No hay duda de que los ataques procedentes del “interior” de la empresa pueden resultar catastróficos. Según estimaban desde Haystax, hablamos de un coste de entre quinientos mil y más de un millón de dólares. Es más, el 90% de las empresas consultadas en el último informe de Crowd Research se considera vulnerable a este tipo de problemas de seguridad. De hecho, el 53% de las compañías asegura haber sufrido ataques internos en los últimos doce meses. Sin embargo, no todos los responsables de seguridad tienen claras las implicaciones o, tan siquiera, los orígenes de este problema. ¿Cómo podemos enfrentarnos a un peligro que viene desde dentro?
¿Cuál es el origen de este ataque?
Cuando hablamos de las amenazas internas normalmente distinguimos dos casos claramente diferenciados: la negligencia y la intención maliciosa. Mientras que el primero suele darse por una deficiencia en la organización, el segundo es más peligroso ya que tiene una intención dañina y un objetivo perjudicial manifiesto. En ambos casos, los principales protagonistas son los propios usuarios con privilegios y los administradores. También hay que tener en cuenta el papel de los consultores y trabajadores temporales, seguido de los trabajadores regulares, quienes también pueden suponer una amenaza interna. Así, el primer punto a tener en cuenta para protegernos será identificar el origen de la brecha de seguridad.
Los ataques internos aumentan
Según los datos recopilados por Crowd Research, el número de ataques internos ha aumentado, haciéndose más frecuentes. También creció el porcentaje de brechas de seguridad de origen deliberado, en contraposición a los problemas ocasionados de forma inintencionada. La gran mayoría de estas vulnerabilidades proviene de los trabajadores regulares, pero, como decíamos, no hay que dejar de lado la atención sobre los proveedores y los usuarios con privilegios.
¿Y cuáles son los puntos más vulnerables? La información referente a las cuentas de usuarios con privilegios, así como información comercial confidencial suponen el principal interés para los cibercriminales. El siguiente punto es la información personal, seguido de diversa información relacionada con el espionaje industrial.
Cuidar las vulnerabilidades
Las principales vulnerabilidades se deben a la falta de control, indica el estudio de Crowd Research. En cabeza se encuentra el exceso de usuarios con privilegios y el descontrol de esos privilegios, lo que permite un acceso sin supervisión más sencillo para los criminales. Esto también está relacionado con el aumento en el número de dispositivos que tienen acceso a información sensible.
Además de la creciente complejidad tecnológica, también encontramos una clara deficiencia en la educación como uno de los principales culpables en los fallos de seguridad internos. Esta situación demuestra que las empresas deben realizar una mayor inversión en formación de ciberseguridad para sus trabajadores. Puede que parezca costoso, pero como decíamos, el valor que puede suponer reparar un problema interno y sus consecuencias excede en muchos casos los cientos de miles de dólares.
Cómo defender mi empresa
Teniendo en cuenta toda esta información, es el momento de ponernos en marcha con algunas medidas de protección. En primer lugar, es crucial observar y monitorizar el comportamiento de los trabajadores dentro de la red en tiempo real, revisar los logs de los servidores para comprobar algún comportamiento sospechoso y aprovechar los datos específicos para realizar análisis que permitan prever una posible amenaza interna.
Esto se traduce en una prevención de fuga de información originada por el malware o los trabajadores, así como la protección ante ataques o la remediación de vulnerabilidades detectadas en el sistema. Soluciones como Panda Adaptive Defense 360 combinan una protección de última generación (NG EPP) y tecnologías de detección y remediación (EDR), con la capacidad de clasificar el 100% de los procesos en ejecución.
Disponer de una estrategia de Prevención de Pérdida de Datos (DLP por sus siglas en inglés) y cifrar la información son las dos principales medidas para hacer frente a las amenazas internas, tal y como señala el 60% de los profesionales de seguridad encuestados por Crowd Research. Resulta imprescindible contar con un control e identificación de acceso impecable, así como restringir y controlar los endpoints.
Por último, es de vital importancia controlar y monitorizar el acceso a los recursos de valor, es decir, información, bases de datos, conexiones… todo aquello que pueda suponer una pérdida significativa, de manera que controlemos cualquier entrada. A esto es muy efectivo añadirle el ya comentado seguimiento razonable de las actividades de los trabajadores, algo que podemos realizar con las herramientas adecuadas de forma cómoda y eficaz. En resumen, contar con un buen plan de control de seguridad y remediación, supervisado por el equipo adecuado, unido a una exhausta monitorización y a una buena educación de empresa en seguridad, es la vía más adecuada para protegernos de un fallo de seguridad interno inesperado.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
