La amenaza vino desde adentro
Al igual que la escena de terror donde la llamada telefónica amenazante suena en la casa en la que reside la víctima, a veces la amenaza proviene del interior. Si bien una organización generalmente enfrenta más ataques cibernéticos externos, también debería preocuparse por las amenazas internas. Un empleado enojado que ya tiene acceso a los archivos de la compañía podría volverse psicópata y filtrar documentos en secreto a los competidores, o sabotear los sistemas porque está enojado con su superior.
No faltan los cuentos de terror de amenazas internas. Considere a Terry Childs, el empleado de la ciudad de San Francisco que retuvo al rehén de la ciudad durante dos semanas mientras estaba sentado en una celda de la cárcel. O el contratista de la NSA más infame del mundo: Edward Snowden. Y luego está Anthony Levandowski, un ingeniero en una subsidiaria de Alphabet, acusado de descargar archivos de la compañía sobre tecnología de automóviles sin conductor, y se lo llevó a un competidor (Uber).
Los expertos maliciosos son difícilmente detectables antes de que inflijan horror. No son tan obvios como un payaso espeluznante o un monstruo con una máscara de hockey. Una amenaza interna podría ser cualquier persona: un empleado, un contratista externo. A diferencia de los vectores de ataque descritos anteriormente, los iniciados no tienen que molestarse en entrar y buscar en secreto datos valiosos. Ya están en el interior y saben dónde existen esos datos invaluables.
Sin una solución de detección de amenazas internas, puede parecer imposible descifrar si un empleado realiza sus actividades laborales habituales o participa en algo más siniestro. Para complicar el asunto, no son solo los personajes espeluznantes lo que preocupa. También existe la información privilegiada accidental a la que hay que temer. Un empleado normalmente eficaz y leal aún podría sucumbir a un correo electrónico de phishing cuidadosamente elaborado o una campaña de ingeniería social. En cierto sentido, cada empleado es un posible sospechoso de amenaza interna.
Entonces, ¿hay una bala de plata que pueda neutralizar la amenaza? No con las herramientas convencionales de ciberseguridad. Sin embargo, la tecnología de análisis de seguridad puede combinar diferentes fuentes de datos en una organización y vincular comportamientos de múltiples fuentes a una sola identidad. Luego, el aprendizaje automático puede identificar comportamientos arriesgados y ofrecer información con el mayor contexto posible. Esta táctica, que proporciona una vista correlacionada y priorizada de riesgo para que los equipos de seguridad respondan, es una de las claves para manejar la amenaza interna.
El merodeador
Hay varias razones por las cuales alguien podría lanzar un ciberataque. Quizás sea para realizar espionaje. Tal vez sea para infligir daño. Pero la razón más común es el robo simple: robar información valiosa que puede beneficiar al atacante. Hoy, los datos son el oro dentro de la bóveda en la mayoría de las organizaciones. Es el destino final de la cadena de ciberseguridad.
Entonces, cualquiera que sea la táctica utilizada (compromiso de la cuenta, abuso de acceso privilegiado u otros), generalmente se reduce a proteger los datos que buscan los delincuentes. Las herramientas DLP y SIEM fueron alguna vez las soluciones preferidas para bloquear el acceso a los datos. Pero las soluciones SIEM y DLP se volvieron ineficaces debido a su naturaleza basada en reglas de bloquear solo las amenazas conocidas. Además, generan demasiadas alertas que requerirían que un analista humano tenga un sexto sentido para descifrar las amenazas reales.
La prevención de la filtración de datos comienza con equipos de seguridad que saben quién está en su entorno, a qué tienen acceso y qué están haciendo. Muchas organizaciones operan en un área misteriosa y gris de riesgo desconocido. Abordar este problema aterrador requiere una medición precisa y oportuna de los riesgos que acechan como monstruos en esas áreas oscuras.
Necesitamos una solución que intervenga antes de que se filtren los datos. ¿Pero cómo se puede hacer eso? En los thrillers de ciberataque mencionados anteriormente, había un factor común: el comportamiento aberrante. El comportamiento es un indicador principal de amenaza, como nos gusta decir.
Algunos aficionados a las películas de terror dicen que puedes predecir qué personajes vivirán y cuáles morirán, en función de algunos patrones particulares de comportamiento. Del mismo modo, si puede detectar comportamientos que están fuera del rango de actividades normales en una red, es posible detectar y predecir actividades asociadas con sabotaje, mal uso y robo de datos. Se necesita una combinación de las fuentes de datos correctas, el aprendizaje automático y la ciencia de datos para identificar las actividades aberrantes indicativas de acciones maliciosas.