¿Por qué detectar ataques internos se ha vuelto más difícil desde la migración a la nube?

Muchas organizaciones centran sus esfuerzos de seguridad en defenderse de amenazas externas como piratas informáticos, malware y ataques de denegación de servicio. Y ciertamente, ese tipo de amenazas representan un peligro y siempre deben estar en el radar de los profesionales de seguridad.

Pero los ataques internos a menudo pueden ser igual de peligrosos, si no más, por lo que también requieren la atención del personal de TI y otro personal. Tales ataques pueden ocurrir de manera maliciosa por parte de los empleados que buscan perjudicar a la empresa a través del robo o sabotaje. Pero también pueden ocurrir accidentalmente como resultado de que los empleados cometan errores o pierdan datos inadvertidamente.

Los profesionales de seguridad generalmente comprenden los riesgos de los ataques internos, pero muchos sienten que sus organizaciones son más vulnerables a ellos, según un estudio publicado el miércoles producido por Cybersecurity Insiders y patrocinado por Securonix.

Basado en una encuesta de más de 300 profesionales de seguridad cibernética, el ” 2019 Insider Informe de amenazas ” encontró que el 70% de los encuestados estaban preocupados por las violaciones inadvertidas de información privilegiada, como un usuario descuidado causando una violación accidental. Alrededor del 66% estaba preocupado por violaciones de datos negligentes desencadenadas por usuarios que ignoraban la política de la compañía pero sin una intención maliciosa. Y el 62% estaba preocupado por incidentes maliciosos de usuarios que intencionalmente intentaban dañar a la compañía.

Los ataques internos ocurren por varias razones. Cuando se les pidió que comentaran las motivaciones para este tipo de ataques, el 57% de los encuestados señalaron fraude, el 50% a ganancias monetarias y el 43% al robo de propiedad intelectual. Al observar los tipos de usuarios que representan el mayor riesgo de seguridad interna para sus organizaciones, el 59% de los encuestados citó usuarios de TI privilegiados, el 52% señaló a contratistas, el 49% a empleados regulares y el 49% a usuarios comerciales privilegiados.

Las amenazas internas accidentales pueden representar un mayor riesgo para las organizaciones que los ataques intencionales. ¿Pero qué áreas son las más vulnerables a las amenazas accidentales? Un 43% de los encuestados mencionó ataques de phishing que engañan a los empleados para que compartan información confidencial de la empresa. Alrededor del 24% señaló contraseñas débiles, el 15% se refirió a ataques de phishing dirigido a individuos específicos y el 15% citó cuentas huérfanas.

La fuga o el robo de datos siempre es una preocupación para los profesionales de seguridad, tanto externos como internos de la empresa. Cuando se les preguntó qué tipo de datos es más vulnerable a los ataques internos, el 63% de los encuestados señalaron los datos de los clientes, el 55% a la propiedad intelectual y el 52% a los datos financieros. La exposición de los datos de los empleados, los datos de la compañía, los datos de ventas y marketing y los datos de atención médica también se mencionaron como áreas de preocupación.

Nube: posible punto problemático

La nube apareció en la encuesta como un posible punto problemático. Entre los encuestados, el 39% apuntó a las aplicaciones de almacenamiento en la nube y de intercambio de archivos como OneDrive y Dropbox como las más vulnerables a los ataques internos, seguido por el 38% que citó aplicaciones de comunicación y colaboración como el correo electrónico y la mensajería, y el 35% que apuntó a las aplicaciones de productividad como Office 365. Alrededor del 56% de los encuestados dijeron que creen que el cambio a la computación en la nube ha dificultado la detección de ataques internos. Pero solo el 40% dijo que monitorea su huella en la nube para detectar actividad anormal del usuario.

Los ataques internos plantean una preocupación suficiente como para que la mayoría de las organizaciones tengan ciertas herramientas para enfrentarlos. Alrededor del 68% de los encuestados dijeron que se sienten de moderados a extremadamente vulnerables a los ataques internos. Mientras que el 49% dijo que siente que tiene los controles correctos para prevenir un ataque interno, el 28% dijo que no y el 23% dijo que no estaba seguro. La mayoría de los encuestados utilizan algún tipo de análisis para determinar las amenazas internas, con un 32% que depende de la gestión de la actividad y los informes resumidos, el 29% en análisis de comportamiento del usuario, el 28% en acceso a datos y análisis de movimiento, y el 14% en análisis predictivo.

La detección y la prevención se vuelven más difíciles.

Pero detectar y prevenir ataques internos es un proceso más difícil que hace un año, según la encuesta. Y eso se debe a una serie de factores. Alrededor del 56% de los encuestados dijo que el proceso es más desafiante debido a la información privilegiada que ya tiene acceso acreditado a la red y los servicios. Alrededor del 46% señaló el aumento del uso de aplicaciones que pueden filtrar datos, como el correo electrónico basado en la web y las redes sociales. Y el 45% citó un aumento en la cantidad de datos que deja perímetros protegidos.

Otros factores que desafían a los profesionales de TI que intentan prevenir ataques internos incluyen: más dispositivos de usuario final capaces de robo, la migración de datos confidenciales a la nube junto con la adopción de aplicaciones en la nube, la mayor sofisticación técnica de los iniciados y la dificultad para detectar dispositivos maliciosos introducidos en la red.

Como tal, los ataques internos están en aumento. Un 70% de los encuestados dijeron que este tipo de ataques se han vuelto más frecuentes en los últimos 12 meses. Alrededor del 39% dijo que sus organizaciones han experimentado de uno a cinco ataques internos durante el último año, mientras que el 14% ha sido afectado por seis a 10 ataques de este tipo. Y tales ataques pueden ser costosos. Mientras que el 53% de los encuestados estimó el costo de lidiar con un ataque interno a menos de $ 100,000, el 31% calculó los daños entre $ 100,000 y $ 500,000.