Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Detectando al 'insider' antes del daño
Como veíamos en el artículo anterior, existen varios tipos de insider, unos que ejecutan sus acciones con premeditación, y otros que abren la puerta inconscientemente a los atacantes externos. En cualquiera de los casos, el problema para su detección está en diferenciar qué comportamientos provienen del atacante y cuáles del usuario legítimo, ya que no es posible, a simple vista, identificar quién es quién.
Un caso emblemático lo encontramos en un reporte de Yahoo de mayo de 2022; cuando un científico de datos robó propiedad intelectual de la organización, contenida en más de 500.000 páginas de investigación. Información que usó para sobresalir en su nuevo trabajo, una competencia directa de Yahoo.
El 'insider', sea negligente o malicioso, representa uno de los mayores retos en ciberseguridad
En la investigación se logró determinar la intención y accionar del científico de datos, a través de técnicas forenses que esas páginas se habían transferido con el usuario del científico a uno de los dispositivos personales que él había registrado dentro de la política de BYOD.
Sin lugar a duda, una empresa como Yahoo, es una organización que tiene muy en cuenta la Ciberseguridad. Sin embargo, determinar la intención de un comportamiento es muy complicado de detectar y de controlar. Mucho más si las herramientas y las políticas de las organizaciones no están orientadas a enfoques proactivos de ciberseguridad.
Una pregunta común de nuestros clientes es: '¿Qué podemos hacer para detectar a un insider antes de que ejecute una acción maliciosa?' La respuesta no es sencilla, y no es única, depende mucho de las organizaciones y de las políticas de seguridad que se tengan, pero vamos a mencionar algunos controles que nos permitirán poder colocar un cerco que permita prevenir y detectar a tiempo este tipo de amenazas.
Las herramientas convencionales como firewall, IPS o antimalware no son suficientes contra insiders, especialmente aquellos que conocen perfectamente los sistemas internos.
Unas de las primeras cosas que se deben tener en cuenta, es que los mecanismos tradicionales de detección de actividad maliciosa, como firewall, IPS, WAF, antimalware, entre otros, no están diseñados para detectar la presencia de un atacante interno. Esto se debe principalmente a que los sistemas de detección tradicionales “confían” en que el usuario es quien dice ser, pero no analizan si ese comportamiento es “normal”.
Conocer los tipos de 'insiders'
Con esto en mente, es importante entender el riesgo que trae cada uno de los tres tipos de insider.
- Las acciones que genera un insider comprometido o suplantado demuestran comportamientos poco tradicionales o diferentes al real, porque es alguien que está suplantando al usuario legítimo y está intentando conocer la organización.
- El insider negligente deja las puertas abiertas y permite el ingreso de atacantes, pero estos atacantes no están suplantando sus perfiles, sino que están usando sus puertas para acceder y conocer los servicios o redes.
- El insider malicioso es, sin duda alguna, el más complejo de detectar y contener, pues conoce la organización, se va a cuidar de acciones que lo incriminen y tiene el tiempo a su favor.
El insider malicioso es sin duda alguna, el más complejo de detectar y contener.
Con este panorama, existen algunas medidas que aplican para, de ser posible, detectar al atacante interno de forma temprana analizando cosas como las siguientes:
- Accesos a sistemas y activos. Cuando un empleado de ingeniería intenta o ingresa al servidor de financiero, es una actividad muy sospechosa, pero difícil de detectar si solo ingresa y no ejecuta ninguna acción maliciosa. No obstante, sistemas como EDR o MDR, que tengan analítica de comportamiento, pueden alertar de estas anomalías.
- Cambios en el comportamiento del usuario. Por ejemplo, picos de actividad del usuario, no solo por horarios anómalos, sino también por cantidad de accesos y procesos ejecutados en un periodo de tiempo. Para esta detección es fundamental los equipos de Threat Hunting, que realizan búsquedas de actividades en procesos y servicios dentro de los dispositivos permiten detectar esas actividades puntuales.
- Movimiento de datos. Muchas veces nos centramos en las características de tráfico en la red, sobre todo en el envío o descarga de datos a Internet, pero el insider puede mover datos a medios extraíbles o incluso a la misma nube corporativa. Para este caso, las políticas y restricciones son vitales para controlar ese vector, pero la analítica de patrones y de actividad en los usuarios es la que nos detecta esos cambios, por lo que un XDR y un MDR bien configurados y con detección de patrones es fundamental.
- Dispositivos externos. Suele ser usado únicamente por los insiders comprometidos, pero en algunas ocasiones los negligentes también le dan la posibilidad al atacante de conectar dispositivos en la red de la empresa o en sus equipos de cómputo, dando acceso a los datos de la empresa. En este caso los elementos técnicos son la única protección, un UBA permite detectar esos comportamientos sospechosos en la red y en equipos.
- Intentos fallidos de login. Una de las actividades que más delata a un atacante se presenta cuando intenta elevar privilegios, se debe a que aumenta el número de login fallidos por un usuario en alguna máquina, en el caso de los insider este puede ser su único gran error para detectarlos antes de la actividad maliciosa. Para detectar eficientemente esta acción, los eventos de autenticación son la única salvación, con monitoreos en un SIEM que alerte esos picos o un UEBA que detecte esas anomalías de comportamiento.
Detectar a un insider antes de que ejecute una acción maliciosa requiere un enfoque contextual, basado en comportamiento, y soportado por herramientas avanzadas de detección. No basta con monitorear accesos o tráfico: se necesita comprender las acciones, intenciones y patrones que rompen con lo habitual.
Invertir en observabilidad, análisis conductual y herramientas como UEBA, EDR o XDR bien configuradas, es hoy una necesidad para prevenir uno de los ataques más difíciles de detectar: el que ocurre desde dentro.
Entender los diferentes tipos de insiders y su riesgo es esencial para desarrollar estrategias proactivas de defensa.
