¿Qué es una amenaza interna? Las amenazas internas son usuarios con acceso legítimo a los activos de la empresa que utilizan ese acceso, ya sea de forma maliciosa o involuntaria, para causar daño a la empresa. Las amenazas internas no son necesariamente empleados actuales, también pueden ser ex empleados, contratistas o socios que tienen acceso a los sistemas o datos de una organización.
Cuando las amenazas internas representan el vector principal del 60 por ciento de las violaciones de datos, las organizaciones deben examinar las amenazas que entran por su puerta todos los días con tanto rigor como el que muestran cuando aseguran el perímetro de los atacantes externos.
¿Por qué son tan peligrosas las amenazas internas?
En un informe de SANS de 2019 sobre amenazas avanzadas, los profesionales de la seguridad identificaron importantes lagunas en la defensa contra las amenazas internas impulsadas por la falta de visibilidad de una línea de base del comportamiento normal de los usuarios, así como la gestión de las cuentas de usuarios privilegiados, que representan un objetivo más atractivo para los casos de phishing o compromiso de credenciales.
Detectar las amenazas internas no es una tarea fácil para los equipos de seguridad. El insider ya tiene acceso legítimo a la información y los activos de la organización y distinguir entre la actividad normal de un usuario y la actividad potencialmente maliciosa es un reto. Los insiders suelen saber dónde viven los datos sensibles dentro de la organización y a menudo tienen niveles elevados de acceso.
Como resultado, una violación de datos causada por un insider es significativamente más costosa para las organizaciones que una causada por un atacante externo. En el estudio 2018 Cost of Insider Threats del Ponemon Institute, los investigadores observaron que el coste medio anual de una amenaza interna era de 8,76 millones de dólares, mientras que el coste medio de una violación de datos durante el mismo periodo era de 3,86 millones de dólares.
Aprenda más sobre la detección de amenazas internas
4 tipos de amenazas internas
Aunque el término amenaza interna ha sido en cierto modo cooptado para describir un comportamiento estrictamente malicioso, existe un espectro definido de amenazas internas. No todos los insiders son iguales y varían mucho en cuanto a motivación, conciencia, nivel de acceso e intención.
Con cada tipo de amenaza interna, hay diferentes controles técnicos y no técnicos que las organizaciones pueden adoptar para reforzar la detección y la prevención. Gartner clasifica las amenazas internas en cuatro categorías: peón, bobo, colaborador y lobo solitario.
Peón
Los peones son empleados que son manipulados para que realicen actividades maliciosas, a menudo sin querer, a través de spear phishing o ingeniería social. Ya sea un empleado involuntario que descarga malware en su estación de trabajo o un usuario que revela sus credenciales a un tercero que se hace pasar por un empleado del servicio de asistencia, este vector es uno de los objetivos más amplios para los atacantes que buscan causar daño a la organización.
Un ejemplo fue el de Ubiquiti Networks, que fue víctima de un ataque de spear-phishing en el que los correos electrónicos de los altos ejecutivos dirigían a los empleados a transferir 40 millones de dólares a la cuenta bancaria de una filial. Los empleados no sabían en ese momento que los correos electrónicos eran falsos y que la cuenta bancaria estaba controlada por estafadores.
Goof
Los Goofs no actúan con intención maliciosa, sino que realizan acciones deliberadas y potencialmente dañinas. Los goofs son usuarios ignorantes o arrogantes que creen estar exentos de las políticas de seguridad, ya sea por comodidad o por incompetencia. En el 95% de las organizaciones hay empleados que intentan activamente saltarse los controles de seguridad y casi el 90% de los incidentes con información privilegiada son causados por los goofs. Un ejemplo de metedura de pata podría ser un usuario que almacena información personal identificable (PII) sin cifrar en una cuenta de almacenamiento en la nube para facilitar el acceso en sus dispositivos, a pesar de saber que eso va en contra de la política de seguridad.
Colaborador
Los colaboradores son usuarios que cooperan con un tercero, a menudo competidores y estados nacionales, para utilizar su acceso de una manera que cause intencionadamente un daño a la organización. Los colaboradores suelen utilizar su acceso para robar propiedad intelectual e información de los clientes o para causar interrupciones en las operaciones normales de la empresa.
Un ejemplo de colaborador es Greg Chung, un ciudadano chino y antiguo empleado de Boeing que acaparó documentos relacionados con el programa del transbordador espacial para enviarlos a China. El espionaje corporativo también es frecuente con colaboradores como en el caso de Uber y Waymo. Uber contrató a un ingeniero de Waymo que estaba en posesión de tecnología confidencial y patentada de coches de autoconducción y supuestamente la utilizó en su proyecto de coches de autoconducción.
Lobo solitario
Los lobos solitarios son totalmente independientes y actúan de forma maliciosa sin influencia o manipulación externa. Los lobos solitarios son especialmente peligrosos cuando tienen niveles elevados de privilegio, como los administradores de sistemas o de bases de datos. Un ejemplo clásico de lobo solitario es Edward Snowden, que utilizó su acceso a sistemas clasificados para filtrar información relacionada con el ciberespionaje en la NSA.
Cómo combatir las amenazas internas: Creación de un plan de detección
Para detectar eficazmente las amenazas internas, las organizaciones deberían primero cerrar las brechas de visibilidad agregando los datos de seguridad en una solución de monitorización centralizada, ya sea una plataforma de gestión de información y eventos de seguridad (SIEM) o una solución independiente de análisis del comportamiento de usuarios y entidades (UEBA). Muchos equipos comienzan con registros de acceso, autenticación y cambio de cuentas, y luego amplían el alcance a fuentes de datos adicionales, como registros de redes privadas virtuales (VPN) y de puntos finales, a medida que maduran los casos de uso de las amenazas internas.
Una vez centralizada la información, se puede modelar el comportamiento de los usuarios y asignarles puntuaciones de riesgo vinculadas a eventos de riesgo específicos, como los cambios de geografía de los usuarios o la descarga en medios extraíbles. Con suficientes datos históricos, se puede crear una línea de base de comportamiento normal para cada usuario individual. Esta línea de base indica el estado normal de funcionamiento de un usuario o máquina, de modo que las desviaciones de esta actividad pueden marcarse como anormales. Las desviaciones deben ser rastreadas no sólo para un usuario específico, sino también en comparación con otros usuarios en la misma ubicación, con el mismo título de trabajo o función de trabajo.
Las anomalías de comportamiento ayudan a los equipos de seguridad a identificar cuando un usuario se ha convertido en un insider malicioso o si sus credenciales han sido comprometidas por un atacante externo. La asignación de puntuaciones de riesgo también proporciona a los equipos del centro de operaciones de seguridad (SOC) la capacidad de supervisar el riesgo en toda la empresa, ya sea creando listas de vigilancia o destacando los usuarios más arriesgados de su organización. Al adoptar una visión centrada en el usuario, los equipos de seguridad pueden detectar rápidamente la actividad de las amenazas internas y gestionar el riesgo de los usuarios desde una ubicación centralizada, en lugar de reunir manualmente puntos de datos dispares que, individualmente, pueden no mostrar la imagen completa.
Cierre del bucle con la remediación
Como se ha mencionado, las cuentas privilegiadas representan objetivos de gran valor para los usuarios internos. Es importante que las organizaciones adopten una solución de gestión de acceso privilegiado (PAM) y alimenten los datos sobre el acceso a las cuentas privilegiadas desde esa solución a su SIEM. El análisis del comportamiento del usuario puede detectar cosas como intentos anormales de inicio de sesión, o múltiples intentos fallidos de contraseña y generar una alerta cuando sea apropiado para que el analista la valide.
Una vez validada, se podría crear un incidente de amenaza interna en un sistema integrado de Orquestación, Automatización y Respuesta de Seguridad (SOAR), donde el libro de jugadas puede especificar qué remediación es necesaria. La remediación potencial podría incluir desafiar al insider con MFA, o revocar el acceso, cualquiera de los cuales se puede hacer automáticamente en la solución IAM.
Hay varios tipos de amenazas internas que las organizaciones deben conocer y cada uno presenta diferentes síntomas para que los equipos de seguridad los diagnostiquen. Al comprender las motivaciones de los atacantes, los equipos de seguridad pueden ser más proactivos en su enfoque de la defensa contra las amenazas internas.
Aprenda más sobre la protección de su organización con la gestión de acceso privilegiado (PAM)
Este blog se actualizó recientemente en reacción al «ataque coordinado de ingeniería social» de julio de 2020 contra Twitter para incluir información sobre la prevención y remediación a raíz de las amenazas internas.