¿Qué medios tecnológicos se utilizan para mitigar las amenazas internas?

Lo único que abordará y evitará las amenazas internas es un Programa de amenazas internas (Diseño de programas de amenazas internas).

Este es uno de varios elementos clave, centrales, para un programa de Seguridad de la Información establecido por cualquier organización. Su base es la misma que los programas físicos, de recuperación ante desastres y de amenazas externas, que están (simplificados en exceso):

  • ¿Qué debe tener el negocio para seguir operando (físico, humano y tecnológico)?
  • ¿Qué datos debe proteger el negocio para continuar operando (por ejemplo: datos de empleados, datos de clientes, datos tecnológicos, etc.)?
  • ¿Qué datos debe proteger la empresa para cumplir con las regulaciones locales, federales e internacionales?
  • ¿Quién tiene acceso a los componentes clave (físicos, humanos y tecnológicos)?
  • ¿Quién debe tener acceso a los componentes clave (físicos, humanos y tecnológicos)?

Una vez que se identifican esas cosas, se pueden establecer las protecciones tecnológicas, de procedimiento y físicas.

Es importante tener en cuenta que el aspecto tecnológico es solo un componente de este programa. Esto es extremadamente importante. Cuando se trata de una amenaza interna, la persona que participa en una actividad maliciosa podría ser alguien que tenga acceso autorizado a la tecnología a la que se dirige. Por lo tanto, identificar y prevenir la actividad de amenazas internas implica más que monitorear la tecnología: requiere involucrarse con las personas .

Habiendo dicho todo eso, sugiero que eche un vistazo a la Guía de sentido común para mitigar las amenazas internas, 5a edición. El Instituto de Ingeniería de Software en la página de inicio – CMU – Carnegie Mellon University investiga mucho sobre las amenazas internas y es considerado un líder en el campo (aplicación teórica y práctica). También tienen un excelente blog dedicado al tema: Amenaza interna

En 2016, el blog SEI Insider Threat publicó las siguientes revisiones de herramientas tecnológicas para su uso en los programas Insider Threat:

  • Creación de un programa de amenazas internas: cinco categorías importantes de herramientas (Parte 1 de 2)
  • Creación de un programa de amenazas internas: algunas herramientas de bajo costo (Parte 2 de 2)

Las mejores herramientas para su programa dependerán en gran medida de cientos (¿miles?) De factores, pero este es uno de los mejores lugares para comenzar su investigación.

Related Content

¿Cuál es el mejor antivirus para Android en Play Store que 'vale' y funciona de verdad?

Alguien está intentando hackear mi Facebook constantemente y estoy recibiendo solicitudes de cambio de contraseña. ¿Cómo lo aseguro?

¿Cuál es el alcance de la piratería ética?

¿Qué tan difícil es hackear una computadora?

¿Qué es exactamente la botnet en la red informática (DDoS-Security) y cómo afecta a una red? ¿Existe una lista de direcciones IP de botnet conocidas?

Existen muchas soluciones de software en el mercado diseñadas para proteger los sistemas y los datos de las amenazas internas. Un proceso popular en este momento es User Behavior Analytics, o UBA, que notifica cuando hay un comportamiento inusual en su sistema. Por ejemplo, si un usuario que no ha accedido a una carpeta en un año de repente comienza a descargar archivos a un ritmo rápido, esto está fuera de lo normal y activaría una alerta para que un administrador pueda ver lo que está sucediendo y determinar si es un amenaza real o no.

Recientemente trabajamos con Troy Hunt para desarrollar un curso de video tutorial sobre Inside Threats. Es gratis, así que tómese un momento para verificarlo si desea obtener más información sobre las amenazas internas y cómo puede mitigar su riesgo y mantener sus datos seguros.

John Wetzel

Cualquier herramienta individual es una solución pobre para los problemas humanos.

Con mayor frecuencia, las soluciones de amenazas internas se centran en la observación de la red interna de la actividad y el acceso del usuario, el tránsito de datos y / o las infracciones de políticas. ¿Qué pasa con el reclutamiento externo de información privilegiada? ¿Cómo correlacionas ese comportamiento que has visto? ¿Es un empleado que hizo clic por error o un APT que se mueve lateralmente a través de sus redes?

Dentro del alcance de las conversaciones, la información privilegiada puede significar el empleado malicioso tradicional centrado en el espionaje, o simplemente un empleado ingenuo que no sigue la política de TI e infecta un punto final. ¿Cuenta con programas de informes y educación? ¿Son estas las amenazas más comunes?

Las amenazas internas más observadas provienen de tres áreas: reclutamiento de asociados minoristas para retirar o preautorizar tarjetas de crédito robadas, compartir o vender información financiera de información privilegiada y cooptar empleados implantados en instituciones financieras. ¿Estás preparado para lidiar con todos estos escenarios?

Todas las herramientas y compañías poderosas que publicitan la mitigación integral de amenazas internas deben tomarse con escepticismo. La amenaza interna es un rompecabezas multifacético que requiere equipos y procesos en lugar de una sola herramienta.

Las herramientas pueden resolver necesidades comerciales bien definidas, pero es posible que no necesite mejoras especiales. Un SIEM puede correlacionar la actividad sospechosa con los COI externos. La inteligencia de amenazas puede monitorear el reclutamiento externo de información privilegiada. Una herramienta GRC puede rastrear el reconocimiento de políticas por parte del usuario. Por lo tanto, tenga cuidado de definir los problemas que enfrenta y las soluciones que está buscando. Esto ayuda a los proveedores a concentrarse en resolver sus necesidades, maximiza sus recursos actuales y lo ayudará a demostrar el valor para los ejecutivos de su empresa cuando llegue el tiempo del presupuesto.

John Wetzel

Hay muchas tácticas tecnológicas utilizadas para mitigar las amenazas internas. Dependiendo de las necesidades particulares de la empresa: tácticas como monitoreo de empleados, registro de teclas, visualización / grabación de sesiones en vivo, etc.

Si realmente quiere aumentar sus esfuerzos de mitigación, investigue el monitoreo de los empleados. Básicamente es una combinación de análisis de usuarios y tácticas de mitigación. Puede anotar qué comportamientos son “típicos” para sus usuarios y establecer límites.

Por ejemplo, cuando un empleado crea un archivo para su empresa, debe enviarlo directamente al equipo. Puede crear alertas / notificaciones si, en cambio, un empleado abre un archivo y lo copia en una unidad USB desconocida.

Es fascinante y muy efectivo.

Adjuntaré algunos enlaces en caso de que esté interesado.

Monitoreo de actividad del usuario

Detección y prevención de amenazas internas

¡Buena suerte en tus esfuerzos de mitigación!

Oliver Bock

Definitivamente si. Pero la detección de amenazas internas tiene que usar técnicas basadas en el comportamiento.

inDefend business, un producto autóctono ofrece análisis de comportamiento para basar a los empleados normales y registrar comportamientos riesgosos con acciones apropiadas para evitar incidentes de antemano.

Y viene como una solución integrada que ofrece DLP, productividad de los empleados y monitoreo de comportamiento, análisis forense de empleados e informes de inteligencia cibernética como una solución única.

Es importante recordar que los iniciados no son piratas informáticos, por lo que se optará por cualquier software / producto que proporcione la solución exacta.

John Wetzel

Sí, puede usar un software de monitoreo de empleados como Teramind.

Teramind detecta y previene automáticamente las amenazas internas. Tiene un motor de reglas robus que ayuda a las organizaciones a definir y personalizar los elementos que saben que serán una amenaza (como descargar datos específicos, enviar información de la competencia, etc.) y también puede definir anomalías, por ejemplo, si alguien en el el departamento está haciendo algo significativamente diferente a los demás, también lo captará.

John Wetzel

Sí, hay muchas soluciones que lo ayudan a monitorear y analizar las amenazas internas.

Dependiendo de su presupuesto y necesidades, puede elegir uno de los siguientes:

Observarlo;
CyberArk;
Balabit
Veriato;
Sistema Ekran.

Oliver Bock

Como Iryna ya mencionó, hay muchas soluciones que ayudan a monitorear y prevenir amenazas internas.

Quería agregar Onion ID a la lista de compañías que mencionó.

Descargo de responsabilidad: soy asesor de marketing para Onion ID

Iryna Avrutova

More Interesting

¿Por qué no debería un usuario conectarse a IRC con la cuenta raíz en una máquina Linux?

¿El lenguaje de programación utilizado para escribir software de back-end es un factor de seguridad?

¿Por qué es iOS más seguro que macOS?

¿Cuál se ha enfrentado a menos ciberataques, el banco central alemán o sueco?

¿Qué tan común es que la computadora / teléfono inteligente de alguien sea hackeado y cuál es la reacción típica?

¿Cuáles son los productos o la tecnología de seguridad del consumidor?

¿Qué es el troyano?

Cómo eliminar cualquier virus de redireccionamiento del navegador

¿Podría la UE exigir que los fabricantes de computadoras no incluyan el spyware NSA en sus productos?

¿Cuáles son las diversas soluciones de seguridad para tabletas en una organización?

¿Con qué frecuencia las personas intentan piratear cuentas bancarias en línea? ¿Cuál es el promedio de intentos por día por cuenta bancaria en línea?

Cómo hackear mediante key loggers

¿Norton Antivirus es una buena herramienta para eliminar virus de mi computadora?

Cómo activar Norton Security Suite

¿Yubikey (o cualquier otro autenticador) reemplazará la contraseña estándar?