Cómo proteger una organización de las amenazas internas

La desaceleración e incertidumbre económica han creado las condiciones ideales para que aumente el riesgo de estas amenazas internas, tanto si son por una menor inversión de recursos para la formación como de una falta de cumplimiento de las directrices de seguridad o de una reducción de la satisfacción laboral de los empleados —lo que puede llevarlos a tomar represalias contra la empresa-.

En concreto, las organizaciones que están en medio de grandes cambios estructurales, por ejemplo, fusionando sus oficinas comerciales o realizando una reducción de plantilla, tienen que ser capaces de tomar medidas cuando detecten una actividad sospechosa de algún usuario de alto riesgo.

Como ocurre con todos los ciberataques, la mayoría de las infracciones cometidas por el personal interno son fruto de un uso indebido del acceso, tanto si es el resultado de una negligencia como si es un acto malintencionado. Las amenazas internas son especialmente peligrosas porque suponen un uso indebido del acceso - ya sea por negligencia o de manera intencionada- por parte del personal de confianza que, para realizar su trabajo, tiene permiso para acceder a recursos críticos y datos confidenciales de toda la organización.

Las negligencias, por ejemplo, pueden provocar la vulneración de un sistema de varias maneras, pero el resultado siempre es el mismo: debido al error que alguien ha cometido, que sea un usuario final que ha dejado su ordenador portátil desbloqueado o un administrador de Active Directory que no ha respetado las directrices establecidas para los empleados que dejan la empresa, la puerta se queda abierta para que un atacante pueda hacerse fácilmente con unas credenciales privilegiadas.

Por otro lado, una amenaza interna malintencionada puede aprovecharse de un acceso con privilegios para poner en peligro el sistema de una organización por diversos motivos, desde la obtención de una ganancia económica a la venganza. Pero independientemente del motivo, el uso inadecuado del acceso se encuentra en la base de las amenazas internas.

En cualquier caso, las amenazas internas son especialmente difíciles de erradicar además de costosas. Según el informe de Ponemon mencionado arriba, las organizaciones afectadas tardan una media de 85 días en contener un incidente provocado por alguien de dentro y el coste a las empresas de cada incidente ronda una media del medio millón de euros.

Por lo tanto, para que una organización esté protegida de las amenazas internas es fundamental que tenga una estrategia de seguridad que priorice la identidad y que aborde cada fase del ciclo de vida de un ciberataque —incluida la recuperación tras un ataque interno en caso de que suceda lo peor-.

Desafortunadamente, la mayoría de las soluciones de ciberseguridad se centran solo en detectar los accesos no autorizados. Para abordar adecuadamente las amenazas internas, las organizaciones necesitan soluciones que protejan su propio sistema principal de identidad, analizándolo en busca de vulnerabilidades, detectando y corrigiendo automáticamente los cambios peligrosos, identificando los vectores de ataque a los recursos críticos y proporcionando informes forenses posteriores a las infracciones para cerrar las puertas traseras dejadas por el personal interno malintencionado.

Medidas de seguridad que priorizan la identidad para protegerse de las amenazas internas

El Active Directory (AD) y Azure Active Directory son el sistema de identidad principal del 90% de las empresas. Una buena solución de recuperación -específica al AD– ofrece la posibilidad de proteger los servicios de identidad críticos antes, durante y después de una amenaza interna, de las siguientes maneras:

- Antes de un ataque: destapa las vulnerabilidades de seguridad que pueden allanar el terreno para que el personal de confianza haga un uso indebido del acceso (por ejemplo, cuentas inactivas o con contraseñas caducadas), permite la inmovilización de la identidad —para impedir que un determinado grupo de usuarios realice ciertos cambios antes de que finalicen los contratos de los trabajadores, para así impedir los cambios malintencionados realizados por empleados descontentos, y pone en relieve los vectores de ataque a los activos críticos de Tier 0-.

- Durante un ataque: supervisa continuamente los indicadores de vulneraciones (IOC), realizando un seguimiento de los cambios peligrosos en el AD local y en Azure AD, y es capaz de revertir automáticamente los cambios concretos que pueden ser un indicio de la existencia de un ataque como, por ejemplo, las incorporaciones inexplicables al grupo de Administradores del Dominio.

- Después del ataque: accede a las herramientas de análisis forense tras una infracción para descubrir las técnicas de ataque utilizadas por los responsables internos y cerrar las puertas traseras al AD y Azure AD.

Las amenazas internas continuarán siendo un importante riesgo para cualquier empresa, ya que tanto empleados como contratistas, proveedores y socios pueden infligir daños devastadores a las organizaciones, ya sea por descuido o por malicia. La protección contra estas amenazas requiere un esfuerzo concertado, una estrategia integral que aborde todas las fases del ciclo de vida del ataque, incluidas la prevención, la corrección y la recuperación.

Ray Mills, Director de Ventas en España para Semperis