Con tantas noticias centradas en ataques externos, una de las mayores amenazas para la seguridad de los datos, los ingresos y la reputación de su organización son las amenazas internas. Los empleados internos (empleados con acceso a datos que tienen valor externo) son responsables del 28% de todas las violaciones de datos. Mientras que el 28% puede no parecer tan grande como el 72% implícito de los ataques por parte de atacantes externos, el 28% es en realidad un número masivo.

Los ataques externos aprovechan la automatización, el código preprogramado y la naturaleza oportunista de apuntar a millones de direcciones de correo electrónico para buscar y encontrar su próxima víctima. Los iniciados, por otro lado, son personas que realizan personalmente la acción de amenaza. Los ataques externos deben encontrar los datos que creen que son valiosos, mientras que los expertos ya conocen cada bit de los datos valiosos a los que tienen acceso. Entonces, mientras que el número del 28% puede parecer inmaterial, es todo lo contrario.

De hecho, los expertos pueden suponer una mayor amenaza para la organización que los atacantes externos..

Todas las organizaciones tienen datos comerciales confidenciales, datos de clientes, PII de empleados y propiedad intelectual que solo deben utilizarse en beneficio de la organización. Y, dado que un empleado interno malintencionado está utilizando los permisos para las aplicaciones, los recursos y los datos que se les ha otorgado como parte de su trabajo, es extremadamente difícil determinar si la actividad debe considerarse una amenaza o no. Eso significa que pueden robar información y puede que nunca sepas que sucedió.!

El interno puede ser cualquier persona dentro de la organización. En una encuesta reciente, la preocupación en torno a los usuarios de TI privilegiados y los empleados regulares como posibles actores internos de amenazas por parte de las organizaciones de TI era casi idéntica. Y deberían ser; cualquier persona con acceso a datos que se consideran valiosos externamente es potencialmente una amenaza.

También tenga en cuenta que casi todos los atacantes externos eventualmente se ven como una persona con información privilegiada. El uso de credenciales internas comprometidas por parte de un atacante externo es la acción de amenaza más común en las violaciones de datos. Esto respalda el valor de identificar amenazas internas lo antes posible..

Entonces, ¿cómo pueden las organizaciones detectar al interno, preferiblemente antes de que se produzca una acción de amenaza??

Detectar amenazas internas

El objetivo es buscar los indicadores principales de comportamiento incorrecto o malicioso de los empleados. Esto se encuentra al observar la actividad anormal del usuario, pero debe ser una actividad que sugiera una amenaza potencial y no necesariamente una actividad que sugiera que la actividad de amenaza esté en progreso. Por ejemplo, puede estar atento a la copia excesiva de archivos o aumentos repentinos en el tráfico web para detectar posibles robos de datos, pero la realidad es que una vez que se realizan estas actividades, es demasiado tarde: se ha producido una acción de amenaza..

Lo que debe suceder es observar la actividad que se produce mucho antes de que se realicen acciones de amenaza. La acción de amenaza más simple y más común para todas las personas con información privilegiada es el inicio de sesión. Casi todas las acciones de amenaza requieren el inicio de sesión utilizando credenciales internas. El acceso a puntos finales, el movimiento lateral entre puntos finales, el acceso externo a través de VPN, el acceso a escritorios remotos y más comparten el requisito común de un inicio de sesión.

Cubriremos tres posibles escenarios de amenazas internas y analizaremos cómo la administración de inicio de sesión ayuda a identificar y abordar las amenazas internas..

Escenario 1: el intruso malicioso

En este escenario, el empleado está utilizando sus propias credenciales, aprovechando los privilegios otorgados para su propio propósito. Esto puede ser cualquier cosa, desde robar datos valiosos para ellos personalmente, hasta datos valiosos para un competidor o una startup, o datos vendibles en el mercado negro..

El usuario malintencionado sabe que puede ser atrapado, por lo que su objetivo principal es ocultar su actividad. Algunas formas comunes en que intentan hacer esto (que también sirven como indicadores de amenaza) incluyen:

  • Llegando a trabajar temprano - Nada dice “nadie lo sabrá” que nadie está alrededor. Los iniciados aprovechan las primeras horas de la mañana para realizar acciones de amenaza.
  • Saliendo del trabajo tarde - De manera similar, quedarse fuera de horario tiene el mismo efecto..
  • Inicio de sesión múltiple - Los iniciados a menudo se ponen nerviosos, impidiendo que continúen. Esto da como resultado múltiples inicios de sesión y cierre de sesión sucesivos en un corto período de tiempo.
  • Después de horas de inicio de sesión - Un empleado que nunca llega un sábado que de repente lo hace es sospechoso.
  • Inicio de sesión remoto - Las acciones maliciosas son más fáciles desde la comodidad de su propio hogar. El acceso remoto a la red corporativa por parte de alguien que normalmente no debería llamar la atención.

Uso de la administración de inicio de sesión para identificar y detener a un interno

  • Auditoría de inicio de sesión - Las anomalías de inicio de sesión en torno al tiempo, la frecuencia, el tipo y la máquina de origen se pueden identificar fácilmente, lo que permite a los equipos de TI responder adecuadamente..
  • Políticas de inicio de sesión - Las restricciones pueden limitar el uso cuando se puede iniciar sesión, desde dónde, con qué frecuencia y con qué tipo de sesión (interactivo, RDP, a través de Wi-Fi, etc.). Esto limita las opciones de inicio de sesión de los empleados, que pueden disuadirlos de realizar acciones de amenaza.
  • Restricciones de tiempo - Si un empleado quiere “colgar” fuera del horario laboral, los usuarios pueden cerrar la sesión al final de un horario de trabajo aprobado.
  • Acciones de respuesta - Al recibir la notificación, TI puede reflejar sesiones para monitorear acciones, puede bloquear la estación de trabajo y bloquear forzosamente a un usuario de la sesión, todo antes de que ocurra algo malicioso.

Escenario 2: información privilegiada maliciosa con credenciales robadas o compartidas

A veces, el interno no usa sus propias credenciales en absoluto. En su lugar, aprovechan las credenciales de otro usuario. ¿Cómo obtuvieron las credenciales? Fueron compartidos. En un estudio reciente, encontramos que el 49% de los empleados (de departamentos clave como el departamento legal, recursos humanos, TI, finanzas y más) comparten sus credenciales con otros empleados.

El uso de privilegios de otra persona es una excelente manera de aumentar instantáneamente la amplitud y profundidad de su acceso a datos valiosos. Indicadores comunes de mal uso de credenciales incluyen:

  • Inicio de sesión desde una estación de trabajo diferente - Es mucho más probable que la “prestado” Las credenciales se utilizarán desde la propia estación de trabajo interna que la utilizada normalmente por el usuario que posee las credenciales..
  • Inicio de sesión en tiempos anormales - Los empleados son, en general, criaturas de hábito. Vienen y van por el mismo horario. Por lo tanto, es probable que el inicio de sesión del usuario se vea inusual.
  • Inicios de sesión simultáneos - El usuario interno no va a esperar hasta que el propietario de la credencial se desconecte; iniciarán sesión mientras el propietario de la credencial todavía esté conectado. O, al menos, intente hacerlo (dependiendo de si tiene o no restricciones en torno a inicios de sesión simultáneos).

Detectar y detener a los usuarios internos con la administración de inicio de sesión

  • Políticas de inicio de sesión - Se pueden configurar políticas para limitar el inicio de sesión simultáneo, restringir el inicio de sesión a la estación de trabajo del propietario de la credencial y denegar el inicio de sesión simultáneo desde diferentes sistemas.
  • Auditorias y Notificaciones - Se puede notificar a TI los inicios de sesión anómalos intentados y exitosos.
  • Acciones de respuesta - Si un inicio de sesión parece sospechoso, no solo se puede cerrar la sesión del usuario, sino que se puede bloquear la cuenta de cualquier inicio de sesión adicional (hasta que lo levante).

Escenario 3: atacante malicioso con credenciales comprometidas

El modelo de ataque externo más común implica que el atacante primero establezca un punto de apoyo utilizando su punto final inicialmente comprometido. Desde allí, deben moverse lateralmente a través de la organización, saltando de una máquina a otra en un intento de buscar, identificar y acceder a datos valiosos. Para cada salto, debe haber un inicio de sesión. Los indicadores comunes incluyen:

  • Inicio de sesión desde la estación de trabajo a la estación de trabajo - Las conexiones de un punto final a otro, al siguiente ocurrirán para facilitar el movimiento lateral.
  • Tiempos de inicio de sesión anormales - Los atacantes externos aprovechan el acceso que han logrado y no esperarán el siguiente día hábil. Comenzarán el movimiento lateral en el momento que puedan..
  • Inicios de sesión simultáneos múltiples - Si una cuenta comprometida les proporciona acceso a una amplia gama de puntos finales, usarán esa cuenta una y otra vez, lo que dará como resultado numerosos inicios de sesión desde la misma cuenta..

Detectar y detener a los usuarios internos con la administración de inicio de sesión

  • Política de inicio de sesión - Se pueden establecer políticas para limitar desde qué máquinas o rangos de direcciones IP puede iniciar sesión una cuenta, limitando severamente el uso de una cuenta comprometida y deteniendo el movimiento lateral.
  • Auditoría y Notificación - El monitoreo del intento de uso puede alertar a la TI y llevarlos a la acción para responder a la amenaza.
  • Bloquear el ataque - Antes de que ocurra una actividad maliciosa, la sesión iniciada puede finalizar y, lo que es más importante, se puede impedir que la cuenta inicie sesión en cualquier sistema de la red.

Detener amenazas internas en el inicio de sesión

La amenaza interna es real y está aquí. Hoy. En tu red ya. Son los empleados con los que trabaja todos los días, donde el cambio para convertirse en información privilegiada puede requerir poco más que una relación rota, un ascenso por ascenso o dificultades personales. Por lo tanto, contar con una solución proactiva y rentable para abordar las amenazas internas es tan importante como la protección de sus puntos finales, los firewalls y la puerta de enlace de correo electrónico..

El factor común a cada escenario interno es el inicio de sesión. Al aprovechar Logon Management, pone el foco de su detección y respuesta de amenazas internas muy por delante de cualquier acción malintencionada que pueda tener lugar, deteniendo a las personas con información privilegiada en sus pistas, con TI en completo control.

François Amigorena, CEO de Decisiones IS

  • También hemos destacado el mejor antivirus.