CIBERSEGURIDAD

Preguntas y respuestas con David Venable, Masergy

El Gurú tuvo la suerte de recibir esta sesión de preguntas y respuestas con el ex analista de la NSA y actual vicepresidente de ciberseguridad en Masergy David Venable: esto es lo que descubrimos.
¿Puede contarme un poco sobre las amenazas internas? ¿Qué tan problemáticas son?
Si bien todo el panorama de amenazas está cambiando drásticamente con la mayor sofisticación de los adversarios, el estado nacional y los actores patrocinados por el estado, y las superficies de ataque que evolucionan rápidamente, una de las pocas cosas que no ha cambiado es que la amenaza interna es una de las más importantes, si no la más, amenaza insidiosa en casi cualquier entorno. Eso tampoco es FUD (Miedo, Incertidumbre y Duda), solo mire el impacto negativo que tuvo la filtración de Edward Snowden de miles de archivos de la Agencia de Seguridad Nacional de EE. UU. [NSA] ha tenido en el aparato de inteligencia de Estados Unidos.
De acuerdo a Un modelo preliminar de robo de propiedad intelectual por parte de un interno, un artículo publicado por la Universidad Carnegie Mellon, el 75% de los casos de robos de propiedad intelectual internos fueron realizados por empleados. Alrededor del 65% ya había aceptado un nuevo trabajo en otro lugar, mientras que el 35% robó para obtener una ventaja inmediata en un nuevo trabajo. Y el 25% de los casos resultó en que la información robada se entregó a un gobierno o empresa extranjera.
¿Qué tan generalizados o comunes son estos tipos de amenazas?
Hoy en día, los ataques externos son casi constantes y menos dañinos[conlaexcepcióndelosataquesdealtoperfilylasinfraccionescasitotalescomolasdeSonyyAshleyMadisonPorelcontrariolosataquesinternossonmásrarosperogeneralmentemuchomásdañinoscomoeldañocausadoporlafiltracióndedocumentosdelaNSAporpartedeEdwardSnowdenalainfraestructuradeseguridaddelgobierno[withtheexceptionofhigh-profileattacksandnear-totalbreachessuchasthoseagainstSonyandAshleyMadisonBycontrastinsiderattacksaremorerarebuttypicallyfarmoredamagingsuchasthedamagecausedbyEdwardSnowden’sleakofNSAdocumentstothegovernment’ssecurityinfrastructure
¿Están las empresas prestando suficiente atención a la amenaza que representan sus empleados?
Por lo que veo en el campo, la gran mayoría de las organizaciones están pasando por alto la amenaza interna. Muy pocas organizaciones se están posicionando activamente contra, o francamente, incluso están considerando, las amenazas internas.
¿Cómo puede la tecnología ayudar a detectar y prevenir ataques internos?
El análisis del comportamiento del tráfico de la red interna es una de las mejores defensas contra un ataque interno al estilo de Edward Snowden. Los usuarios suelen comportarse de determinadas formas. Cuando ese comportamiento cambia, generalmente significa algo. Por ejemplo, según Cableado, Snowden, quien filtró miles de documentos de la NSA, pasó mucho tiempo buscando documentos en la red privada de la NSA y descargándolos en su estación de trabajo, tarjetas de memoria y CD, un cambio dramático con respecto al comportamiento típico de alguien en su función. Esto se habría detectado fácilmente con un análisis de comportamiento.
La prevención de pérdida de datos (DLP), que normalmente analiza los datos salientes en busca de información confidencial conocida, también puede ayudar, aunque no sustituye a una buena seguridad física. DLP no habría impedido que Snowden o Chelsea Manning salieran con secretos grabados en CD con la etiqueta «Lady Gaga».
Otra buena técnica de prevención es garantizar que los documentos confidenciales estén debidamente protegidos y solo sean accesibles para personas que tengan una «necesidad de conocer» de la empresa.
Desafortunadamente, ninguno de estos detectará o evitará la amenaza interna más peligrosa: cuando un empleado toma información confidencial que se le ha confiado para hacer su trabajo. Desafortunadamente, esto es menos prevenible a través de la tecnología y requiere información sobre los comportamientos y actitudes cambiantes de los empleados.
¿Cómo ocurren este tipo de ataques, cuáles son las principales debilidades que se están explotando?
Uno de los mecanismos más comunes no es técnico: es preguntarle a un amigo. De hecho, según un artículo de la Universidad Carnegie Mellon, Un modelo preliminar de robo de propiedad intelectual por parte de un interno, El 19% de los casos de robo de propiedad intelectual involucraron colusión con otra persona con información privilegiada. En el caso de una colusión maliciosa, no se puede hacer mucho. Sin embargo, una buena formación en concienciación sobre seguridad puede ser invaluable para prevenir ataques de ingeniería social, donde un empleado engaña a otro empleado para que proporcione información confidencial.
Otra técnica común son los permisos de uso compartido incorrectos en unidades, carpetas y documentos.
Finalmente, y esto parece ser más raro, está el uso de técnicas de explotación tecnológica contra sistemas internos.
¿Los ataques internos deben tratarse de manera diferente a los ataques externos?
En primer lugar, los CISO y CIO deben dejar de tratar la red interna como si fuera una zona segura o confiable. No es. Los entornos BYOD se dan cuenta de esto, pero la lección más importante aquí es que las redes que no son BYOD tampoco son seguras.
Las evaluaciones periódicas de vulnerabilidades internas y las pruebas de penetración son clave para encontrar y remediar las debilidades internas. La remediación es la clave. Ni siquiera puedo decirle cuántas evaluaciones internas hemos realizado para marcar una casilla de cumplimiento de que se hizo, pero los resultados nunca se tomaron en cuenta. La adición de sensores de Behavioral IDS (sistema de detección de intrusos) en la red interna mejorará la situación dramáticamente, al igual que la evaluación regular de los derechos de acceso y los permisos de uso compartido.
¿Mejorarán o empeorarán los ataques internos?
Cada día empeora. Como dijo Willie Sutton, el infame ladrón de bancos estadounidense, cuando se le preguntó por qué robaba bancos: «Ahí es donde está el dinero». La amenaza interna está empeorando porque ahí es donde está la información valiosa, pero aquí hay un componente adicional: ahí es también donde suelen estar los controles más débiles.
Bloqueamos lo externo. Como industria, hemos mejorado en eso a lo largo de los años. Sin embargo, siempre que haya información valiosa, alguien está dispuesto a obtener acceso a través de la red HVAC como en el caso del minorista Target, contratar a un empleado sin escrúpulos o, en algunos de los peores casos, conseguir un trabajo en una empresa para obtener acceso a la información en para robarlo.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar