[ad_1]
Los daños causados por los ataques internos -insiders- als sistemes d’informació de les empreses a EE.UU. van créixer un 31% en els últims tres anys, amb un cost mitjà de més d’11 milions de dòlars, segons l’estudi Cost de les amenaces internes per al 2020: global. També va augmentar un 47% la freqüència dels incidents que, de mitjans, tarda 77 dies en contingut. De los tres grandes perfiles de insiders: usuarios negligentes, los infiltrados y los ladrones de credenciales, éstos últimos son los que causan más daño, si bien representan solo una cuarta parte de los ataques.
Per ajudar a frenar aquesta amenaza emergent, AUTELSI ha elaborat un Treball que analitza aquesta problemàtica, que ha servit de base per a l’encontre “Amenazas Internas de Ciberseguridad: Insiders”En el que Mikel Salazar Peña, Responsable de Ciberseguridad para Iberia de Tecnologia DXC presentat una hoja de ruta i les millors pràctiques i tecnologies per combatre als insiders.
Aumento del área de exposición
El teletrabajo ha incrementat de manera exponencial el risc degut a l’ús de connexions insegures, l’ús de dispositius personals i la difuminació del perímetre, problemes que s’afegeixen al panorama complicat de amenaces de la prepandèmia.
Para Mikel Salazar Peña, en la batalla contra els insiders és necessari enfocar tres principis clau. El primer és Reduir la complexitat. Identificar i entendre el risc al que s’exposen les organitzacions tenint clar el nivell de maduració de partida i els vectors d’entrada. A més del compliment amb la normativa, és fonamental tenir preparat un pla per si l’organització es compromet i disposa de protocols de gestió d’impacte reputacional i operacional.
El segon es Protegiu les dates. “Hi ha que canviar el xip -señala Mikel Salazar-, abans el foc estava en la securització de la vermella ara el urgent és prestar atenció a les dates i la identitat. Recomanem la implementació del model Zero Trust on qualsevol usuari o element és un possible amenaza, independentment de si és intern o extern. Gracies a Zero Trust tindrà una autenticació reforçada, processos de verificació i millora en la visibilitat de l’ús del dia d’una manera transversal ”.
La seva implementació requereix una autenticació forta (recolzada en solucions d’accés Multifactor i condicional), en un dispositiu confiable (lliure de vulnerabilitats i amb sistemes avançats de resposta EDR). També serà fonamental assegurar el principi de mínim privilegi. En el cas de la verificació, serà fonamental incorporar sistemes d’Anàlisi del comportament d’usuaris i entitats (UEBA) recolzats en intel·ligència artificial i machine learning per a la detecció avançada d’aquest tipus d’insiders.
El tercer foc es situa la Seguretat al centre. El empleat és la primera línia de defensa i és fonamental un bon pla de formació i consciència que contemple polítiques reforçades, actualitzacions de seguretat i formació contínua. A nivell corporatiu, és fonamental l’esponsorització de la direcció, creant una cultura de seguretat, aplicant la màxima del principi “secure by design”, (persones, processos, tecnologia).
Gestió d’identitat i identitat privilegiada
Las soluciones de gestión de la identidad e identidad privilegiada ayudan a implementar las mejores prácticas en identidad para mitigar estas amenazas internas como segregación de funciones, privilegio mínimo, facilitando solo el acceso necesario para realizar un trabajo, que limita la exposición de datos confidenciales o secretos. .
“En DXC -señala Mikel Salazar- tenim gran experiència i referències en la implementació d’aquestes eines, en clients de tots els sectors, donant suport en socis tecnològics tan potents com Cyberark o Sailpoint, entre altres que permetem implementar el model Zero Trust de manera eficient ”.
Segueix el responsable de Ciberseguritat per a Iberia de DXC, les solucions de Gestió d’identitat ayudan en 5 punts clau contra els insiders. La implementació del cicle de vida de la identitat permet assegurar la correcta baixa de permisos una vegada finalitzada la relació laboral, evitant accessos no desitjats, eliminació d’arxius o fugues d’informació. Per la seva part, les polítiques de segregació de funcions impiden que una identitat acumule permisos incompatibles o que consiga una composició de permisos que supere un nivell de risc determinat.
La Implementació del model de control d’accés basat en papers (RBAC) garantia que no s’acumulen permisos heredats i permet fer campanyes de certificacions d’accés en les que, periòdicament, els propietaris de les dades o aplicacions valides si són accessoris son necessaris es podrien revocar en el cas de no ser necessaris.
Finalment, la gestió d’identitat ajuda a identificar identitats i grups de risc derivats d’acumulació de permisos o d’accessos a sistemes crítics del negoci que podran aconsellar l’execució de campanyes de recertificació o segregació de funcions addicionals. A més, la possibilitat de la seva integració dins de la Gestió d’Esdeveniments i Informació de Seguretat (SIEM), permet la creació de casos d’usos personalitzats per a centres perfils sospitosos.
En el cas de la Gestió d’accessos privilegiats és necessari assegurar que ningú conozca les contrasenyes dels sistemes objectiu, disposant d’un punt únic d’accés i centralitzat. També es pot controlar unívocament qui fa ús de les que tinguem privilegiades cada moment, protegint-les. Y, per últim, gràcies a la possibilitat de grabación de las sesiones de usuarios privilegiados se tendrá una capacidad completa de registros de auditoría de cara a posibles investigaciones forenses.
Securització d’infraestructures, detecció i resposta
Según Salazar, la transformación digital hacia el nube es imparable y su adopción entraña diferentes riesgos como la aparició de permisos excesius. “En aquest nou paradigma apareixen nous permisos associats a la seva gestió (cloudops, devops) i des de DXC es recomana l’adopció de eines CSPM que no tenim visibilitat sobre rols, nivell d’accés, accions realitzades per localitzar i remeiar permisos incensaris assignats a rols personals o d’aplicació. A més, poden possibilitar reparacions automàtiques minimitzant el risc de resposta ”.
En paral·lel, en aquesta nova realitat, on el perímetre s’ha difuminat per protegir als empleats és necessari protegir totes les activitats realitzades des dels seus puestos de treball. Aquí, les solucions d’arquitectura Secure Access Service Edge (SASE) poden ajudar, ja que no es centren en redissenyar origen ni destí com a antigament, sinó que tenen un focus directe en la identitat independentment de la seva ubicació. “En DXC som experts en aquest nou enfocament SASE i treballem amb els principals socis referents en aquest àmbit com Palo Alto, Netskope o Zscaler”, afegeix Salazar.
En cant a la detecció i resposta, l’ús de tècniques o solucions tradicionals com a DLP, SIEM o PAM no son suficients per poder detectar a aquests actors. Muchas companyies tracten de realitzar una bona classificació de la informació confidencial o de negoci, però la manera cada vegada més descentralitzada en la que es manejen les dades compliquen molt la detecció.
Para DXC las dos principals amenaces a monitorizar frente a los insiders son l’exfiltració de dades que constitueixen la més recurrent junt amb l’abús de privilegis credencials. En el cas de l’exfiltració, abans s’utilitzaran els USBs i els discos duros per al principal mitjà de robo d’informació, avui fa servir el correu electrònic mitjançant reenvío a comptes personals, carregant la informació en llocs de col·laboració al nube.
En aquest context tan complicat hi ha que recorre a sistemes UEBA que queden amb algoritmes de detecció avançats recolzats en intel·ligència artificial i aprenentatge automàtic. Aquesta detecció avançada es logra gràcies a l’ús de patrons de detecció basats en diferents variables tales com a anàlisi del comportament, raresa de l’esdeveniment, geolocalització, anàlisi de volumetries, comparatives amb pares, entre altres.
En l’àmbit de la detecció avançada i resposta automatitzada mitjançant sistemes SOAR, DXC treballa amb líders del mercat com Securonix o Microsoft Sentinel on apoya els seus serveis de detecció i resposta 24×7. “Gràcies a la seva potenciació i la seva possibilitat d’automatització podem detectar comportaments extraños com els derivats de la presència d’insiders, de l’execució de comandaments de Windows PowerShell injustificats, de la compartició de comptes o d’escales de privilegis que es desencadenaran en un incident” , concluyeu Mikel Salazar.
[ad_2]