El icónico cineasta John Carpenter dijo una vez esto sobre las películas de terror: “Hay dos historias diferentes en el horror: interno y externo. En las películas de terror externas, el mal viene del exterior, la otra tribu, esa cosa en la oscuridad que no entendemos. Interno es el corazón humano.»
De la mateixa manera, hi ha dues històries de terror de ciberseguretat principals: atacs externs i amenaces internes . Igual que les pel·lícules de terror on els adolescents són assetjats per assassins maníacs, o les famílies són perseguides per fantasmes i espectres no desitjats, la majoria de les organitzacions estan sota l'atac continu de ciber amenaces temibles d'una manera o altra.
Les empreses han de tenir cura amb els ciberatacs externs i les amenaces internes. Com una pel·lícula de terror clàssica, les dues amenaces vénen amb els seus propis elements de misteri, suspens i por. Afortunadament, és possible defensar cada tipus datac utilitzant una estratègia de ciberseguretat similar per a cadascú.
Primer establim l'escena del panorama de seguretat actual.
Els fantasmes suren a través de les parets
En el passat, TI es va enfocar a enfortir el perímetre de la xarxa contra persones externes. La idea era que si s'evita que els dolents entrin, aleshores no passa res de dolent. Era l'enfocament clàssic basat en la fortalesa per mantenir a ratlla les hordes de zombis. Però hi va haver un defecte fatal. Moltes organitzacions obsessionades amb la seguretat perimetral van donar confiança implícita a qualsevol que ja fos a l'interior . Val a dir que aquest enfocament va desencadenar una sèrie de terribles violacions de dades i va aplanar el camí per al moviment de confiança zero.
Per descomptat, les companyies han de continuar protegint el perímetre i defensant-se contra amenaces conegudes, com sempre ho han fet. Les amenaces cibernètiques conegudes representen un presagi de fatalitat que plana sobre cada organització. Però les empreses d'avui han d'anar més enllà i estar atentes a les amenaces impredictibles que t'espanten si més no ho esperes.
Igual que els subgèneres de la indústria del cinema de terror, hi ha classificacions per a diferents tipus d'amenaces cibernètiques. Vegem quatre de les històries de terror de ciberseguretat més esfereïdores, algunes que provenen de l'exterior i d'altres de l'interior.
Els posseïts
Per conjurar els seus nefastos esquemes, els ciberdelinqüents necessiten accés. Els mètodes per obtenir accés varien, però una de les tàctiques més comunes és el compromís del compte: segrestar un compte que ja té laccés correcte.
Al igual que la película de terror «Actividad paranormal», donde una entidad malvada posee el personaje principal, un atacante se adueña de una cuenta comprometida para sus propios fines perversos. Esto significa que el intruso puede acceder a cualquiera de los sistemas y aplicaciones a los que tiene acceso esa cuenta comprometida, y nadie sabrá que algo está mal.
Com passa el compromís del compte? En general, es tracta d'endevinar contrasenyes, codi maliciós (malware), anuncis maliciosos o registre de pulsacions de tecles. També pot passar a través d'atacs Pass-the-Hash i atacs de contrasenya de força bruta . Però la suplantació d'identitat dirigida continua sent probablement la tècnica més freqüent per comprometre els comptes.
Els atacs de compromís de compte són difícils de descobrir perquè s'assemblen a una amenaça interna des del punt de vista de la detecció. Les solucions de seguretat convencionals de tipus llista blanca/llista negra són ineficaces per aturar el compromís del compte, perquè per a aquestes solucions el compte sembla legítim. Aleshores, quina és l'aigua beneïda que es pot ruixar al compte compromet Némesis? Anàlisi de seguretat basada en el comportament.
Con el análisis de comportamiento, es posible detectar estas cuentas «poseídas» en función de patrones de comportamiento anómalos. Dicha actividad anormal puede incluir acceso inusual a activos sensibles o de alto riesgo, muchas solicitudes de acceso en un corto período de tiempo, actividad originada en cuentas inactivas y más. Las anomalías identificadas como incoherentes con las actividades normales de un usuario o un compañero desencadenan una alerta que permite que los equipos de seguridad que intervengan.
El tafaner a l'ombra
L' abús d'accés privilegiat és un atac superposat amb el compromís del compte. Primer, el cyber agressor viola la seguretat del perímetre a través d'una de moltes maneres. Un cop dins, busquen claus SSH, contrasenyes, certificats i actius similars. El seu objectiu és robar les credencials que els permeten elevar-ne l'accés , obtenir un moviment sense restriccions a la xarxa i robar dades de forma anònima a voluntat. Com que utilitzen eines de pirateria automatitzades, tot aquest procés pot passar sorprenentment ràpid.
Però, com el depredador pacient que aguaita les víctimes, els atacants solen esperar el seu moment. Monitoritzaran silenciosament l'activitat i després faran servir la informació que recopilen per expandir el control de la xarxa. Els pirates informàtics aguaiten a la xarxa durant una mitjana de 206 dies abans de ser descoberts . Això és molt de temps perquè qualsevol entitat maliciosa rondi.
I no només els estranys han de ser temuts. També hi ha un element d'amenaça interna . El personal de TI generalment té accés anònim a la xarxa a través de comptes privilegiats compartits, amb contrasenyes que poques vegades canvien. Això brinda als ciber delinqüents l'oportunitat d'espiar i de prendre dades confidencials sense que ningú ho sàpiga. Aleshores, què pots fer per eliminar aquests fantasmes enmig teu?
La tecnologia danàlisi didentitat pot descobrir qui té accés privilegiat amb drets que poden haver augmentat després de laprovisió, o que existeixen dins de les aplicacions i dades no estructurades. Això permet als líders de seguretat de TI administrar, monitoritzar i controlar laccés privilegiat amb una efectivitat òptima.
I amb l' anàlisi de comportament d'usuaris i entitats (UEBA) és possible analitzar automàticament les dades per revelar activitats sospitoses: accedir a fitxers, sistemes i aplicacions inadequats a què s'accedeix des de noves ubicacions o nous dispositius, i fins i tot coses més estranyes que podrien indicar un comportament sospitós.
Fins aquí la primera part del nostre post, si vols seguir coneixent com a protegir-te dels ciberatacs no et perdis la segona part.