Las amenazas internas plantean un grave desafío de ciberseguridad para las organizaciones de todos los sectores. Cuando los empleados, contratistas o socios de confianza abusan de sus privilegios y acceso para llevar a cabo actos maliciosos, el daño puede ser grave. A diferencia de los atacantes externos, los internos malintencionados tienen un conocimiento íntimo que pueden aprovechar para violar información crítica o sabotear operaciones. Detectar actividades ilícitas desde dentro también es mucho más difícil que encontrar amenazas perimetrales. Sus credenciales y acceso legítimos les permiten pasar desapercibidos para los controles de seguridad tradicionales. La tecnología de engaño ha surgido como un enfoque nuevo e innovador para protegerse contra amenazas internas. Las plataformas de engaño instalan señuelos y trampas que atraen la atención interna haciéndose pasar por recursos reales y sensibles de la empresa. Cuando un interno intenta acceder a los activos engañosos, se generan alertas para avisar a los equipos de respuesta a incidentes. Al proporcionar sistemas y datos falsos que parecen creíbles para los internos, la tecnología de engaño puede sacar a la luz acciones internas no autorizadas que apuntan a un posible compromiso. Evaluar esta nueva forma de tecnología defensiva es fundamental para las organizaciones que buscan mejores salvaguardas contra el desafío de las amenazas internas. Desafíos de detectar amenazas internas Las personas internas maliciosas a menudo adoptan enfoques sigilosos ante actividades no autorizadas que les permiten pasar desapercibidos. Debido a que tienen acceso y credenciales legítimos, los internos no necesitan piratear sistemas y, a menudo, acceden a recursos confidenciales como parte de sus tareas laborales habituales. Estos factores hacen que distinguir acciones inocentes de actividades internas ilícitas sea extremadamente complicado para los equipos de seguridad. Además, los usuarios malintencionados son expertos en comprender sus organizaciones desde adentro hacia afuera, ya que poseen conocimientos complejos de los sistemas, almacenes de datos, procesos de seguridad y posibles lagunas. Esto les proporciona los planos necesarios para emprender ataques quirúrgicos y sigilosos que evaden fácilmente las salvaguardias tradicionales. Pueden desviar lentamente pequeñas cantidades de datos a lo largo del tiempo, camuflando sus huellas en el camino, o pueden permanecer ocultos durante meses o años antes de actuar, todo ello manteniendo un desempeño laboral impecable. Muchas herramientas y políticas de seguridad están diseñadas para proteger contra atacantes externos, pero no son suficientes cuando se aplican a amenazas internas. Los usuarios internos pueden eludir fácilmente los firewalls, el monitoreo de redes, los controles de acceso y otras defensas perimetrales, ya que no detectan la actividad autorizada de las cuentas. Se necesitan urgentemente nuevos enfoques para dar cuenta de los desafíos particulares que plantea la amenaza interna. La tecnología de engaño ha surgido para llenar esta brecha de seguridad crítica, brindando alertas y visibilidad donde otros controles fallan a ciegas. Capacidades de la tecnología de engaño Las plataformas de tecnología de engaño proporcionan trampas y señuelos especialmente diseñados que atrapan la actividad interna maliciosa. Los sistemas crean activos digitales falsos, incluidos documentos, correos electrónicos, servidores, bases de datos e incluso redes enteras que parecen creíbles para los conocedores pero que no contienen datos de producción reales. Cuando un infiltrado muerde el anzuelo e intenta acceder a estos señuelos, las alertas se activan automáticamente. Los entornos de engaño bien construidos emulan la infraestructura de TI real e incluyen señuelos que reflejan muy fielmente el tipo de datos sensibles o regulados a los que un infiltrado podría apuntar. Por ejemplo, una empresa de atención médica podría implementar registros de información médica personal (PHI) engañosos con datos falsos de pacientes con un formato idéntico a los registros médicos electrónicos reales. El objetivo es hacer que los señuelos sean lo suficientemente atractivos para que los actores maliciosos puedan participar plenamente. Las soluciones avanzadas de engaño no solo generan alertas; También brindan seguimiento en torno a los engaños para capturar pruebas para las investigaciones. Los análisis forenses detallados revelan exactamente lo que el infiltrado miró, descargó, manipuló o destruyó, documentando sus pasos a lo largo de la secuencia del ataque. Algunas soluciones incluso reintroducirán esta información sobre amenazas en otros sistemas de seguridad, como SIEM, para acelerar la respuesta a incidentes. Por lo tanto, la tecnología de engaño ofrece un valor inmenso a los programas de amenazas internas a través de la detección temprana, la visibilidad detallada y los bajos falsos positivos. Al emplear el engaño, las organizaciones obtienen una línea de defensa adicional contra personas internas maliciosas que las herramientas tradicionales pasan por alto. Lo que distingue al engaño es la capacidad de convertir a los usuarios autorizados en amenazas cuando toman medidas sin precedentes sobre activos engañosos. Casos de uso y estrategias de implementación La implementación de tecnología de engaño para una detección efectiva de amenazas internas requiere planificación y estrategia. Los sistemas brindan el máximo valor cuando los señuelos se parecen mucho a los verdaderos datos confidenciales a los que los internos tienen acceso y se integran con otras herramientas de seguridad clave. Por ejemplo, un documento señuelo denominado «Estrategia de fusión ACME» tendrá más peso si se coloca entre otros documentos que un analista financiero normalmente revisaría para sus funciones laborales. De manera similar, los diagramas de ingeniería falsos de los próximos productos pueden atrapar amenazas internas dentro de un departamento de I+D cuando se mezclan con esquemas confidenciales reales almacenados en la red. Los programas de amenazas internas a menudo realizan evaluaciones para mapear datos confidenciales e identificar qué sistemas albergan legítimamente esta información en toda la organización. La tecnología de engaño puede entonces reflejar activos reales y colocar señuelos en consecuencia. Dado que las personas internas están autorizadas a acceder a partes de la red corporativa, iniciar sesión en un sistema por sí solo no debería generar alertas. En cambio, las alertas deberían activarse sólo cuando se toca contenido engañoso. Las estrategias de implementación bien pensadas maximizan la probabilidad de que las amenazas internas interactúen con señuelos y trampas de engaño. Los arquitectos de redes pueden asesorar sobre sitios de red críticos para la inserción de trampas, mientras que los equipos de seguridad en la nube asesoran sobre aplicaciones SaaS riesgosas, ideales para el engaño en todas las unidades de negocios. Las soluciones de engaño correctamente integradas refuerzan todo el ecosistema de seguridad. Frustrar las amenazas internas Las amenazas internas presentan, sin lugar a dudas, un desafío difícil de superar para las organizaciones. Los infiltrados malintencionados operan detrás de las líneas y a menudo pueden eludir las defensas perimetrales tradicionales como firewalls, IDS y controles de acceso. Su conocimiento íntimo, sus credenciales autorizadas y su punto de vista interno equipan a los internos para llevar a cabo ataques tácticos sigilosos contra sistemas y datos sensibles. Al atacar proactivamente a los actores maliciosos y generar alertas cuando interactúan con falsificaciones, la tecnología de engaño ofrece una nueva y sólida capacidad para proteger las joyas de la corona de una organización contra compromisos. Como parte de un enfoque de defensa en profundidad, las soluciones de engaño refuerzan la pila de seguridad, sirviendo como la capa más interna de protección contra peligros internos que acechan. La tecnología de engaño proporciona un contraataque excepcionalmente potente a estas amenazas al colocar trampas internamente detrás de las defensas perimetrales. Los señuelos y señuelos bien posicionados ofrecen un valor tremendo para los programas de amenazas internas que buscan una detección temprana, una visibilidad mejorada y una respuesta rápida a actividades no autorizadas. A medida que la industria de la ciberseguridad se da cuenta del creciente peligro de los ataques internos, las plataformas de engaño ofrecen una solución que madura rápidamente para esta amenaza amenazante. Próximos pasos Para obtener más información, eche un vistazo a los informes de radar y criterios clave de la tecnología de engaño de GigaOm. Estos informes brindan una descripción general completa del mercado, describen los criterios que querrá considerar en una decisión de compra y evalúan el desempeño de varios proveedores en función de esos criterios de decisión. Si aún no es suscriptor de GigaOm, puede acceder a la investigación mediante una prueba gratuita.

Source link