24 de abril de 2020
Respondiendo a las amenazas internas con SOAR
Leer más
Detectar y prevenir de forma proactiva los ciberataques externos es un objetivo prioritario de las operaciones de seguridad (Operaciones de seguridad), pero los ataques internos también suponen un riesgo. De hecho, casi 62% de violaciones de datos son causadas por amenazas internas. Ya sea por negligencia o malicia, identificar y prevenir amenazas internas es otro desafío de seguridad que enfrentan las organizaciones. Las empresas deben buscar proactivamente maneras de gestionar la detección de amenazas internas para protegerse plenamente.
Pero ¿qué significa "amenaza interna"? ¿Cómo prevenirlas? Averigüémoslo.
¿Qué es un Insider?
Para entender amenazas internas Para saber cómo detectarlos y prevenirlos, primero debemos entender qué es una persona con información privilegiada. Una persona con información privilegiada es alguien que tiene acceso autorizado a los sistemas, redes o datos de una organización. Esta persona puede ser un empleado, un contratista o cualquier otra persona con acceso legítimo. Las personas con información privilegiada tienen el potencial de hacer un uso indebido de su acceso, ya sea intencional o no, lo que puede provocar brechas de seguridad, robo de datos u otras actividades perjudiciales.
¿Qué es una amenaza interna?
Para definir una amenaza interna, se refiere a un acto malicioso o negligente perpetrado por un empleado, contratista, proveedor o socio de confianza. Este tipo de amenazas se ha convertido en una preocupación importante en el mundo de la ciberseguridad, ya que cada vez más empresas luchan por protegerse contra ataques internos maliciosos.
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) define una amenaza interna como “la amenaza de que una persona con información privilegiada utilice su acceso autorizado, consciente o inconscientemente, para dañar la misión, los recursos, el personal, las instalaciones, la información, los equipos, las redes o los sistemas de la [organización]”.”
Tipos de amenazas internas
- Personas malintencionadas internas: Personas dentro de la empresa que intencionalmente utilizan o entregan sus credenciales a alguien para causar daño a la organización.
- Personas internas negligentes: Los empleados que no protegen su información de inicio de sesión o no siguen los procedimientos adecuados de seguridad y TI también pueden caer en la trampa. ataque de phishing o ser descuidado de alguna otra manera, dejando a la organización vulnerable.
- Personas con información privilegiada comprometidas: Personas que, a pesar de sus mejores esfuerzos, han sido comprometidas por una amenaza externa. Sus credenciales suelen ser robadas (o, si se les phishing, entregadas) a ciberdelincuentes maliciosos externos a la organización, quienes luego causan estragos en los sistemas eludiendo las defensas perimetrales automáticas.
Los desafíos del proceso de investigación de detección de amenazas internas
Las organizaciones suelen tener dificultades para detectar estas amenazas porque los métodos establecidos de detección de amenazas internas son ineficientes y defectuosos. Investigar y validar posibles amenazas internas requiere un gran esfuerzo, y con Equipos de SecOps Ya demasiado dispersa, gestionar grandes cantidades de alertas de distintas herramientas de seguridad es una tarea difícil. Si bien estas herramientas son necesarias para verificar posibles amenazas, Analistas de SOC Es necesario profundizar en cada herramienta individualmente para comprender completamente el incidente.
Además, las organizaciones descubren que detectar amenazas internas puede ser increíblemente difícil, ya que la actividad de la amenaza con frecuencia emula un comportamiento normal. Se utilizan credenciales reales y no se producen las señales habituales que indicarían un "ataque", por lo que los sistemas no alertan. Operaciones de seguridad. Además, los ataques suelen distribuirse entre múltiples sistemas. Estos elementos dificultan especialmente la detección y la comprensión del alcance de un ataque interno.
Indicadores de amenazas internas que deben monitorearse
Existen dos categorías principales de indicadores de amenazas internas: conductuales y digitales. Ambos tipos de actividad pueden indicar actividad potencialmente maliciosa que debe investigarse. Sin embargo, sin una visibilidad adecuada de toda la infraestructura tecnológica, estos comportamientos pueden ser difíciles de identificar.
A continuación se presentan algunos de los ejemplos de indicadores de amenazas internas más comunes a los que se debe prestar atención:
Indicadores de comportamiento
- Empleados, contratistas o proveedores descontentos o insatisfechos
- Trabajar en horarios inusuales para su zona horaria
- Intentos repetidos de eludir la seguridad
- Resentimiento o rencor hacia compañeros de trabajo y supervisores
- Violar repetidamente las políticas de la organización
- Discutiendo verbalmente la renuncia
Indicadores digitales
- Actividad en línea en momentos aleatorios y no solicitados
- Envío por correo electrónico de información confidencial o sensible a cuentas externas
- Búsqueda deliberada de información confidencial
- Acceder a recursos no relacionados con sus funciones laborales o a los que no están autorizados
- Descarga de grandes cantidades de datos, como se observa en picos inusuales de tráfico de red
Mejores prácticas contra amenazas internas
¿Qué se considera? mejores prácticas ¿Al enfrentarse a una amenaza interna? Existen algunas técnicas de detección de amenazas internas que... SOC puede implementar para detectar cualquier actividad maliciosa, como:
Proteja los activos críticos
Construya una defensa sólida para que las amenazas internas sean más difíciles de alcanzar. Identifique activos críticos como propiedad intelectual, datos confidenciales de clientes, sistemas, tecnología y su personal. Asegúrese de que su equipo de seguridad comprenda todos los aspectos de sus activos críticos y cómo protegerlos.
Establecer y hacer cumplir las políticas de seguridad de la empresa
Mantenga la documentación actualizada de las políticas y procedimientos de seguridad y aplíquelos. Asegúrese de que toda la organización siga activamente el protocolo de seguridad y comprenda cómo proteger los datos confidenciales. Incluya los ataques internos en su... respuesta a incidentes planes – algo que sólo el 18% de los encuestados del SANS Institute hacen.
Aumentar la visibilidad de la seguridad
Utilice soluciones y herramientas de seguridad para rastrear la actividad y la telemetría de los empleados en múltiples fuentes. Tome medidas para mejorar la comunicación entre la tecnología aislada y agilizar la ingesta de datos. Además, busque una solución sólida. gestión de casos Solución para mejorar la visibilidad dentro de su equipo de operaciones de seguridad.
Fomento de estándares culturales
El dicho ‘más vale prevenir que curar’ es cierto, especialmente en el ámbito de la ciberseguridad. Capacite a sus empleados con capacitación regular en seguridad. Colabore con otros departamentos de su organización para mejorar la moral y la satisfacción de los empleados.
¿Cómo pueden las organizaciones mejorar la detección de amenazas internas?
La frecuencia y la gravedad de las amenazas siguen aumentando, y los equipos de seguridad empresarial reciben más de 10 000 alertas al día. Afortunadamente, existen herramientas contra amenazas internas y soluciones de seguridad disponibles para acelerar los tiempos de respuesta y permitir a los analistas clasificar las amenazas internas más rápidamente.
Para mejorar la respuesta a incidentes proceso, busque una solución que pueda ayudar a:
Centralice las alertas de seguridad con la gestión de casos
Cuando una solución de seguridad centraliza las alertas de amenazas internas y todos los demás tipos de alertas de seguridad, Equipos de SecOps Disponen de la información necesaria para comprender la seguridad dentro de su organización. Esto les ayuda a prepararse, defenderse y comprender mejor las posibles nuevas amenazas antes de que ocurran.
Mejorar las integraciones tecnológicas
La integración de su conjunto de herramientas de seguridad le proporciona SOC Los equipos tienen exactamente lo que necesitan para comprender por completo todas las alertas de amenazas internas. Además, automatizar partes del proceso de respuesta a amenazas aumenta la eficacia de toda la infraestructura de seguridad sin sobrecarga.
Implementar casos de uso de amenazas internas
Automatizar los procesos de seguridad
Busque soluciones que permitan que los flujos de trabajo se activen automáticamente, lo que impulsa las incidencias de amenazas a través de todo el proceso de investigación y respuesta. Con automatización de la seguridad Con estas soluciones, los equipos solo reciben alertas cuando se requiere intervención humana. Esto ayuda a contrarrestar el flujo constante de alertas de seguridad que dificulta que las organizaciones se anticipen a las amenazas.
Aproveche la automatización de seguridad de código bajo
Automatización de seguridad de bajo código, como Turbina de carriles de natación, es una solución que las organizaciones pueden utilizar para mejorar la detección de amenazas internas para lograr una mejor visibilidad y responsabilidad.
Las soluciones low code tienen múltiples beneficios, como:
- Integración de herramientas mejorada: Estas soluciones se expanden más allá de Legacy REMONTARSE plataformas y permitir Equipos de SecOps Integrar múltiples herramientas para la detección y respuesta rápida ante amenazas internas.
- Investigaciones aceleradas sobre amenazas internas: Automatice tareas manuales repetitivas para liberar Analistas de SOC‘Es hora de un trabajo más estratégico. Incluir a las personas en el ciclo de automatización para agilizar la recopilación manual de información y colaborar en casos activos de amenazas internas.
- Mejora de la postura frente al riesgo interno: Equipos de seguridad que aprovechan la automatización de código bajo para casos de uso de amenazas internas Ganar la escala y la eficiencia para reducir el riesgo interno de manera integral.
- Proteja las ganancias futuras: Establezca un sistema o registro de riesgos internos para validar que sus controles de seguridad sean efectivos para proteger datos valiosos y regulados.
- Colaboración multifuncional mejorada: Paneles de control, informes y herramientas centrados en el usuario gestión de casos ayudar a incorporar a las partes interesadas no relacionadas con la seguridad, como el departamento jurídico y de RR.HH., en los procesos de respuesta a amenazas internas.
Mejore su seguridad con las herramientas de detección de amenazas internas de Swimlane
A medida que el mundo se vuelve más conectado y basado en datos, la detección de amenazas internas nunca ha sido tan importante. Si se pregunta cómo detectar amenazas internas, las herramientas de detección de amenazas internas como automatización de seguridad de bajo código que reduce significativamente el tiempo medio de resolución (Tiempo medio de transporte), una clave métrica de seguridad Es importante estar atento para minimizar el daño de las amenazas internas. En definitiva, ayuda a proteger a su organización al identificar y detener las amenazas internas antes de que causen daños importantes.
Guía del comprador para la automatización de la seguridad moderna
Los equipos de SOC empresariales reconocen la necesidad de automatización, pero a menudo presentan dificultades con las propias soluciones de automatización. Las soluciones de Orquestación, Automatización y Respuesta de Seguridad (SOAR) suelen requerir scripts extensos. Las soluciones de automatización sin código son simplistas y carecen de las capacidades necesarias de gestión de casos e informes. Esta guía analiza la amplia gama de plataformas de automatización de seguridad disponibles actualmente para que pueda identificar la solución que mejor se adapte a sus necesidades.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español