Cómo afrontar los riesgos internos: ¿Sus empleados están facilitando amenazas externas?

17 de julio de 2024Las noticias de los hackersAmenazas internas / Ciberseguridad

Los ataques a su red suelen ser operaciones meticulosamente planificadas lanzadas por amenazas sofisticadas. A veces, sus fortificaciones técnicas suponen un desafío formidable y el ataque requiere ayuda desde el interior para tener éxito. Por ejemplo, en 2022, el FBI emitió una advertencia¹ Los ataques de intercambio de SIM están aumentando: obtienen el control del teléfono y obtienen una puerta de acceso al correo electrónico, cuentas bancarias, acciones, bitcoins, credenciales de identidad y contraseñas. La pasada primavera, empleados actuales y anteriores de T-Mobile y Verizon informaron haber recibido mensajes de texto no solicitados en los que se les preguntaba si estarían interesados ​​en recibir algo de dinero extra.² a cambio de permitir intencionalmente el «Robo de tarjeta SIM.»

Estas historias que acaparan los titulares sobre el infiltrado malicioso son ciertamente reales, pero muchos ataques externos provienen de una fuente mucho menos visible: El informante accidentalSe trata de empleados de carrera, contratistas, socios o incluso trabajadores temporales de temporada que, por negligencia o falta de conciencia, permiten la explotación de las debilidades internas.

Los usuarios internos accidentales comprometen la seguridad de forma involuntaria debido a:

• Falta de conocimiento: los empleados que no están familiarizados con las mejores prácticas de ciberseguridad pueden ser víctimas de campañas de phishing, abrir archivos adjuntos infectados con malware o hacer clic en enlaces a sitios maliciosos. El conocimiento está vinculado a la cultura de la empresa y refleja la eficacia de los controles no técnicos, especialmente los de liderazgo.
• Presión para actuar: Sus empleados aprenden cómo y cuándo “flexibilizar” las reglas o eludir los controles técnicos para realizar el trabajo o cumplir con un plazo exigente.
• Manejo deficiente de credenciales: las contraseñas débiles, el uso compartido de contraseñas y la reutilización de contraseñas en cuentas personales y comerciales facilitan que los atacantes obtengan acceso no autorizado.
• Sneakernets: Movimiento no autorizado y no controlado de datos a través de dominios de seguridad y hacia medios extraíbles personales o servicios de nube pública.

Al comprometer involuntariamente las mejores prácticas de seguridad, los atacantes accidentales allanan el camino para ataques externos de varias maneras:

• Ataque inicial: los correos electrónicos de phishing pueden engañar a personas no autorizadas para que revelen credenciales de red o de aplicaciones, lo que permite a los atacantes obtener acceso a los sistemas internos. Este vector de ataque inicial se convierte en la base de futuros ataques.
• Privilegios elevados: la descarga accidental de malware por parte de un infiltrado puede otorgar a los atacantes privilegios elevados, lo que les permite manipular sistemas críticos o robar grandes cantidades de datos.
• Movimiento lateral: una vez dentro, los atacantes aprovecharán los privilegios de acceso del infiltrado para moverse lateralmente a través de la red, accediendo a datos y aplicaciones confidenciales o implementando malware en otros sistemas.
• Ingeniería social: las tácticas de ingeniería social explotan la confianza humana. Los atacantes pueden hacerse pasar por gerentes y colegas para manipular a los empleados internos para que divulguen información confidencial o ejerzan sus privilegios en beneficio de la amenaza externa.

Las consecuencias de un ataque accidental facilitado por un tercero pueden ser significativas:

• Pérdidas financieras: Las pérdidas de datos resultantes de la negligencia y la ambivalencia internas dan lugar a fuertes multas, repercusiones legales y costos de reparación.
• Daño a la reputación: la divulgación pública de un evento interno puede dañar gravemente la reputación de la organización, lo que lleva a la pérdida de negocios y a la erosión de la confianza de los clientes.
• Interrupción operativa: los ataques pueden interrumpir las operaciones comerciales, lo que genera tiempo de inactividad, pérdida de productividad y obstaculiza la generación de ingresos.
• Robo de propiedad intelectual: los estados extranjeros y los competidores pueden usar propiedad intelectual robada para obtener una ventaja injusta en el mercado.

La buena noticia es que el riesgo que suponen las infiltraciones accidentales se puede reducir significativamente mediante medidas proactivas:

• Capacitación sobre concientización sobre seguridad: eduque periódicamente a los empleados sobre las mejores prácticas de ciberseguridad, incluida la concientización sobre phishing, la higiene de contraseñas y las técnicas de manejo seguro de datos.
• Cultura de seguridad: Fomentar una cultura de seguridad dentro de la organización donde los empleados se sientan cómodos al reportar actividades sospechosas y donde los gerentes estén capacitados y capacitados para aprovechar los recursos internos para abordar las preocupaciones de seguridad.
• Monitoreo de la actividad del usuario (UAM): controle el cumplimiento de las políticas de uso aceptable y aumente la observación de usuarios privilegiados con acceso elevado y la capacidad de manipular los controles de seguridad. Agregue análisis de comportamiento para examinar la UAM y otros datos empresariales para ayudar a los analistas a identificar los usuarios más riesgosos y los problemas organizacionales, como los entornos de trabajo hostiles revelados a través del análisis de sentimientos. Los entornos de trabajo hostiles reducen el compromiso de los empleados y aumentan el descontento, una receta peligrosa para el riesgo interno.
• Contenido Desarme y reconstrucción (CDR): Defiéndase de forma proactiva contra amenazas conocidas y desconocidas contenidas en archivos y documentos extrayendo contenido comercial legítimo y descartando contenido no confiable, incluido malware y contenido ejecutable no confiable.
• Soluciones multidominio:Elimine las redes de intrusiones y el uso no autorizado de servicios en la nube y reemplace estas prácticas con una inspección profunda automatizada basada en políticas del contenido en una experiencia de usuario sin restricciones. Permita que sus empleados transfieran datos de forma segura, protegida y rápida a través de dominios de seguridad que habilitan los procesos comerciales al mismo tiempo que protegen los datos y los sistemas de información.
• Institucionalizar las mejores prácticas aceptadas: Carnegie Mellon SEI CERT, MITRE, NITTF y CISA son ejemplos de algunas de las organizaciones que han publicado las mejores prácticas que incorporan controles organizacionales en el liderazgo, los recursos humanos y otros elementos que afectan el ciclo de vida del empleado y controles técnicos coherentes que actúan como barandillas que protegen contra personas internas accidentales y maliciosas.

Los ataques internos accidentales representan una amenaza importante que puede dejar a las organizaciones vulnerables a ataques externos. Sin embargo, al implementar la capacitación adecuada, los controles técnicos y organizativos y fomentar una cultura consciente de la seguridad, las organizaciones pueden mejorar significativamente su seguridad. reducir el riesgo.

Defiéndase contra los riesgos que plantean personas de confianza con información privilegiada Soluciones de riesgo interno de Everfox.

Nota: Este artículo está escrito por Dan Velez, gerente sénior de servicios de riesgo interno en Everfox, con más de 16 años de experiencia en riesgos y amenazas internas en Raytheon, Amazon, Forcepoint y Everfox.