El icónico cineasta John Carpenter dijo una vez esto sobre las películas de terror: “Hay dos historias diferentes en el horror: interno y externo. En las películas de terror externas, el mal viene del exterior, la otra tribu, esa cosa en la oscuridad que no entendemos. Interno es el corazón humano.”
Del mismo modo, hay dos historias de terror de ciberseguridad principales: ataques externos y amenazas internas. Al igual que las películas de terror donde los adolescentes son acosados por asesinos maníacos, o las familias son perseguidas por fantasmas y espectros no deseados, la mayoría de las organizaciones están bajo el ataque continuo de ciber amenazas temibles de una forma u otra.
Las empresas deben tener cuidado con los ciberataques externos y las amenazas internas. Como una película de terror clásica, ambas amenazas vienen con sus propios elementos de misterio, suspenso y miedo. Afortunadamente, es posible defender cada tipo de ataque utilizando una estrategia de ciberseguridad similar para cada uno.
Primero, establezcamos la escena del panorama de seguridad actual.
Los fantasmas flotan a través de las paredes
En el pasado, TI se enfocó en fortalecer el perímetro de la red contra personas externas. La idea era que si se evita que los villanos entren, entonces no pasa nada malo. Era el enfoque clásico basado en la fortaleza para mantener a raya a las hordas de zombis. Pero hubo un defecto fatal. Muchas organizaciones obsesionadas con la seguridad perimetral dieron confianza implícita a cualquiera que ya estuviera en el interior. Valga decir que este enfoque desencadenó una serie de terribles violaciones de datos y allanó el camino para el movimiento de confianza cero.
Por supuesto, las compañías deben continuar protegiendo el perímetro y defendiéndose contra amenazas conocidas, como siempre lo han hecho. Las amenazas cibernéticas conocidas representan un presagio de fatalidad que se cierne sobre cada organización. Pero las empresas de hoy deben ir más allá y estar atentas a las amenazas impredecibles que te asustan cuando menos lo esperas.
Al igual que los subgéneros de la industria del cine de terror, existen clasificaciones para diferentes tipos de amenazas cibernéticas. Veamos cuatro de las historias de terror de ciberseguridad más aterradoras, algunas que provienen del exterior y otras del interior.
Los poseídos
Para conjurar sus nefastos esquemas, los ciberdelincuentes necesitan acceso. Los métodos para obtener acceso varían, pero una de las tácticas más comunes es el compromiso de la cuenta: secuestrar una cuenta que ya tiene el acceso correcto.
Al igual que la película de terror “Actividad paranormal”, donde una entidad malvada posee el personaje principal, un atacante se adueña de una cuenta comprometida para sus propios fines perversos. Esto significa que el intruso puede acceder a cualquiera de los sistemas y aplicaciones a los que tiene acceso esa cuenta comprometida, y nadie sabrá que algo está mal.
¿Cómo sucede el compromiso de la cuenta? Por lo general, se trata de adivinar contraseñas, malware, anuncios maliciosos o registro de pulsaciones de teclas. También puede ocurrir a través de ataques Pass-the-Hash y ataques de contraseña de fuerza bruta. Pero la suplantación de identidad dirigida sigue siendo probablemente la técnica más frecuente para comprometer las cuentas.
Los ataques de compromiso de cuenta son difíciles de descubrir porque se parecen a una amenaza interna desde el punto de vista de la detección. Las soluciones de seguridad convencionales de tipo lista blanca / lista negra son ineficaces para detener el compromiso de la cuenta, porque para estas soluciones la cuenta parece legítima. Entonces, ¿cuál es el agua bendita que se puede rociar en la cuenta compromete a Némesis? Análisis de seguridad basado en el comportamiento.
Con el análisis de comportamiento, es posible detectar estas cuentas “poseídas” en función de patrones de comportamiento anómalos. Dicha actividad anormal puede incluir acceso inusual a activos sensibles o de alto riesgo, muchas solicitudes de acceso en un corto período de tiempo, actividad originada en cuentas inactivas y más. Las anomalías identificadas como incoherentes con las actividades normales de un usuario o un compañero desencadenan una alerta que permite que los equipos de seguridad que intervengan.
El mirón en la sombra
El abuso de acceso privilegiado es un ataque que se superpone con el compromiso de la cuenta. Primero, el cyber agresor viola la seguridad del perímetro a través de una de muchas maneras. Una vez dentro, buscan claves SSH, contraseñas, certificados y activos similares. Su objetivo es robar las credenciales que les permiten elevar su acceso, obtener un movimiento sin restricciones en la red y robar datos de forma anónima a voluntad. Debido a que utilizan herramientas de piratería automatizadas, todo este proceso puede ocurrir sorprendentemente rápido.
Pero, como el depredador paciente que acecha a sus víctimas, los atacantes suelen esperar su momento. Monitorearán silenciosamente la actividad y luego usarán la información que recopilan para expandir su control de la red. Los piratas informáticos acechan en la red durante un promedio de 206 días antes de ser descubiertos. Eso es mucho tiempo para que cualquier entidad maliciosa merodee.
Y no solo los extraños deben ser temidos. También hay un elemento de amenaza interna. El personal de TI generalmente tiene acceso anónimo en la red a través de cuentas privilegiadas compartidas, con contraseñas que rara vez cambian. Esto brinda a los ciber delincuentes la oportunidad de espiar y tomar datos confidenciales sin que nadie lo sepa. Entonces, ¿qué puedes hacer para eliminar estos fantasmas en medio de ti?
La tecnología de análisis de identidad puede descubrir quién tiene acceso privilegiado con derechos que pueden haber aumentado después del aprovisionamiento, o que existen dentro de las aplicaciones y datos no estructurados. Esto permite a los líderes de seguridad de TI administrar, monitorear y controlar el acceso privilegiado con una efectividad óptima.
Y con el análisis de comportamiento de usuarios y entidades (UEBA) es posible analizar automáticamente los datos para revelar actividades sospechosas: acceder a archivos, sistemas y aplicaciones inapropiados a los que se accede desde nuevas ubicaciones o nuevos dispositivos, e incluso cosas más extrañas que podrían indicar un comportamiento sospechoso.
Hasta aquí la primera parte de nuestro post, si quieres seguir conociendo como protegerte de los ciber ataques no te pierdas la segunda parte.