LA AMENAZA DEL USUARIO INTERNO (INSIDER)

LA AMENAZA DEL USUARIO INTERNO (INSIDER)

Parece mentira que la mayoría de los ataques y amenazas de seguridad de TI en las empresas son provocadas por personal interno que conoce de alguna manera las entrañas de la empresa. Un empleado muy hábil e inteligente puede hasta convencer al jefe de que nada está pasando mientras perpetra sus fechorías Lo difícil de este criminal es que está dentro del sistema es que es impredecible y la manera de combatirlo es reforzar los procesos internos de la empresa. Según estudios el 80% de los ataques maliciosos son perpetrados por gente que está dentro de la organización, por su parte empresas como Microsoft hablan de que el 80% de los ataques tienen intervención humana, entonces. La mayor parte de los culpables de las amenazas de TI son los usuarios internos. Algo muy importante es que el 87% de los ataques pudieron ser evitados con simples o medianamente complejos controles.

Los intrusos internos son difíciles de detectar porque tienen acceso y autorización para muchas cosas dentro de la empresa; pero como frecuentemente ocurre, en algún momento muestran una conducta fuera de lo normal –pudiera decirse aberrante- que los pone en evidencia. Por lo tanto debemos de buscar técnicas para encontrar estas conductas anormales y así detectar estos individuos.

Monitorear los patrones de tráfico en la red para localizar movimientos de grandes cantidades de datos que a todas luces pudieran ser señal de una conducta maliciosa. Hay que establecer una línea que se considere un patrón normal para poder tener punto de comparación y detectar lo que se sale del patrón. Esto no es fácil pare permite tener una idea de una red en condiciones normales y que nos permita analizar el comportamiento cotidiano de las redes en busca de perpetradores. Al detectar un ataque solucionarlo inmediatamente pero luego no dejar pasar el hecho de hacer un análisis exhaustivo de la casusa aunque pudiera parecer obvia la situación que se vulneró.

QUÉ SE PUEDE HACER PARA MITIGAR RIESGOS DE ATAQUES

En las BITÁCORAS DE EVENTOS se regostan los movimientos de todos los usuarios, el problema es que en muchas organizaciones no se les hace mucho caso a dichas bitácoras.

Llevar un registro de control de acceso, esta es una práctica muy útil ya que el perpetrador siempre tiene que pasar por esa puerta de acceso para entrar a los sistemas.

El uso del DATA LEAK PROTECTION que son productos que monitorean el movimiento de datos en la red. No son infalibles pero permiten alertar de comportamientos sospechosos en la red.

Revisar los equipos de los usuarios a través de antivirus u otras herramientas para localizar herramientas instaladas o almacenadas en los equipos que pudieran usarse para perpetrar actividades delictivas.

Los sistemas de detección de intrusos son de utilidad para detectar ataques ya conocidos dentro de los sistemas

Buscar dentro de las redes archivos peculiares como comprimidos exageradamente largos o formatos que no son requeridos para el tipo de negocio.

Auditar los equipos de cómputo (personal o privado usado en la empresa) para revisar: archivos, bitácoras locales, etc. Esto en especial medida con los empleados en posiciones sensibles y los empleados que despierten sospechas.

El uso de Honey Pods es un equipo instalado para detector accesos no autorizados al sistema. Se toman una serie de computadoras y se instalan en posiciones atractivas para el uso de los empleados y detectar a los que pudieran ser una amenaza. Hay que establecer todo un proceso con estos equipos para analizar el comportamiento de los usuarios y así tener herramientas para mitigar los riesgos de estos ataques. Por obvias razones es una práctica que se debe mantener en secreto.

Por su parte hay otra técnica llamada Red Herring que se trata de tener en la red archivos fantasma para escanearlos en la red en busca de usuarios que hayan bajado los archivos indicado una conducta aberrante ya que esos archivos no son de utilidad para el negocio.

COMO PREVENIR ESTOS ATAQUES

Detectar es bueno pero prevenir es MEJOR. Un buen sistema de detección puede evitar un ataque.

Verificar antecedentes de los empleados, indagar en sus trabajos anteriores es bueno ya que el 40% de los ataques son perpetrados por empleados normales (no especializados en TI) que han tenido conductas criminales que se pueden repetir.

Enseñar a los empleados de nuevo ingreso las políticas especificas sobre cuestiones de seguridad (tratamiento de password, accesos, etc.) de lo que se puede y no se pude hacer en la empresa.

Implementar un proceso completo de baja de empleados que garantice que al salirse el empleado perderá acceso lógico a las plataformas, acceso físico a las instalaciones, deshabilitar las contraseñas, etc.

Al cambiarse de puesto los empleados adquieren permisos y accesos nuevos a los sistemas. Frecuentemente mientras se ocupa la plaza anterior el empleado también sigue teniendo los privilegios del puesto viejo y luego por falta de buenas practicas –políticas adecuadas- se les olvida a los administradores borrar y quitar privilegios que no le corresponden al empleado.

Muchas ataques son perpetrados por terceras personas (socios, contratistas, etc.), por lo tanto es sano comunicar las condiciones de lo que se puede y no en la empresa (crear acuerdos).

Implementar la separación de tareas (SoD), con esta práctica se fuerza a que sea necesaria la colaboración de dos personas para tratar situaciones o acciones muy sensibles como autorizaciones.

Implementar controles de acceso con mínimos privilegios. Esta es una de las mejores técnicas contra ataques. Dar al usuario los mínimos privilegios para que pueda trabajar y evitar que él o alguna herramienta tenga acceso a instancias no autorizadas. la lista de restricciones de acceso debe ser revisada periódicamente y deberá de pasar por un proceso de autorización para controlar los cambios que sufra el sistema

El control de acceso en base a roles (RBAC) permite controlar el acceso desde el punto de vista del rol del empleado y no por departamento, de esta forma se tiene privilegios mínimos para desempeñar las funciones del propio trabajo

...