L'amenaça vi des d'endins
Igual que l'escena de terror on la trucada telefònica amenaçant sona a la casa on resideix la víctima, de vegades l'amenaça prové de l'interior. Si bé una organització generalment enfronta més atacs cibernètics externs, també s'hauria de preocupar per les amenaces internes. Un empleat enutjat que ja té accés als arxius de la companyia podria tornar-se psicòpata i filtrar documents en secret als competidors, o sabotejar els sistemes perquè està enutjat amb el seu superior.
No falten els contes de terror d'amenaces internes. Consideri Terry Childs, l'empleat de la ciutat de San Francisco que va retenir el refús de la ciutat durant dues setmanes mentre estava assegut en una cel·la de la presó. O el contractista de la NSA més infame del món: Edward Snowden. I després hi ha Anthony Levandowski, un enginyer en una subsidiària d'Alphabet, acusat de descarregar arxius de la companyia sobre tecnologia d'automòbils sense conductor, i se'l va emportar a un competidor (Uber).
Els experts maliciosos són difícilment detectables abans que infligeixin horror. No són tan obvis com un pall·li espelma o un monstre amb una màscara d'hoquei. Una amenaça interna podria ser qualsevol persona: un empleat, un contractista extern. A diferència dels vectors d' atac descrits anteriorment, els iniciats no s' han de molestar a entrar i buscar en secret dades valuoses. Ja són a l'interior i saben on existeixen aquestes dades invaluables.
Sense una solució de detecció d'amenaces internes, pot semblar impossible desxifrar si un empleat realitza les seves activitats laborals habituals o participa en una cosa més sinistre. Per complicar l'assumpte, no són només els personatges espelmes el que preocupa. També hi ha la informació privilegiada accidental a la qual cal témer. Un empleat normalment eficaç i lleial encara podria sucumbir a un correu electrònic de phishing acuradament elaborat o una campanya d'enginyeria social. En cert sentit, cada empleat és un possible sospitós d'amenaça interna.
Llavors, hi ha una bala de plata que pugui neutralitzar l'amenaça? No amb les eines convencionals de ciberseguretat. No obstant això, la tecnologia d' anàlisi de seguretat pot combinar diferents fonts de dades en una organització i vincular comportaments de múltiples fonts a una sola identitat. Després, l'aprenentatge automàtic pot identificar comportaments arriscats i oferir informació amb el major context possible. Aquesta tàctica, que proporciona una vista correlacionada i prioritzades de risc perquè els equips de seguretat responguin, és una de les claus per manejar l'amenaça interna.
El meravellador
Hi ha diverses raons per les quals algú podria llançar un ciberatac. Potser sigui per fer espionatge. Tal vegada sigui per infligir dany. Però la raó més comuna és el robatori simple: robar informació valuosa que pot beneficiar l'atacant. Avui, les dades són l'or dins de la volta en la majoria de les organitzacions. És el destí final de la cadena de ciberseguretat.
Llavors, qualsevol que sigui la tàctica utilitzada (compromís del compte, abús d'accés privilegiat o altres), generalment es redueix a protegir les dades que busquen els delinqüents. Les eines DLP i SIEM van ser alguna vegada les solucions preferides per bloquejar l'accés a les dades. Però les solucions SIEM i DLP es van tornar ineficaces a causa de la seva naturalesa basada en regles de bloquejar només les amenaces conegudes. A més, generen massa alertes que requeririen que un analista humà tingui un sisè sentit per desxifrar les amenaces reals.
La prevenció de la filtració de dades comença amb equips de seguretat que saben qui està en el seu entorn, a què tenen accés i què estan fent. Moltes organitzacions operen en una àrea misteriosa i grisa de risc desconegut. Abordar aquest problema aterrador requereix un mesurament precís i oportú dels riscos que aguaiten com a monstres en aquestes àrees fosques.
Necessitem una solució que intervingui abans que es filtrin les dades. ¿Però com es pot fer això? En els thrillers de ciberatac esmentats anteriorment, hi havia un factor comú: el comportament aberrant. El comportament és un indicador principal d'amenaça, com ens agrada dir.
Alguns aficionats a les pel·lícules de terror diuen que pots predir quins personatges viuran i quins moriran, en funció d'alguns patrons particulars de comportament. De la mateixa manera, si pot detectar comportaments que estan fora del rang d' activitats normals en una xarxa, és possible detectar i predir activitats associades amb sabotatge, mal ús i robatori de dades. Es necessita una combinació de les fonts de dades correctes, l' aprenentatge automàtic i la ciència de dadesper identificar les activitats aberrants indicatives d' accions malicioses.