Los Expertos Opinan: "Insider Threat Management, la amenaza ya no solo está ahí fuera" - David García Cano (Aruba)

Publicado el 07-05-2019      Notícia sobre: ISMS Forum Spain

David García Cano

Head of Security Southern Region

Aruba, a Hewlett Packard Enterprise.


El paradigma de la seguridad está cambiando. Por todos es conocido que la tecnología avanza a una velocidad de vértigo, y las amenazas, así como la aparición de nuevos ataques van a la misma velocidad, si no superior. Lejos de ser un grupo de rebeldes ideando ataques con propósitos de reivindicación social, hoy los ciberdelicuentes son organizaciones muy capacitadas para la comisión de delitos, que estudian en detalle a aquellas organizaciones que quieren atacar, y que incluso hacen estudios tan elaborados sobre si les saldría más rentable atacar a una multinacional, o a un Gobierno bien protegido, o a 100.000 pymes cuya indefensión las sitúa como un claro target de sus ataques. Se trata de organizaciones criminales que disponen de recursos y, en muchos de los casos, tienen una financiación superior a la que necesitan las empresas contra las que van a poner en marcha acciones delictivas.

Ahora estamos viviendo otro nuevo boom tecnológico: la proliferación y explosión del IoT, esos dispositivos de bajo coste y rápida fabricación en la mayor parte de los casos, que no contemplan la seguridad por diseño. También los atacantes están empezando a explotar nuevos vectores de ataque que intentan utilizar dispositivos y usuarios legítimamente conectados a las redes corporativas, lo que se conoce como la Amenaza Interna (Insider Threats). Estas amenazas internas siempre preceden a las brechas de seguridad, o a las fugas de datos que se están produciendo de forma permanente a causa del mal uso de los privilegios internos, de cuentas comprometidas, de movimientos laterales, o debidas a la infección de dispositivos internos, etc.

Para poder establecer una defensa adecuada es necesario incorporar estrategias de protección más eficientes y soluciones más inteligentes, como los sistemas Zero Trust, la Inteligencia Artificial y el Machine Learning, que son herramientas que ya nos están permitiendo analizar el comportamiento de los usuarios y entidades pudiendo identificar y eliminar amenazas potenciales, conocidas o no. Usar sistemas de inteligencia adquirida (patrones y firmas) ya no es suficiente; ahora es esencial conocer en todo momento qué está conectado a nuestros sistemas (Identificación) para poder aplicar políticas de seguridad específicas y personalizadas (Protección), analizando el comportamiento anómalo que se pueda dar, premeditado o no, (Detección) y automatizar la respuesta para frenar este tipo de ataques internos no vistos hasta la fecha (Respuesta Automatizada).

Nuestra defensa tiene que pasar por fortalecer la visibilidad y el control. Todo CISO debería establecer en sus necesidades y prioridades de sus modelos de seguridad, conseguir alcanzar una visibilidad absoluta de lo que está conectado a sus redes y sistemas internos, en tiempo real, y poder establecer sistemas de respuesta y control que resuelvan los problemas de manera autónoma y coordinada, compartiendo el contexto y no limitándose a tener soluciones trabajando como silos de forma aislada.

Las soluciones que presentan sistemas de defensa basadas en “Trust First” confían inicialmente en los equipos y se les concede un acceso inicial, pero pueden suponer un riesgo importante para las organizaciones. Por el contrario, la apuesta para incrementar la seguridad pasa por contar con modelos avanzados basados en Zero Trust, donde hasta que no se verifica y se autoriza un dispositivo, no se le hará asignación de una política de seguridad, totalmente personalizada, para permitirle entrar en la red corporativa.

Cualquier conexión o política de seguridad otorgada deberá definirse utilizando el concepto de “privilegio mínimo”. En otras palabras, una cámara IP solo debería tener acceso a lo que realmente necesita para dar servicio; el personal externo, solo debería tener acceso a los servicios que necesita para prestar servicio; un teléfono IP, solo le deberíamos otorgar permisos para poder dar servicio de llamadas, nada más.

Este tipo de modelos Zero-Trust permiten controlar y establecer una segmentación dinámica de red en modo preconexión y vincular una identidad a todas y cada una de las conexiones, por lo que es mucho más fácil rastrear el origen de una intrusión, generando una eficiencia en el “Threat Hunting” y análisis posterior del problema acontecido. Además, se establece un "estado" a cada conexión que pueda usarse para cambiar/eliminar dinámicamente dicho estado anterior en cualquier momento, haciendo que la red se adapte a las necesidades en tiempo real y no sea algo estático con configuraciones preestablecidas.

Con las amenazas avanzadas que estamos sufriendo hoy en día, las cuales se propagan de múltiples formas -por correos electrónicos, técnicas de phishing, etc. -, el problema se expande hasta los propios empleados o el personal externo; es decir, usuarios y dispositivos legítimos con credenciales acceden a la red interna y se conecten sin mayores impedimentos.

La amenaza ha dejado de provenir únicamente del exterior del perímetro, se hace imprescindible un cambio de mentalidad y asumir que la amenaza ya no está solo ahí fuera, si no que ya la tenemos dentro, por lo que nuestros procesos y sistemas de visibilidad y control tienen que ser mucho más eficientes y, además, que la capacidad de detección esté basada en el comportamiento y que los controles que pongamos sean modelos basados en aproximaciones Zero Trust, no asumamos que algo es legítimo sin comprobarlo previamente. Y si aun así tenemos un problema de seguridad, la respuesta ha de ser dinámica y automatizada para minimizar los riesgos y ser mucho más eficientes al proporcionar seguridad a toda la organización.

Global Gold Sponsor