A todo el mundo le encantan los giros argumentales con agentes dobles en las películas de espías, pero la historia es diferente cuando se trata de proteger los datos de una empresa. Ya sean intencionales o no, las amenazas internas son una preocupación legítima. Según Investigación de CSAEl 26% de las empresas que informaron un incidente de seguridad de SaaS fueron atacadas por un infiltrado.
El desafío para muchos es detectar esas amenazas antes de que provoquen infracciones totales. Muchos profesionales de seguridad suponen que no hay nada que puedan hacer para protegerse de un usuario administrado legítimo que inicia sesión con credenciales válidas utilizando un método de autenticación multifactor de la empresa. Los usuarios internos pueden iniciar sesión durante el horario comercial habitual y pueden justificar fácilmente su acceso dentro de la aplicación.
Señal para el giro de la trama: con las herramientas adecuadas, las empresas poder protegerse del enemigo desde dentro (y desde fuera).
Aprenda a proteger toda su pila SaaS de amenazas internas y externas
Cómo controlar las amenazas centradas en la identidad con ITDR
En seguridad SaaS, un sistema de detección y respuesta a amenazas de identidad (ITDR) La plataforma busca pistas de comportamiento que indiquen que una aplicación ha sido comprometida. Cada evento en una aplicación SaaS es capturado por los registros de eventos de la aplicación. Esos registros son monitoreados y, cuando ocurre algo sospechoso, se genera una señal de alerta, llamada Indicador de Compromiso (IOC).
En el caso de las amenazas externas, muchos de estos IOC están relacionados con los métodos y dispositivos de inicio de sesión, así como con el comportamiento del usuario una vez que ha obtenido acceso. En el caso de las amenazas internas, los IOC son principalmente anomalías de comportamiento. Cuando los IOC alcanzan un umbral predeterminado, el sistema reconoce que la aplicación está amenazada.
La mayoría de las soluciones ITDR se centran principalmente en la protección de Active Directory en endpoints y locales. Sin embargo, no están diseñadas para abordar amenazas de SaaS, que requieren un profundo conocimiento de la aplicación y solo se pueden lograr mediante la comparación y el análisis de eventos sospechosos de múltiples fuentes.
Ejemplos de amenazas internas en el mundo del SaaS
- Robo o exfiltración de datos: Descarga o intercambio excesivo de datos o enlaces, en particular cuando se envían a direcciones de correo electrónico personales o de terceros. Esto puede ocurrir después de que un empleado haya sido despedido y crea que la información podría ser útil en su próximo puesto, o si el empleado está muy descontento y tiene malas intenciones. Los datos robados pueden incluir propiedad intelectual, información de clientes o procesos comerciales exclusivos.
- Manipulación de datos:La eliminación o modificación de datos críticos dentro de la aplicación SaaS, lo que podría causar pérdidas financieras, daños a la reputación o interrupciones operativas.
- Uso indebido de credenciales:Compartir credenciales de inicio de sesión con usuarios no autorizados, ya sea intencional o involuntariamente, lo que permite el acceso a áreas sensibles de la aplicación SaaS.
- Abuso de privilegios: Un usuario privilegiado aprovecha sus derechos de acceso para modificar configuraciones, eludir medidas de seguridad o acceder a datos restringidos para beneficio personal o con intenciones maliciosas.
- Riesgos de proveedores externos: Los contratistas o proveedores externos con acceso legítimo a la aplicación SaaS hacen un mal uso de su acceso.
- Aplicaciones de sombra: Los infiltrados instalan software o complementos no autorizados en el entorno SaaS, lo que puede introducir vulnerabilidades o malware. Esto no es intencional, pero lo introduce un infiltrado.
Cada uno de estos IOC por sí solo no necesariamente indica una amenaza interna. Puede haber razones operativas legítimas que justifiquen cada acción. Sin embargo, a medida que los IOC se acumulan y alcanzan un umbral predefinido, los equipos de seguridad deben investigar al usuario para comprender por qué está realizando estas acciones.
Conozca más en profundidad cómo funciona ITDR junto con SSPM
Cómo trabajan juntos ITDR y SSPM para prevenir y detectar amenazas internas
El principio del mínimo privilegio (PoLP) es uno de los enfoques más importantes en la lucha contra las amenazas internas, ya que la mayoría de los empleados suelen tener más acceso del necesario.
La gestión de la postura de seguridad de SaaS (SSPM) y la ITDR son dos partes de un programa integral de seguridad de SaaS. La SSPM se centra en la prevención, mientras que la ITDR se centra en la detección y la respuesta. La SSPM se utiliza para aplicar una sólida estrategia de seguridad que priorice la identidad, evitar la pérdida de datos mediante la supervisión de la configuración de uso compartido en los documentos, detectar aplicaciones ocultas utilizadas por los usuarios y supervisar el cumplimiento de los estándares diseñados para detectar amenazas internas. Las ITDR eficaces permiten a los equipos de seguridad supervisar a los usuarios que participan en actividades sospechosas, lo que les permite detener las amenazas internas antes de que puedan causar un daño significativo.
Obtenga una demostración de 15 minutos y aprenda más sobre ITDR y sus diferentes casos de uso
Nota: