La Amenaza Viviente: Por qué todos – y todo – tienen potencial para el Riesgo Cibernético

Publicado el 24 octubre 2016 por Cosmoduende @cosmoduende

Aprovechando que ya regresa “The Walking dead con su nueva temporada, Forceponit publicó un video con una divertida analogía entre los zombis y las vulnerabilidades en las empresas debido a los infiltrados:

Nosotros en Forcepoint estamos ansiosos por ver el estreno de la temporada 7 de The Walking Dead este octubre. ¿Qué es lo que no puede gustarnos de ver a los héroes luchar contra los muertos “vivientes” que están entre nosotros?

De hecho, con el National Cyber Security Awareness Month que se realiza este mes, a menudo vemos que el fenómeno de las amenazas internas se parece cada vez más al universo zombi de AMC. No es fácil decir quién se convertirá en un zombi y cuándo, así que es mejor asumir que todos y todo pueden convertirse en uno, y por lo tanto ser una amenaza interna potencial; de igual manera todos podemos ser  víctimas potenciales. Esto refleja The Walking Dead desde que sabemos (alerta de adelanto) que todos ya están infectados con el virus zombi. ¿Qué significa esto? Todos y todo son un muerto viviente en potencia.

El estado de vigilancia serviría a las empresas modernas mucho más que los modelos de defensa cibernética quebrantados que se centran en “mantener lo malo fuera”. Estos modelos obsoletos dependen de la unión de soluciones dispares para la defensa perimetral, forzando una nueva solución separada cada vez que los atacantes alteran sus métodos. En el mundo digital de hoy depender de dicho modelo desarticulado para prevenir las brechas es tan efectivo como intentar evitar a una turba de zombis cubriéndose con hojas: Buena suerte.

Después de todo el perímetro que una vez conocimos ya no existe.  No es que sea tan sombrío como un mundo post apocalíptico como el de The Walking Dead, sino que con la nube los usuarios móviles, la movilidad/BYOD y otras innovaciones, hoy el perímetro es dictado por la ubicación de los datos, las cuentas de los usuarios y los puntos finales. Sin importar dónde se localicen estos usuarios y endpoints, dentro o fuera de la empresa, son una amenaza interna o un infiltrado. Y por extensión debemos considerar a cada programa y aplicación que se ejecuta dentro de la cuenta de un usuario y a los sistemas de punto final también como infiltrados.

Para que quede claro, no estoy diciendo que los directores de seguridad ya no deban preocuparse por las amenazas externas que atacan a sus redes, sino que no pueden concentrarse exclusivamente en ellas tampoco. Necesitamos observar constantemente la actividad maliciosa de los usuarios y los dispositivos, así como el uso, el almacenamiento y el movimiento de los datos como indicadores potenciales de amenazas vinculadas a estos infiltrados. Una forma de hacerlo es entender tres perfiles de amenazas internas más comunes. En cierto sentido esto refleja ciertas cualidades de los personajes de mi programa favorito de zombis:

Infiltrados Accidentales. Estos son empleados que sin quererlo causan daños. Por ejemplo, si están participando en una conversación en redes sociales relacionada con su industria, un hacker puede hacerse pasar como un recurso útil de información enviando un URL que pareciera tener que ver con la discusión pero de hecho lleva al malware. En The Walking Dead, estos infiltrados nos recuerdan a Dale, una víctima de buen corazón que encontró su final mientras sondeaba el territorio de los grupos para detectar zombis y que se encontró con un animal herido. Otro ejemplo de infiltrados accidentales son los imprudentes. Estos son empleados que se consideran estar “por encima de las reglas”, ignorando las mejores prácticas dictadas por TI e incluso evadiendo las políticas claramente articuladas. Aunque no están actuando maliciosamente invitan al riesgo. Aunque se podría argumentar que es malicioso este tipo de infiltrado me recuerda a Marle Dixon. Marle tontamente (y fatalmente) se puso en riesgo innecesariamente además de confiar en la persona equivocada (el gobernador).

Infiltrados Comprometidos. Su máquina o sistema ha sido comprometido sin que lo sepa. Después de la violación su sistema es controlado remotamente y puede ser utilizado para robar y/o filtrar datos. Los infiltrados comprometidos o las máquinas violadas me recuerdan a la mayoría de las personas que ya han contraído el virus de The Walking Dead. Estos individuos no saben que están infectados y pueden ser utilizados por los muertos vivientes para protegerse o atacar a otros. Pueden ser controlados para perpetuar los ataques y finalmente llevar a más zombis.

Infiltrados Maliciosos. Estos usuarios claramente no tienen las mejores intenciones. Son personas descontentas, codiciosas y mal intencionadas que hacen mal uso del acceso a la propiedad intelectual o sistemas confidenciales. A menudo traman cometer un robo, un sabotaje y un fraude dentro de una organización. Por ejemplo, un empleado que ha sido contratado por un competidor copia los diagramas de los productos antes de renunciar. En las temporadas uno y dos, Shane sería el infiltrado malicioso perfecto, especialmente cuando daña a otros y los pone en peligro intencionalmente con consecuencias fatales para su venganza personal.

Entender los perfiles de amenaza de los infiltrados comunes sigue siendo un paso esencial para ayudar a las organizaciones a eliminar el daño, antes de que se suscite. Entonces ¿cómo puede mitigar este riesgo potencial? Desde la perspectiva humana, brinde capacitación a los usuarios que les enseñe las mejores prácticas y cómo reconocer las técnicas para ocultarse del adversario. Al mismo tiempo, enséñeles cómo detectar a posibles infiltrados maliciosos a través de las clásicas “señales de problemas” que proyectan. En el lado técnico, las organizaciones pueden complementar su firewall y herramientas antivirus con aquellas que se centran en las amenazas de los infiltrados relacionadas con la autenticación y el control de acceso, la prevención de pérdida de datos (DLP) y el análisis del comportamiento de los usuarios.

Nuestro reporte “Liberando el Éxito del Negocio: Los Cinco Pilares de la Mitigación de Riesgos de los Usuarios” detalla éstos y otros pasos para aumentar considerablemente sus posibilidades de monitorear, detectar y mitigar las amenazas internas, ayudándole a salir ileso. Y eso realmente supera a ser un muerto viviente.