CÓMO EL ACCESO A LA RED ZERO TRUST (ZTNA) MITIGA EL RIESGO DE LAS AMENAZAS INTERNAS

Las amenazas internas se encuentran entre los desafíos más difíciles de abordar para las empresas: aprenda qué son, qué las hace tan peligrosas y cómo reducir su riesgo.

Para muchos, el término “amenaza interna” evoca imágenes de espionaje de capa y espada o la gran actuación de Rami Malek como Elliot Alderson en Mr. Robot.

Pero como ocurre con la mayoría de las cosas relacionadas con la ciberseguridad, la verdad sobre las amenazas internas es un poco más compleja y un poco más matizada, con implicaciones importantes sobre cómo las organizaciones pueden mitigar el riesgo.

¿Qué son las amenazas internas?

Comencemos por deconstruir el término «amenaza interna».

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) define a un miembro interno como “cualquier persona que tiene o tuvo acceso autorizado o conocimiento de los recursos de una organización, incluido el personal, las instalaciones, la información, los equipos, las redes y los sistemas”.

Tenga en cuenta que «cualquier persona» incluye empleados y contratistas, pero también el conjunto de socios comerciales y terceros, que a menudo se pasa por alto, además de los ex miembros de cualquiera de esos grupos.

A continuación, pasamos al segundo término, amenaza : esta es la posibilidad de que alguien use su acceso autorizado, a sabiendas o no, de una manera que cause daño a su organización.

Poniendo todo junto, podemos ver que las amenazas internas vienen en algunas formas:

Insider negligente: un usuario descuidado cuyos hábitos inseguros, como compartir contraseñas, dejar los dispositivos desatendidos o no reconocer una estafa de suplantación de identidad, ayudan sin saberlo a un actor de amenazas.
Información privilegiada comprometida: un usuario cuya cuenta o dispositivo ha sido accedido y ha caído bajo el control de un atacante cibernético malicioso, ya sea por negligencia o por causas ajenas a él.
Información privilegiada malintencionada (o coaccionada): un usuario que intencionalmente causa daño, ya sea que actúe solo o bajo la amenaza o la influencia de un actor malicioso.

¿Qué tan comunes son las amenazas internas?

En un mundo de visibilidad imperfecta, es imposible cuantificar con certeza, pero podemos recurrir a algunas fuentes autorizadas para tener una idea general.

El Informe de Investigaciones de Violación de Datos de 2021 de Verizon (DBIR) sugiere que, en los últimos cinco años, los internos representan el 25-35% de las violaciones. Sin embargo, existe una confusión considerable debido a los desafíos de atribución y las realidades de los informes. El informe señala que, «un actor externo que irrumpe en una organización aprovechando las credenciales obtenidas ilícitamente u otro acceso ilegal para pivotar internamente puede parecerse inicialmente a una amenaza interna antes de que se realicen análisis forenses detallados del incidente «. El informe agregó que una tendencia ascendente percibida en los ataques dirigidos por personas internas “es más probable que sea un artefacto del aumento de informes de errores internos en lugar de evidencia de malicia real de actores internos”.

Por otro lado, el informe Cost of a Data Breach Report 2021 de IBM sugiere que los infiltrados malintencionados son relativamente poco comunes y representan solo el 8 % de las filtraciones de datos, lo cual es una buena noticia para las organizaciones, ya que los infiltrados maliciosos calificados son particularmente peligrosos. Y en el extremo opuesto del espectro está la amenaza interna accidental. Y la encuesta Insider Data Breach Survey 2021 de Egress determinó que el 84 % de los incidentes graves son causados por errores de los empleados.

Por supuesto, las amenazas internas pueden variar según el sector y la región. Por ejemplo, en una sección sobre Tecnología Operacional (OT) y Sistemas de Control Industrial (ICS), el Índice de Inteligencia de Amenazas X-Force 2021 de IBM señala que, “los incidentes internos representaron el 13 % de todos los incidentes relacionados con OT en 2020, con alrededor de 60 % de aquellos que involucran a personas con información malintencionada y alrededor del 40% que involucran negligencia”. El estudio dijo: «Europa, con mucho, experimentó la mayor cantidad de ataques internos en 2020, y vio el doble de ataques de este tipo que América del Norte y Asia juntas».

Si bien estos informes no proporcionan comparaciones de manzanas con manzanas, la conclusión clara es que todas las formas de amenazas internas son un peligro real y presente.

¿Qué hace que las amenazas internas sean tan peligrosas?

En una palabra: confianza.

Las credenciales internas brindan acceso privilegiado a los sistemas y datos, lo que reduce la necesidad de participar en una escalada de privilegios y otras acciones de intrusión que podrían activar alarmas y generar señales de alerta.

Una persona interna que cae presa de esquemas de phishing o ingeniería social puede, sin darse cuenta, entregar lo que un actor de amenazas externo necesita para el reconocimiento y realizar acciones en el objetivo, especialmente porque un sistema de defensa automatizado no sabe quién tiene las manos en el teclado. (O, como lo expresó el DBIR, «aunque la llamada pueda provenir del interior de la casa, todavía hay un extraño en la línea» ).

Y un infiltrado malicioso tiene conocimiento de sistemas y normas, lo que lo convierte en una amenaza especialmente peligrosa. Como dice el DBIR de 2021, “una persona interna que ha decidido abusar de su acceso para copiar una pequeña cantidad de datos cada semana y vendérselos a su amigo, quien a su vez los utiliza para fraude financiero, puede no ser atrapado por mucho tiempo. .”

Más allá de la confianza depositada en los internos y sus credenciales, otros factores relacionados con la confianza complican la protección de sus datos y activos:

Las topologías de red planas , a menudo el producto de la complejidad y las compensaciones percibidas entre la seguridad y la comodidad, facilitan que los actores de amenazas (internos o no) se muevan lateralmente (es decir, de este a oeste) dentro de un entorno.
Conectar y luego verificar arquitecturas que operan bajo la premisa de una red confiable y autenticación débil, lo que presenta un riesgo innecesario
Usuarios con demasiados privilegios que son producto de la complejidad de administrar soluciones heredadas y compensaciones: cuando es demasiado difícil dividir el acceso con precisión, los administradores administran menos grupos y brindan más acceso del necesario

¿Por qué las amenazas internas son tan difíciles de gestionar?

Existen múltiples razones por las que las amenazas internas son difíciles de gestionar con las estrategias y soluciones de seguridad tradicionales.

En primer lugar, las políticas pueden, sin darse cuenta, hacer que los empleados se sientan juzgados o perseguidos. Además, es posible que estos enfoques no funcionen: una de las principales conclusiones de un estudio reciente de CyLab (Instituto de Seguridad y Privacidad de la Universidad Carnegie Mellon)—Construcción del programa de gestión de riesgos internos : resumen de las ideas de los profesionales— es que las acciones de disuasión (por ejemplo, las restricciones de los empleados , monitoreo, castigo, etc.) no reducen el riesgo interno. (El estudio sugiere que las acciones preliminares para crear un ambiente de trabajo positivo en el que los empleados se sientan valorados y confiables son mucho más efectivas).

En segundo lugar, debido a que los internos tienen privilegios de acceso, hay menos señales para que las soluciones de seguridad automatizadas las examinen. Esto es especialmente cierto en redes planas donde es difícil identificar y contener el movimiento lateral. Distinguir el comportamiento infrecuente pero legítimo del comportamiento malicioso es difícil y la razón por la cual el análisis del comportamiento del usuario (UBA) surgió hace años. Sin embargo, este enfoque reactivo requiere que el interno malintencionado se comporte mal para activar un algoritmo de detección; tal vez por eso las amenazas internas persisten a pesar de que las soluciones UBA existen desde hace mucho tiempo.

En tercer lugar, como se señaló anteriormente, los empleados no son los únicos con información privilegiada: los contratistas, proveedores y otros terceros pueden tener credenciales del sistema, y administrar el acceso seguro para una fuerza laboral tan diversa puede ser engorroso y propenso a errores.

Afortunadamente, el paradigma Zero Trust ofrece una solución convincente al problema de las amenazas internas.

Uso de Zero Trust Network Access (ZTNA) para protegerse contra amenazas internas

En términos de resultados de seguridad y costos, la forma más efectiva de administrar las amenazas internas es hacer cumplir el acceso a la red Zero Trust (ZTNA).

ZTNA empodera a los empleados y otras personas internas (por ejemplo, socios, contratistas, etc.) con conexiones rápidas y seguras a los datos y servicios que necesitan. Simultáneamente, limita su superficie de ataque, evita el movimiento lateral y proporciona visibilidad de la actividad de la red, lo que permite una contención y una respuesta rápidas en caso de que se produzca un ataque.

Al hacerlo, ZTNA aborda las amenazas internas de tres maneras importantes:

Se protege contra errores humanos -los errores inocentes que pueden dar a los agentes de amenaza de la apertura que necesitan
Protege a las personas en las que confía equipándolas exactamente con lo que necesitan mientras ayuda a garantizar que no ayuden a los atacantes externos sin darse cuenta.
Protege sus recursos controlando con precisión quién puede acceder a qué

Mitigar las amenazas internas con Appgate SDP

Así es como Appgate SDP, una solución ZTNA líder en la industria, combina funciones y tecnologías para mitigar las amenazas internas.

La delimitación de dispositivos y el acceso con privilegios mínimos limitan el acceso de los usuarios solo a los recursos y servicios de red que necesitan. Appgate SDP también utiliza políticas dinámicas para ajustar los derechos a medida que cambia el contexto en el que se solicitan, por lo que es fácil proporcionar acceso según sea necesario, superando muchos dolores de cabeza administrativos asociados con técnicas de administración de acceso más estáticas.

Device Posture Checking puede detectar si el dispositivo de un usuario legítimo se ha visto comprometida, momento en el SDP deniega el acceso del dispositivo a la red. De manera similar, Appgate SDP puede recibir contexto vital de otras soluciones de seguridad, como una gestión de incidentes y eventos de seguridad (SIEM), análisis de comportamiento de usuarios y entidades (UEBA) o una plataforma de detección y respuesta extendida (XDR), que agregan muchas señales para detectar potencialmente maliciosos. conducta.

Es importante destacar que con Appgate SDP, la gestión de las amenazas internas no requiere un enfoque de todo o nada en el que un usuario tenga algún acceso o ninguno. En cambio, los permisos de acceso quirúrgico significan que incluso si un usuario se marca o se pone en cuarentena, los administradores aún pueden permitir el acceso a sistemas no críticos particulares, para que el usuario pueda seguir haciendo su trabajo incluso mientras la investigación y la corrección están en curso.

Proteger a las empresas de las principales ciberamenazas actuales

Desafortunadamente, además de las amenazas internas, las empresas también corren el riesgo de ransomware , ataques de denegación de servicio distribuido (DDoS), phishing y ataques de intermediario (MITM).

Afortunadamente, el paradigma de seguridad Zero Trust está bien equipado para hacer frente a muchas ciberamenazas modernas. De hecho, en respuesta a muchos ataques cibernéticos de alto perfil dirigidos a la infraestructura crítica y las agencias gubernamentales, la Casa Blanca recientemente emitió una orden ejecutiva que exige que las agencias federales adopten una arquitectura Zero Trust.

Obtenga más información sobre cómo ZTNA se defiende contra las principales agendando una cita con un especialista.

Conoce más de BG2

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.