Las historias de terror sobre ciberseguridad no tienen por qué quitarle el sueño

El icónico cineasta John Carpenter dijo una vez esto sobre las películas de terror: «Hay dos historias diferentes en el terror: la interna y la externa. En las películas de terror externas, el mal viene de fuera, de la otra tribu, de esa cosa en la oscuridad que no entendemos. La interna es el corazón humano».

Del mismo modo, existen dos grandes historias de terror en materia de ciberseguridad: los ataques externos y las amenazas internas. Al igual que las películas de terror en las que los adolescentes son acechados por asesinos maníacos, o las familias son perseguidas por fantasmas y espectros indeseables, la mayoría de las organizaciones están bajo el ataque continuo de temibles amenazas cibernéticas de una u otra forma.

Las empresas deben tener cuidado tanto con los ciberataques externos como con las amenazas internas. Como en una película de terror clásica, ambas amenazas tienen sus propios elementos de misterio, suspense y miedo. Afortunadamente, es posible defender cada tipo de vector de ataque utilizando una estrategia de ciberseguridad similar para cada uno. Más adelante hablaremos de ello. En primer lugar, situemos el panorama actual de la seguridad.

Los fantasmas flotan a través de las paredes

En el pasado, el departamento de TI se centraba en endurecer el perímetro de la red contra los intrusos. La idea era que si se impedía la entrada de los villanos, no pasaba nada malo. Era el clásico enfoque basado en la fortaleza para mantener a raya a las hordas de zombis. Pero había un fallo fatal. Muchas organizaciones obsesionadas con la seguridad perimetral daban una confianza implícita a cualquiera que estuviera dentro. No hace falta decir que este enfoque desencadenó una serie de horribles violaciones de datos y allanó el camino a la confianza cero movimiento.

Por supuesto, las empresas deben seguir protegiendo el perímetro y defendiéndose de las amenazas conocidas, como siempre han hecho. Las amenazas cibernéticas conocidas representan un presagio de fatalidad que se cierne sobre toda organización. Pero las empresas de hoy en día deben ir más allá y estar atentas a esas amenazas imprevisibles que te asustan cuando menos lo esperas.

Al igual que los subgéneros de la industria del cine de terror, existen clasificaciones para los distintos tipos de ciberamenazas. Veamos cuatro de las historias de terror más aterradoras en materia de ciberseguridad, algunas originadas en el exterior y otras procedentes del interior.

Los poseídos

Para poder llevar a cabo sus nefastos planes, los ciberdelincuentes necesitan acceso. Los métodos para obtener acceso varían, pero una de las tácticas más comunes es compromiso de cuentas – Secuestrar una cuenta que ya tiene el acceso correcto.

Al igual que en la película de terror «Paranormal Activity», en la que una entidad maligna posee al personaje principal, una cuenta comprometida es tomada por un atacante para sus propios fines malvados. Esto significa que el intruso puede entrar en cualquiera de los sistemas y aplicaciones a los que esa cuenta comprometida tiene acceso, y nadie sabrá que algo anda mal.

¿Cómo ocurre el compromiso de la cuenta? Por lo general, se trata de adivinar la contraseña, el malware, los anuncios maliciosos o el registro de pulsaciones de teclas. También puede ocurrir mediante ataques Pass-the-Hash y hackeos de contraseñas por fuerza bruta. Pero el phishing selectivo sigue siendo probablemente la técnica más frecuente para comprometer cuentas.

Los ataques de compromiso de cuentas son difíciles de descubrir porque se asemejan a una amenaza interna desde el punto de vista de la detección. Las soluciones de seguridad convencionales del tipo lista blanca / lista negra son ineficaces para detener el compromiso de cuentas, porque para estas soluciones la cuenta parece legítima. Entonces, ¿cuál es el agua bendita que se puede rociar sobre la némesis del compromiso de cuentas? El análisis de seguridad basado en el comportamiento.

Con el análisis del comportamiento, es posible detectar estas cuentas «poseídas» basándose en patrones de comportamiento anómalos. Dicha actividad anómala puede incluir un acceso inusual a activos sensibles o de alto riesgo, muchas solicitudes de acceso en un corto periodo de tiempo, actividad originada en cuentas inactivas, etc. Las anomalías identificadas como incoherentes con las actividades normales de un usuario o compañero activan una alerta que permite a los equipos SOC intervenir.

El acechador en la sombra

El abuso del acceso con privilegios es un vector de ataque que se solapa con el compromiso de cuentas. En primer lugar, el antagonista viola la seguridad del perímetro a través de una de las muchas maneras. Una vez dentro, buscan claves SSH, contraseñas, certificados, tickets Kerberos y activos similares. Su objetivo es robar las credenciales que les permitan elevar su acceso, obtener un movimiento sin restricciones en la red y robar datos de forma anónima a voluntad. Debido a que los ciberpiratas utilizan herramientas de hacking automatizadas, todo este proceso puede ocurrir sorprendentemente rápido.

Pero, al igual que el paciente depredador que acecha a sus víctimas en una película de slasher adolescente, los atacantes suelen esperar su momento. Vigilan silenciosamente la actividad y luego utilizan la información obtenida para ampliar su control de la red. Según Ponemon, los hackers acechan como apariciones fantasmales en la red durante una media de 206 días antes de ser descubierto. Eso es mucho tiempo para que cualquier entidad maliciosa merodee.

Muchos ciberdelincuentes hábiles disponen de un arsenal de herramientas automatizadas que pueden lanzar continuamente contra objetivos desprevenidos. Este arte de la brujería ejerce una inmensa presión sobre los equipos de ciberseguridad para que luchen contra ciberataques sofisticados que nunca antes habían visto, a menudo utilizando una amalgama de varios productos de seguridad que parece un Frankenstein.

Y no sólo hay que temer a los forasteros. También hay un elemento de amenaza interna. El personal de TI suele tener acceso anónimo en la red a través de cuentas privilegiadas compartidas, con contraseñas que rara vez o nunca cambian. Esto da a individuos desagradables la oportunidad de husmear y tomar datos confidenciales sin que nadie se dé cuenta. Entonces, ¿qué puede hacer para eliminar estos fantasmas en su entorno?

Análisis de la identidad puede descubrir quién tiene acceso privilegiado con derechos que pueden haber escalado después del aprovisionamiento, o existir dentro de las aplicaciones y los datos no estructurados. Esto permite a los responsables de la seguridad informática gestionar, supervisar y controlar el acceso privilegiado con una eficacia óptima.

Y con análisis del comportamiento de usuarios y entidades (UEBA) es posible analizar automáticamente los datos para revelar actividades sospechosas: acceso a archivos inapropiados, sistemas y aplicaciones a los que se accede desde nuevas ubicaciones o nuevos dispositivos, e incluso cosas más extrañas que podrían indicar un comportamiento arriesgado.

La amenaza viene de dentro

Al igual que la escena de terror en la que la llamada telefónica amenazante se rastrea hasta la casa en la que reside la víctima, a veces la amenaza viene de dentro. Aunque una organización suele enfrentarse a más ciberataques externos, debería preocuparse igualmente de las amenazas internas. Un empleado enfadado que ya tiene acceso a los archivos de la empresa podría volverse psicópata y filtrar secretamente documentos a la competencia, o sabotear los sistemas porque está enfadado con su empleador.

No faltan las historias de horror de las amenazas internas. Considere Terry Childs – el empleado de la ciudad de San Francisco que mantuvo a la ciudad como rehén durante dos semanas mientras estaba en una celda. O el contratista de la NSA más infame del mundo – Edward Snowden. Y luego está Anthony Levandowski, un ingeniero de una filial de Alphabet al que se acusa de descargar archivos de la empresa sobre la tecnología de los coches autoconducidos, y llevárselos a un competidor (Uber). Demuestra que, como el personaje demente de Jack Nicholson en el aislado Hotel Overlook, a veces incluso las personas fiables y de confianza pueden volverse.

Los infiltrados maliciosos son siniestros porque es difícil detectarlos antes de que inflijan el horror. No son tan obvios como un payaso espeluznante o un monstruo con una máscara de hockey. Una amenaza interna puede ser cualquiera: un empleado, un contratista externo. A diferencia de los vectores de ataque descritos anteriormente, los insiders no tienen que molestarse en irrumpir y buscar secretamente datos valiosos. Ya están dentro y saben dónde están esos datos valiosos.

Sin un detección de amenazas internas solución, puede parecer imposible descifrar si un empleado está realizando sus actividades laborales habituales o está involucrado en algo más siniestro. Para complicar el asunto, no sólo preocupan los personajes siniestros. También hay que temer al infiltrado accidental. Un empleado normalmente eficaz y leal podría sucumbir a un correo electrónico de phishing cuidadosamente elaborado o a una campaña de ingeniería social. En cierto sentido, cada empleado es un posible amenaza interna sospechoso.

Entonces, ¿existe una bala de plata que pueda neutralizar la amenaza? No con las herramientas convencionales de ciberseguridad. Sin embargo, análisis de seguridad puede combinar diferentes fuentes de datos en una organización y vincular los comportamientos de múltiples fuentes a una sola identidad. A continuación, el aprendizaje automático puede identificar los comportamientos de riesgo y proporcionar información con el mayor contexto posible. Esta táctica, que proporciona una visión correlacionada y priorizada de los riesgos para que los equipos de seguridad puedan responder, es una de las claves para hacer frente a la amenaza interna.

El merodeador

Hay varias razones por las que alguien podría lanzar un ciberataque. Tal vez sea para realizar espionaje. Tal vez sea para infligir daños. Pero la razón más común es el simple robo: robar información valiosa que pueda beneficiar al atacante. Hoy en día, los datos son el oro dentro de la bóveda en la mayoría de las organizaciones. Es el destino final de la cadena de muerte de la ciberseguridad.

Así que, sea cual sea la táctica utilizada -compromiso de cuentas, abuso de accesos privilegiados o las demás-, normalmente se reduce a proteger los datos que buscan los delincuentes. Las herramientas DLP y SIEM fueron en su día las soluciones preferidas para bloquear el acceso a los datos. Pero las soluciones SIEM y DLP se volvieron inefectivas debido a su naturaleza basada en reglas que bloquean sólo las amenazas conocidas. Además, generan demasiadas alertas que requerirían que un analista humano tuviera un sexto sentido para descifrar las verdaderas amenazas.

La prevención de la exfiltración de datos empieza por que los equipos de seguridad sepan quién está en su entorno, a qué tienen acceso y qué están haciendo. Muchas organizaciones operan en una inquietante zona gris de riesgo desconocido. Abordar este temible problema requiere una medición precisa y oportuna de los riesgos que acechan como monstruos en esas zonas oscuras.

Necesitamos una solución que intervenga antes de que se filtren los datos. Pero, ¿cómo se puede hacer eso? En los mencionados thrillers de ciberataques, había un factor común: el comportamiento aberrante. El comportamiento es un indicador de amenaza principal, como nos gusta decir.

Algunos aficionados al cine de terror dicen que se puede predecir qué personajes vivirán y cuáles morirán, basándose en algunos patrones de comportamiento particulares. Del mismo modo, si se puede detectar un comportamiento que está fuera del rango de actividades normales en una red, es posible detectar y predecir actividades asociadas con el sabotaje, el mal uso y el robo de datos. Se necesita una combinación de las fuentes de datos adecuadas, aprendizaje automático y la ciencia de los datos para identificar las actividades aberrantes que indican acciones maliciosas.

El análisis de seguridad basado en el comportamiento de Gurucul puede reunir las soluciones SIEM, DLP, PAM, IAM y de supervisión de la red en una plataforma analítica unificada. La plataforma combina alertas conscientes del contexto y seguridad automatizada contra esas cosas que hacen ruido en la noche en las empresas de hoy.

¿Listo para exorcizar sus demonios de seguridad? Solicite una demostración para ver cómo podemos resolver sus historias de terror en materia de ciberseguridad.