lunes, 4 de mayo de 2015

Amenazas internas accidentales y cuatro formas de prevenirlas

La amenaza insider es un término con el que muchas personas están familiarizadas. El problema es que cuando la gente oye este término, inmediatamente piensa en empleados maliciosos que están causando deliberadamente daño a una organización.

Si bien la amenaza interna "maliciosa" siempre será una preocupación, muchos pueden sorprenderse al saber que no es la principal área de daños para la mayoría de las organizaciones de hoy. El principal punto de compromiso de muchos ataques actuales es el insider "accidental".

El insider accidental es alguien que sinceramente y de todo corazón cree que él está haciendo bien su trabajo y que no representa una amenaza para su empleador, pero es engañado o manipulado para permitir a alguien causar daño a la organización.

Al mirar a los ataques de hoy, la mayoría de la gente piensa que los ataques externos son el mayor problema para las organizaciones y donde necesitan concentrar la mayor parte de su energía. Sin embargo, es importante distinguir entre la fuente de un ataque y la causa del daño. Si bien el origen de la mayoría de los ataques es absolutamente externo, la causa del daño es a menudo un insider accidental. Los adversarios reconocen que es muy difícil entrar directamente en los servidores y comprometer una organización de forma externa. Es mucho más fácil tomar como objetivo a un empleado (insider), engañar a esa persona para que abra un archivo adjunto o haga clic en un enlace a través de la ingeniería social, y luego aprovechar su sistema como un punto de compromiso.

¿Qué puede hacer una organización para protegerse adecuadamente contra las amenazas internas? La mayoría de las organizaciones creen que una mayor conciencia de la seguridad es la respuesta a minimizar los ataques internos accidentales; esto significa asegurar que los empleados entiendan mejor los peligros y exposiciones. Aunque soy un gran fan de la conciencia, las organizaciones tienen que recordar que ninguna solución va a resolver todos los problemas.

La conciencia es buena para ataques básicos donde hay algo visiblemente mal con el correo electrónico o la información recibida por el usuario. Sin embargo, con adversarios avanzados y ataques de phishing más sofisticados, la información recibida parece idéntica a la comunicación real, razón por la cual a menudo es exitosa. La conciencia no ayudará en este caso. La solución a estos ataques sofisticados es eliminar el vector de ataque.

Las amenazas internas son a menudo blanco de los archivos adjuntos en el correo electrónico o enlaces web integrados que se utilizan para causar daño y comprometer un sistema. Las siguientes son cuatro categorías de controles prácticos que las empresas pueden poner en marcha para minimizar el daño de los ataques internos no intencionales.

Controle sus aplicaciones

Dos de las aplicaciones más potencialmente dañinas en las computadoras hoy en día son los navegadores web y los clientes de correo electrónico; por lo general, son los puntos más comunes de entrada para el malware. Se puede tomar medidas para limitar la capacidad de estas aplicaciones, pero al hacerlo también se afecta la funcionalidad legítima que a menudo se requiere para llevar a cabo procesos de negocio clave.

Por lo tanto, una solución es ejecutar aplicaciones peligrosas en máquinas virtuales (VM) separadas. Cada vez que se inicia la aplicación, se ejecuta en una máquina virtual aislada. Si es maliciosa, cualquier infección se producirá solo en la VM, y no hay daño para el sistema operativo host. Cuando la aplicación está cerrada, la VM está cerrada y cualquier actividad perjudicial también está controlada. En este caso, un sistema solo es infectado por un período corto en un entorno controlado y hay un mínimo impacto a largo plazo. Además, esta solución no tiene impacto para el usuario, mientras impacta significativamente en la capacidad del adversario para causar daño.

Filtre el contenido perjudicial

En muchos casos, la actividad que se utiliza para comprometer a un empleado normalmente gira en torno a los archivos adjuntos ejecutables, macros en documentos de Office y contenido HTML incrustado. La mayoría de las organizaciones no necesitan permitir esta actividad que viene de la internet. Por lo tanto, en el espíritu del mínimo privilegio, si no se requiere la actividad, debe ser bloqueada. Bloquear estratégicamente solo un pequeño subconjunto de actividad perjudicial puede tener un impacto positivo en la minimización de los daños causados ​​por un adversario.

Limite el contenido ejecutable

El bloqueo de todos los archivos de un tipo determinado, si bien es efectivo, no siempre es factible si los archivos son necesarios para un usuario. Por lo tanto, una alternativa es poner en sandbox o filtrar cierta actividad, al tiempo que permite pasar la actividad legítima. Existe tecnología eficaz que puede tomar un archivo adjunto, realizar un análisis del contenido, e incluso ejecutarlo en un sandbox para examinar el comportamiento; si es malicioso, sería bloqueado, y si es legítimo, sería permitido. Esto ofrece a las organizaciones una mayor flexibilidad en el filtrado de contenido, pero limita el impacto de detener la actividad normal que se requiere para operar el negocio.

Controle ejecutables

Comprometer a un insider accidental se hace generalmente al engañar al usuario para que corra un ejecutable que ellos creen que es legítimo, pero que en realidad contiene contenido malicioso. Mediante el control y la verificación de los ejecutables a través de tecnología como listas blancas de aplicaciones, se puede minimizar la introducción de contenidos nocivos en un sistema.

Conclusión

No se puede enfatizar lo suficiente que la parte más importante de la comprensión de las amenazas internas accidentales es que los empleados no maliciosos, socios y otras personas con acceso privilegiado representan el mayor potencial para la malicia, simplemente por la facilidad con que la que la persona promedio puede ser manipulada. La buena noticia es que una vez que una organización entiende que las amenazas internas accidentales son la mayor causa potencial de daños relacionados con empleados, se puede tomar pasos prácticos para controlar y minimizar el impacto que este riesgo tiene sobre una organización.