Los daños causados por los ataques internos -insiders- a los sistemas de información de las empresas en EEUU crecieron un 31% en los últimos tres años, con un coste medio de más de 11 millones de dólares, según el estudio 2020 Cost of Insider Threats: Global. También aumentó un 47% la frecuencia de los incidentes que, de media, tardan 77 días en contenerse. De los tres grandes perfiles de insiders: usuarios negligentes, los infiltrados y los ladrones de credenciales, estos últimos son los que causan más daño, si bien representan solo una cuarta parte de los ataques.
Para ayudar a frenar esta amenaza emergente, Autelsi ha elaborado un trabajo que analiza esta problemática, que ha servido de base para el encuentro ‘Amenazas Internas de Ciberseguridad: Insiders’, en el que Mikel Salazar Peña, responsable de Ciberseguridad para Iberia de DXC Technology, presentó una hoja de ruta y las mejores prácticas y tecnologías para combatir a los insiders.
Índice de temas
Aumento del área de exposición
El teletrabajo ha incrementado de manera exponencial el riesgo debido al uso de conexiones inseguras, el uso de dispositivos personales y la difuminación del perímetro, problemas que se añaden al ya complicado panorama de amenazas de la prepandemia.
Para Mikel Salazar Peña, en la batalla contra los insiders es necesario enfocar tres principios clave. El primero es Reducir la complejidad. Identificar y entender el riesgo al que se exponen las organizaciones teniendo claro el nivel de madurez de partida y los vectores de entrada. Además del cumplimiento con la normativa, es fundamental tener preparado un plan por si la organización se ve comprometida y disponer de protocolos de gestión de impacto reputacional y operacional.
El segundo es Proteger el dato. “Hay que cambiar el chip -señala Mikel Salazar-, antes el foco estaba en la securización de la red ahora lo urgente es prestar atención al dato y la identidad. Recomendamos la implementación del modelo Zero Trust donde cualquier usuario o elemento es una posible amenaza, independientemente de si es interno o externo. Gracias a Zero Trust tendremos una autenticación reforzada, procesos de verificación y mejora en la visibilidad del uso del dato de una manera transversal”.
Su implementación requiere una autenticación fuerte (apoyada en soluciones de acceso Multifactor y condicional), en un dispositivo confiable (libre de vulnerabilidades y con sistemas avanzados de respuesta EDR). También será fundamental asegurar el principio de mínimo privilegio.
El tercer foco es situar la Seguridad en el centro. El empleado es la primera línea de defensa y es fundamental un buen plan de formación y concienciación que contemple políticas reforzadas, actualizaciones de seguridad y formación continua. A nivel corporativo, es fundamental la esponsorización de la dirección, creando una cultura de seguridad, aplicando la máxima del principio “secure by design”, (personas, procesos, tecnología).
Gestión de identidad e identidad privilegiada
Las soluciones de gestión de la identidad e identidad privilegiada ayudan a implementar las mejores prácticas en identidad para mitigar estas amenazas internas como segregación de funciones, privilegio mínimo, facilitando solo el acceso necesario para realizar un trabajo, que limita la exposición de datos confidenciales o secretos.
En este entorno tan difícil hay que reducir la complejidad, proteger el dato y poner la Seguridad en el centro de las organizaciones
“En DXC -señala Mikel Salazar- tenemos gran experiencia y referencias en la implementación de estas herramientas, en clientes de todos los sectores, apoyándonos en socios tecnológicos tan potentes como Cyberark o Sailpoint, entre otros que nos permiten implementar el modelo Zero Trust de manera eficiente”.
Según el responsable de Ciberseguridad para Iberia de DXC, las soluciones de Gestión de identidad ayudan en 5 puntos clave contra los insiders. La implementación del ciclo de vida de la identidad permite asegurar la correcta baja de permisos una vez finalizada la relación laboral, evitando accesos no deseados, eliminación de archivos o fugas de información. Por su parte, las políticas de segregación de funciones impiden que una identidad acumule permisos incompatibles o que consiga una composición de permisos que supere un nivel de riesgo determinado.
La Implementación del modelo de control de acceso basado en roles (RBAC) garantiza que no se acumulen permisos heredados y permite hacer campañas de certificaciones de acceso en las que, periódicamente, los propietarios de los datos o aplicaciones validen si esos accesos son necesarios pudiéndose revocar en el caso de no ser necesarios.
Securización de infraestructuras, detección y respuesta
En el ámbito de los insiders, las dos principales amenazas a monitorizar son la exfiltración de datos y el abuso de credenciales privilegiadas
Según Salazar, la transformación digital hacia la nube es imparable y su adopción entraña diferentes riesgos como la aparición de permisos excesivos. “En este nuevo paradigma aparecen nuevos permisos asociados a su gestión (CloudOps, DevOps) y desde DXC recomendamos la adopción de herramientas CSPM que nos dan visibilidad sobre roles, nivel de acceso, acciones realizadas para localizar y remediar permisos incensarios asignados a roles personales o de aplicación. Además, pueden posibilitar remediaciones automáticas minimizando el riesgo de respuesta”.
En paralelo, en esta nueva realidad, donde el perímetro se ha difuminado para proteger a los empleados es necesario proteger todas las actividades realizadas desde sus puestos de trabajo. Aquí, las soluciones de arquitectura Secure Access Service Edge (SASE) pueden ayudar, ya que no se centran en redes origen ni destino como antiguamente, sino que tienen un foco directo en la identidad independientemente de su localización. “En DXC somos expertos en este nuevo enfoque SASE y trabajamos con los principales partners referentes en este ámbito como Palo Alto, Netskope o Zscaler”, añade Salazar.
Para DXC las dos principales amenazas a monitorizar frente a los insiders son la exfiltración de datos que constituye la más recurrente junto el abuso de credenciales privilegiadas. En el caso de la exfiltración, antes se utilizaban los USB y los discos duros como principal medio de robo de información, hoy se hace utilizando el correo electrónico mediante reenvío a cuentas personales, cargando la información en sitios de colaboración en la nube.
