabo una evaluación de riesgos integral para identificar y documentar los activos organizacionales críticos, sus vulnerabilidades y las amenazas que podrían afectarlos.
Los recursos clave que a menudo son vulnerables a las amenazas internas incluyen hardware, software y sistemas de comunicaciones, así como datos como propiedad intelectual, información del cliente, software propietario y procesos internos.
Esta guía de gestión de activos, cortesía del Departamento de Seguridad Nacional, puede ser un recurso útil para las organizaciones que deseen obtener más información sobre cómo definir y documentar activos importantes.
2. Acceso limitado
Las organizaciones deben restringir el acceso de los empleados estrictamente a los sistemas, aplicaciones, procesos y depósitos de datos que necesitan para realizar su función laboral principal. Esto se conoce como el principio de privilegio mínimo. La restricción del acceso limita el alcance y el impacto de un ataque y minimiza el riesgo de que los datos confidenciales caigan en manos equivocadas. En 2021, alrededor del 34 por ciento de las organizaciones fueron objeto de robo de propiedad o daños en la cadena de suministro debido a que personas internas abusaron de sus privilegios, según la Agencia de Seguridad Cibernética de la Unión Europea.
El acceso debe revisarse regularmente para garantizar que los privilegios de acceso reflejen con precisión los requisitos de las personas a medida que entran y salen de diferentes roles dentro del negocio. Se debe eliminar el acceso a cualquier recurso que un empleado ya no necesite.
Del mismo modo, las cuentas pertenecientes a empleados que ya no trabajan para la empresa deben desactivarse o protegerse con una nueva contraseña lo antes posible. Idealmente, la desactivación de cuentas debe integrarse formalmente en los procesos de baja de la empresa para garantizar que los datos de la empresa estén seguros cuando un empleado deja la organización.
3. Supervisar el comportamiento del usuario
Monitorear el comportamiento de los usuarios en la red puede ayudar a las organizaciones a identificar actividades sospechosas en la red y permitirles intervenir temprano para minimizar el impacto de un ataque interno.
Las herramientas de análisis de comportamiento de usuarios y entidades, que modelan comportamientos básicos para personas y hardware dentro de una red, se pueden usar para identificar patrones anormales y alertar automáticamente al personal de seguridad de TI. De manera similar, un sistema de detección de intrusos puede ser una forma efectiva de monitorear puntos estratégicos dentro de la red y alertar a los administradores sobre actividades maliciosas o violaciones de políticas.
Según un informe de IBM Security X-Force Threat Intelligence, el 40 % de las amenazas internas sospechosas se detectan a través de alertas generadas a través de una herramienta de supervisión interna.
4. Proteja sus sistemas de ciberseguridad
Incluso las soluciones de ciberseguridad más avanzadas se volverán inútiles si una persona interna tiene suficientes privilegios para simplemente desactivar el sistema de seguridad. Para mitigar este riesgo, las organizaciones deben asegurarse de que todos los controles de seguridad estén debidamente asegurados con una contraseña de administrador y/o autenticación multifactor. Esto es particularmente importante para las organizaciones que son responsables de administrar la ciberseguridad de otras empresas, como los MSP.
Emsisoft Managment Console está protegida con autenticación multifactor (MFA). El software de protección Emsisoft se puede proteger aún más configurando una contraseña de administrador. Esto asegura que incluso si una persona interna pudiera acceder a Emsisoft Management Console y obtener el código MFA, aún no podría deshabilitar, eliminar o deshabilitar el software de protección.
Para establecer una contraseña de administrador, vaya a: MyEmsisoft > Workspace > Protection Policies > Password toggle > Administrator password. El paso anterior garantiza que solo aquellos con privilegios de administrador puedan cambiar la configuración de protección de Emsisoft. Después de configurar una contraseña de administrador, limite la cantidad de usuarios con privilegios de administrador configurando el acceso a nivel de dispositivo en "Acceso básico":
MyEmsisoft > Políticas de permisos > Grupo 'Administradores' > Nivel > Acceso básico. Consulte esta publicación de blog para obtener más información sobre cómo proteger su software antivirus.
5. Segmente su red en subred
La segmentación de red implica dividir una red en varios segmentos o subredes, cada uno de los cuales actúa como su propia red pequeña.
El flujo de tráfico entre segmentos puede monitorearse y controlarse estrictamente, lo que permite a las organizaciones limitar el movimiento lateral innecesario. Por ejemplo, es posible que el departamento de desarrollo de una empresa nunca necesite acceder a aplicaciones, archivos o recursos compartidos de red pertenecientes al equipo de marketing, y viceversa.
Amurallar partes de la red más amplia impide que los usuarios internos pasen a entornos adyacentes y puede ayudar a reducir el impacto de un ataque.
6. Limitar físicamente el acceso
También se debe limitar el acceso a activos físicos importantes. Los controles de acceso, como cerraduras, puertas de seguridad y torniquetes, se pueden usar junto con sistemas de entrada con tarjeta, códigos PIN, contraseñas y lectores biométricos para evitar que personas internas accedan a objetos críticos de TI, como salas de servidores.
Los sistemas de videovigilancia con sensores de movimiento deben usarse para monitorear áreas de interés, mientras que la geocerca puede ser útil para detectar cuándo alguien ingresa o sale de un límite virtual predefinido (por ejemplo, la propiedad, el edificio o una zona dentro del edificio).
El hardware y la documentación antiguos deben eliminarse o reciclarse de manera segura de manera que sus datos sean irrecuperables. Los discos duros antiguos y otros dispositivos de TI que solían contener información particularmente confidencial deben destruirse físicamente para garantizar que los datos que contenían se eliminen para siempre.
7. Incluir un módulo de concientización sobre amenazas internas en la capacitación de seguridad del personal
Las organizaciones deben brindar capacitación regular que se centre en educar al personal sobre los signos de posibles actividades maliciosas dentro de la empresa. Los indicadores comunes de actividad interna maliciosa pueden incluir:
Intentos repetidos de acceder o descargar datos confidenciales.
Intentos de eludir los procedimientos de seguridad establecidos.
Acceso remoto a la red en horarios irregulares.
Mover archivos a ubicaciones inusuales.
Solicitar acceso a recursos no relacionados con su trabajo principal.
Transferencia de datos fuera de los canales de comunicación habituales de la empresa.
Trabajar horas irregulares sin autorización.
Interés indebido en asuntos ajenos a sus funciones principales.
Observando de cerca la pantalla de trabajo de otro empleado por encima del hombro.
Escuchar conversaciones o reuniones.
Solicitudes inusuales.
8. Trabaje con recursos humanos para desarrollar procesos de ciberseguridad de amenazas internas
Las organizaciones deben aspirar a fomentar una cultura positiva para informar y asegurarse de que cada miembro del equipo sepa con quién hablar en caso de que se sospeche un incidente.
El personal de seguridad de TI y RR. HH. deben trabajar en estrecha colaboración para desarrollar procesos sólidos de terminación y baja para garantizar que todas las cuentas estén bloqueadas y que los dispositivos propiedad de la empresa se entreguen inmediatamente cuando un empleado deja la organización.
Según los recursos y el tamaño de la empresa, las organizaciones también deberían considerar establecer un equipo de gestión de amenazas para evaluar y, si es necesario, intervenir en posibles amenazas internas.
Otras lecturas
Tenga en cuenta que este artículo debe considerarse más una descripción general de las amenazas internas que una guía exhaustiva. Para obtener recursos más completos, consulte las estrategias de mitigación de amenazas de la Agencia de Seguridad de Infraestructura y Ciberseguridad.
Comentarios