Amenazas internas - Riesgos desde dentro
Lectura de 2 min aprox.
Una amenaza interna (insider threat) se refiere a una amenaza de seguridad causada, de forma intencional o por negligencia, por personas dentro de la organización - empleados, contratistas, socios comerciales, etc. A diferencia de los ataques externos, las amenazas internas se originan en personas que poseen privilegios de acceso legítimos, por lo que resultan difíciles de detectar con un cortafuegos o defensas perimetrales. Según el Data Breach Investigations Report (DBIR) de Verizon, los actores internos están implicados en aproximadamente el 20% de las filtraciones de datos, y el costo por incidente tiende a superar al de los ataques externos.
Los tres tipos de amenazas internas
Las amenazas internas se clasifican a grandes rasgos en tres tipos según el motivo y las circunstancias. Como cada tipo requiere métodos de detección y contramedidas diferentes, comprender correctamente las categorías es el punto de partida de la defensa.
Extraen información con una intención clara, como beneficio económico, venganza o espionaje. Frecuente entre empleados que planean irse o están descontentos con su trato.
Provocan incidentes de seguridad sin malicia, mediante correos enviados por error, configuraciones incorrectas, caer en phishing y similares. Son los más numerosos en cuanto a cantidad de incidentes.
Un atacante externo roba las credenciales de un usuario legítimo y actúa como una persona interna. El relleno de credenciales es una vía de intrusión típica.
Detección mediante UEBA
La supervisión tradicional basada en reglas tenía dificultades para detectar comportamientos sospechosos que se mantenían dentro de privilegios legítimos. UEBA (User and Entity Behavior Analytics) utiliza aprendizaje automático para aprender el «patrón de comportamiento normal» de cada usuario como línea base y detectar desviaciones. Por ejemplo, puntúa automáticamente comportamientos como descargas masivas desde un servidor de archivos al que el usuario no suele acceder, inicios de sesión anómalos de madrugada o un aumento repentino del acceso a carpetas confidenciales por parte de un empleado cuya fecha de salida está próxima, y se integra con un SIEM para emitir alertas.
Flujo de detección de amenazas internas
Gestión de los privilegios de acceso de los empleados salientes
Muchos incidentes de amenazas internas se concentran en el periodo previo y posterior a la salida de un empleado. No es raro que un empleado que ha decidido renunciar se lleve datos confidenciales mientras aún está empleado. Como parte de la operación de IAM, es importante establecer procedimientos que reduzcan gradualmente los privilegios de acceso del empleado saliente y deshabiliten de inmediato todas sus cuentas en su último día laboral. También es necesario verificar que no queden datos de trabajo en las cuentas personales de servicios en la nube tras su salida.
Relación con el principio de mínimo privilegio
El principio de mínimo privilegio es la base de la defensa contra amenazas internas. Otorgar amplios derechos de acceso a todos los empleados amplía el radio de impacto de las acciones malintencionadas y aumenta la probabilidad de accidentes por negligencia. Otorgar solo los privilegios mínimos necesarios para el puesto y evitar la acumulación de privilegios innecesarios (deriva de privilegios) mediante auditorías de seguridad periódicas es la clave para acotar el daño. Combinado con la clasificación de datos, se puede diseñar el control de acceso de forma más precisa según el grado de confidencialidad.
Errores comunes
La idea de que «nuestra empresa es pequeña, así que las amenazas internas no nos afectan» es peligrosa. Cuanto más pequeña es la organización, más laxa suele ser la separación de funciones, y a menudo un solo empleado puede acceder a una amplia gama de sistemas. Además, como las amenazas internas incluyen no solo la malicia sino también la negligencia, este es un asunto independiente de si confías o no en tus empleados. El mecanismo de control de acceso debe entenderse no como «lo establecemos porque no confiamos», sino como «lo establecemos para mantener la confianza». El artículo sobre defensa frente a amenazas internas explica enfoques prácticos en detalle.libros sobre amenazas internas (Amazon) también son referencias útiles para el trabajo práctico.
Casos de uso reales
«UEBA detectó que un empleado que iba a marcharse había estado accediendo a diario, desde dos semanas antes de su último día laboral, a una carpeta de planos de diseño a la que normalmente no accede. La investigación reveló que era un intento de extraer datos en preparación para incorporarse a un competidor, y pudimos evitarlo antes de que se produjera ningún daño.»
Para la postura de seguridad de toda la organización, consulta también la política de contraseñas empresarial y la lista de verificación de seguridad para startups.
¿Te resultó útil este artículo?