Las historias de terror sobre ciberseguridad no tienen por qué mantenerte despierto por la noche

0 168 7 minutos de lectura

El icónico cineasta John Carpenter dijo una vez esto sobre las películas de terror: “Hay dos historias diferentes de horror: interna y externa. En las películas de terror externas, el mal viene del exterior, la otra tribu, esa cosa en la oscuridad que no entendemos. Interno es el corazón humano «.

Del mismo modo, hay dos historias de terror principales en materia de ciberseguridad: ataques externos y amenazas internas. Al igual que las películas de terror cliché donde los adolescentes son acosados por asesinos maníacos, o las familias son perseguidas por fantasmas y espectros no deseados, la mayoría de las organizaciones están bajo el ataque continuo de temibles amenazas cibernéticas de una forma u otra.

Las empresas deben tener cuidado con los ciberataques externos y las amenazas internas. Como una película de terror clásica, ambas amenazas vienen con sus propios elementos de misterio, suspenso y miedo. Afortunadamente, es posible defender cada tipo de vector de ataque utilizando una estrategia de ciberseguridad similar para cada uno. Más sobre eso más tarde. Primero, establezcamos el escenario del panorama de seguridad actual.

Los fantasmas flotan a través de las paredes

En el pasado, la TI se centró en fortalecer el perímetro de la red frente a los forasteros. La idea era que si dejas de entrar a los villanos, no pasa nada malo. Era el enfoque clásico basado en fortalezas para mantener a raya a las hordas de zombis. Pero hubo un defecto fatal. Muchas organizaciones obsesionadas con la seguridad perimetral dieron confianza implícita a cualquiera que ya estuviera dentro. No hace falta decir que este enfoque desencadenó una serie de violaciones de datos horribles y allanó el camino para la confianza cero movimiento.

Por supuesto, las empresas deben seguir protegiendo el perímetro y defendiéndose de las amenazas conocidas, como siempre lo han hecho. Las amenazas cibernéticas conocidas representan un presagio de fatalidad que se cierne sobre todas las organizaciones. Pero las empresas de hoy deben ir más allá y estar atentas a esas amenazas impredecibles que lo asustan cuando menos lo espera.

Al igual que los subgéneros de la industria del cine de terror, existen clasificaciones para diferentes tipos de amenazas cibernéticas. Veamos cuatro de las historias de terror sobre ciberseguridad más aterradoras, algunas originadas desde fuera y otras desde dentro.

El poseído

Para conjurar sus nefastos planes, los ciberdelincuentes necesitan acceso. Los métodos para obtener acceso varían, pero una de las tácticas más comunes es compromiso de la cuenta – secuestrar una cuenta que ya tiene el acceso correcto.

Al igual que la película de terror «Actividad paranormal», donde una entidad maligna posee al personaje principal, un atacante se hace cargo de una cuenta comprometida para sus propios propósitos perversos. Esto significa que el intruso puede ingresar a cualquiera de los sistemas y aplicaciones a los que tiene acceso esa cuenta comprometida, y nadie sabrá que algo anda mal.

¿Cómo ocurre el compromiso de la cuenta? Por lo general, implica adivinar contraseñas, malware, publicidad maliciosa o registro de pulsaciones de teclas. También puede suceder a través de ataques Pass-the-Hash y hackeos de contraseña por fuerza bruta. Pero el spear phishing dirigido es probablemente la técnica más común para comprometer cuentas.

Los ataques de compromiso de cuentas son difíciles de descubrir porque se parecen a una amenaza interna desde el punto de vista de la detección. Las soluciones de seguridad de tipo lista blanca / lista negra convencionales son ineficaces para detener el compromiso de la cuenta, porque para estas soluciones la cuenta parece legítima. Entonces, ¿cuál es el agua bendita que se puede rociar en el némesis del compromiso de cuenta? Análisis de seguridad basados en el comportamiento.

Con el análisis de comportamiento, es posible detectar estas cuentas «poseídas» en función de patrones de comportamiento anómalos. Dicha actividad anormal puede incluir acceso inusual a activos sensibles o de alto riesgo, muchas solicitudes de acceso en un corto período de tiempo, actividad que se origina en cuentas inactivas y más. Las anomalías identificadas como inconsistentes con las actividades normales de un usuario o de un compañero activan una alerta que permite la intervención de los equipos SOC.

El Acechador de las Sombras

El abuso de acceso privilegiado es un vector de ataque que se superpone con el compromiso de la cuenta. Primero, el antagonista viola la seguridad del perímetro de una de muchas maneras. Una vez dentro, buscan claves SSH, contraseñas, certificados, tickets Kerberos y activos similares. Su objetivo es robar las credenciales que les permitan elevar su acceso, obtener movimiento sin restricciones en la red y robar datos de forma anónima a voluntad. Debido a que los cyber geists utilizan herramientas de piratería automatizadas, todo este proceso puede ocurrir sorprendentemente rápido.

Pero, como el depredador paciente que acecha a sus víctimas en una película de adolescentes, los atacantes suelen esperar el momento oportuno. Monitorearán silenciosamente la actividad y luego usarán la información que recopilen para expandir su control de la red. Según Ponemon, los piratas informáticos acechan como apariciones fantasmales en la red durante un promedio de 206 días antes de ser descubierto. Eso es mucho tiempo para que cualquier entidad maliciosa merodee.

Muchos ciberdelincuentes experimentados tienen un arsenal de herramientas automatizadas que pueden lanzar continuamente a objetivos desprevenidos. Tal brujería ejerce una inmensa presión sobre los equipos de ciberseguridad para luchar contra ciberataques sofisticados que nunca antes habían visto, a menudo utilizando un Frankenstein como la combinación de varios productos de seguridad.

Y no solo se debe temer a los forasteros. También hay un elemento de amenaza interna. El personal de TI generalmente tiene acceso anónimo a la red a través de cuentas privilegiadas compartidas, con contraseñas que rara vez cambian. Esto les da a las personas desagradables la oportunidad de fisgonear y tomar datos confidenciales sin que nadie se dé cuenta. Entonces, ¿qué puedes hacer para eliminar estos fantasmas en tu medio?

Analítica de identidad La tecnología puede descubrir quién tiene acceso privilegiado con derechos que pueden haberse escalado después del aprovisionamiento o que existen dentro de las aplicaciones y los datos no estructurados. Esto permite a los líderes de seguridad de TI administrar, monitorear y controlar el acceso privilegiado con una efectividad óptima.

Y con análisis de comportamiento de usuarios y entidades (UEBA) Es posible analizar automáticamente los datos para revelar actividades sospechosas: acceder a archivos, sistemas y aplicaciones inapropiados a los que se accede desde nuevas ubicaciones o nuevos dispositivos, e incluso cosas más extrañas que podrían indicar un comportamiento de riesgo.

La amenaza vino desde dentro

Al igual que la escena de terror donde la llamada telefónica amenazante se remonta a la casa en la que reside la víctima, a veces la amenaza proviene del interior. Si bien una organización generalmente se enfrenta a más ciberataques externos, deberían estar igualmente preocupados por las amenazas internas. Un empleado enojado que ya tiene acceso a los archivos de la empresa podría volverse psicópata y filtrar documentos en secreto a la competencia, o sabotear los sistemas porque está molesto con su empleador.

No hay escasez de historias de terror de amenazas internas. Considerar Terry Childs – el empleado de la ciudad de San Francisco que mantuvo a la ciudad como rehén durante dos semanas mientras estaba sentado en una celda de la cárcel. O el contratista de la NSA más infame del mundo: Edward Snowden. Y luego esta Anthony Levandowski, un ingeniero de una subsidiaria de Alphabet que está acusado de descargar archivos de la empresa sobre tecnología de vehículos autónomos y se los llevó a un competidor (Uber). Muestra que, al igual que el personaje demente de Jack Nicholson en el aislado Overlook Hotel, a veces incluso personas confiables y confiables pueden recurrir.

Los iniciados maliciosos son siniestros porque es un desafío detectarlos antes de que inflijan horror. No son tan obvios como un payaso espeluznante o un fenómeno con una máscara de hockey. Una amenaza interna podría ser cualquier persona: un empleado, un contratista externo. A diferencia de los vectores de ataque descritos anteriormente, los iniciados no tienen que molestarse en irrumpir y buscar en secreto datos valiosos. Ya están en el interior y saben dónde existen esos datos invaluables.

Sin un detección de amenazas internas solución, puede parecer imposible descifrar si un empleado está realizando sus actividades laborales habituales o si está involucrado en algo más siniestro. Para complicar el asunto, no solo los personajes espeluznantes son una preocupación. También está la información privilegiada accidental a la que temer. Un empleado leal y normalmente efectivo aún podría sucumbir a un correo electrónico de phishing cuidadosamente elaborado o una campaña de ingeniería social. En cierto sentido, cada empleado es un posible amenaza interna sospechar.

Entonces, ¿existe una solución milagrosa que pueda neutralizar la amenaza? No con las herramientas de ciberseguridad convencionales. Sin embargo, analítica de seguridad La tecnología puede combinar diferentes fuentes de datos en una organización y vincular comportamientos de múltiples fuentes a una sola identidad. Luego, el aprendizaje automático puede identificar el comportamiento de riesgo y brindar información valiosa con la mayor cantidad de contexto posible. Esta táctica, que proporciona una vista correlacionada con prioridades de riesgo para que los equipos de seguridad respondan, es una de las claves para manejar la amenaza interna.

El merodeador

Hay varias razones por las que alguien podría lanzar un ciberataque. Quizás sea para realizar espionaje. Quizás sea para infligir daño. Pero la razón más común es el simple robo: robar información valiosa que puede beneficiar al atacante. Hoy, los datos son el oro dentro de la bóveda en la mayoría de las organizaciones. Es el destino final de la cadena de eliminación de la ciberseguridad.

Por lo tanto, cualquiera que sea la táctica utilizada (compromiso de la cuenta, abuso de acceso privilegiado u otros), por lo general se reduce a proteger los datos que buscan los delincuentes. Las herramientas DLP y SIEM fueron alguna vez las soluciones preferidas para bloquear el acceso a los datos. Pero las soluciones SIEM y DLP se volvieron ineficaces debido a su naturaleza basada en reglas de bloquear solo amenazas conocidas. Además, generan demasiadas alertas eso requeriría que un analista humano tuviera un sexto sentido para descifrar las amenazas reales.

La prevención de la filtración de datos comienza cuando los equipos de seguridad saben quién se encuentra en su entorno, a qué tienen acceso y qué están haciendo. Muchas organizaciones operan en un área misteriosa y gris de riesgo desconocido. Abordar este aterrador problema requiere una medición precisa y oportuna de los riesgos que acechan como monstruos en esas áreas oscuras.

Necesitamos una solución que intervenga antes de que se extraigan los datos. Pero, ¿cómo se puede hacer eso? En los thrillers sobre ciberataques antes mencionados, había un factor común: el comportamiento aberrante. El comportamiento es un indicador de amenaza líder, como nos gusta decir.

Algunos fanáticos de las películas de terror dicen que puedes predecir qué personajes vivirán y cuáles morirán, según algunos patrones de comportamiento particulares. Del mismo modo, si puede detectar un comportamiento que está fuera del rango de las actividades normales en una red, es posible detectar y predecir las actividades asociadas con el sabotaje, el mal uso y el robo de datos. Se necesita una combinación de las fuentes de datos adecuadas, aprendizaje automático y ciencia de datos para identificar las actividades aberrantes indicativas de acciones maliciosas.

Los análisis de seguridad basados en el comportamiento de Gurucul pueden llevar las soluciones SIEM, DLP, PAM, IAM y de monitoreo de red a una plataforma de análisis unificada. La plataforma combina alertas sensibles al contexto y seguridad automatizada contra aquellas cosas que ocurren durante la noche en las empresas de hoy.

¿Listo para exorcizar tus demonios de seguridad? Solicite una demostración para ver cómo podemos resolver sus historias de terror sobre ciberseguridad.

Las historias de terror sobre ciberseguridad no tienen por qué mantenerte despierto por la noche

Los fantasmas flotan a través de las paredes

El poseído

El Acechador de las Sombras

La amenaza vino desde dentro

El merodeador

Deja una respuesta Cancelar la respuesta

SDBbot desplegado por TA505 Crime Gang

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Los fantasmas flotan a través de las paredes

El poseído

El Acechador de las Sombras

La amenaza vino desde dentro

El merodeador

Publicaciones relacionadas

National Childbirth Trust se ve afectado por una violación de datos

Nozomi Networks es pionera en la solución de visibilidad y seguridad SaaS para redes IoT y OT dinámicas

Jonathan French sobre la violación de OPM

Las cámaras DSLR son vulnerables al ataque de ransomware según los investigadores.

Deja una respuesta Cancelar la respuesta

SDBbot desplegado por TA505 Crime Gang