Desde los ejecutivos hasta el área de TI: identificación de comportamientos anómalos para detener en seco a los adversarios digitales

Desde los ejecutivos hasta el área de TI: identificación de comportamientos anómalos para detener en seco a los adversarios digitales

Orion Cassetto, director de marketing de productos de Exabeam, analiza el riesgo de ciberseguridad de los diferentes departamentos de una empresa. “Los miembros de más alto rango de una empresa son a menudo los objetivos más lucrativos para los ciberdelincuentes”, dice.

Los departamentos dentro de una organización se pueden distinguir fácilmente por su ubicación en un edificio de oficinas (es decir, cuando se nos permita ingresar a nuestras oficinas), tal vez las finanzas y las ventas comparten el piso dos, y los ejecutivos están en el piso seis, pero su actividad de red es igualmente identificable.

Cada usuario de una red realiza tareas específicas y genera eventos únicos todos los días. Estos eventos se registran y recopilan para proporcionar información valiosa a los analistas de seguridad que se puede utilizar para el perfil de actividad y la detección de anomalías.

A medida que los ciberataques se tornan más complejos y difíciles de descubrir, las reglas de correlación a menudo carecen de contexto y también requieren un mantenimiento significativo, lo que genera falsos negativos o pasa por alto incidentes únicos. Para mitigar las amenazas y garantizar que no se pase por alto la actividad maliciosa de los atacantes, los analistas de seguridad poder comparar los comportamientos de referencia de los usuarios en todos los niveles de una organización.

Los equipos de seguridad implementan cada vez más el análisis de comportamiento basado en aprendizaje automático para identificar cuándo las cuentas de usuario legítimas exhiben un comportamiento anómalo y proporcionar información sobre los usuarios comprometidos y maliciosos a los analistas de SOC y los equipos de amenazas internas.

Analicemos cómo podría verse una actividad de red normal para varias personas de la empresa y ejemplos de comportamientos anómalos que podrían despertar sospechas entre los analistas de SOC y cómo abordarlos.

Ejecutivos de la empresa: directores generales, directores de operaciones y directores de finanzas

Los miembros de más alto rango de una empresa suelen ser los objetivos más lucrativos para los ciberdelincuentes. Dado que tienen una influencia significativa dentro de una empresa, los ciberdelincuentes pueden obtener fácilmente activos haciéndose pasar por estas personas.

El comportamiento normal de la red para un CEO y otros ejecutivos de alto nivel puede incluir compartir documentos de ganancias con las partes interesadas, acceder a nuevos planes comerciales, revisar contratos, datos competitivos o información sobre fusiones y adquisiciones.

Si una de estas personas está dirigiendo repentinamente transferencias bancarias sospechosas o enviando correos electrónicos masivos al personal o partes interesadas que contienen enlaces maliciosos, los analistas de SOC deberían investigar más a fondo.

Finanzas

Al igual que los ejecutivos, los departamentos de finanzas se ocupan de activos sensibles y privilegiados, lo que los convierte en una mina de oro para los malos actores. Los gerentes y el personal de finanzas pueden acceder a documentos presupuestarios trimestrales, recopilar registros de gastos para diferentes departamentos organizacionales o manejar cuentas por cobrar y por pagar.

Es posible que accedan a documentos de nómina, pero probablemente no descargarían información sobre el contrato de un empleado o proveedor de la empresa, que a menudo contiene información personal como datos bancarios, números de seguro social o direcciones privadas. Sin duda, esas actividades deberían dar la alarma.

Recursos humanos

Los directores de personal y los gerentes de recursos humanos a menudo actúan como el enlace principal entre la administración y los empleados de la organización. Los recursos humanos a menudo son muy activos en la red de una empresa debido a la naturaleza de su trabajo, lo que significa que la actividad de su red puede ser compleja y difícil de monitorear para los sistemas heredados.

El uso de software como DocuSign o DropBox probablemente sería un comportamiento básico para los departamentos de recursos humanos, lo que los ayudaría a facilitar la contratación y la incorporación de nuevos empleados. El comportamiento anómalo de un empleado de recursos humanos puede parecer un usuario que intenta acceder a los registros financieros o descargar los documentos fiscales personales de los empleados.

Ventas y marketing

El comportamiento de referencia para los usuarios de ventas y marketing probablemente incluiría el acceso a aplicaciones como Zoom o Skype para organizar presentaciones de ventas o reuniones, pero probablemente no necesitarían ver archivos de personal o documentos financieros.

Este tipo de comportamiento probablemente generaría una puntuación de alto riesgo y requeriría una mayor investigación. También suelen enviar archivos de gran tamaño, como archivos de diseño, videos, grabaciones de seminarios web, etc. y los envían fuera de la organización; ya sea a través de aplicaciones para compartir archivos, a un sitio web o a socios y clientes.

Para otras herramientas, esto puede parecer una exfiltración de datos debido a grandes transferencias de archivos salientes. Los empleados de ventas y marketing, que a menudo se comunican más a menudo con entidades externas (es decir, nuevos clientes potenciales, proveedores o agencias de terceros) también pueden ser víctimas fácilmente de ataques de relleno de credenciales. Después de robar la información de estos usuarios, los piratas informáticos se mueven lateralmente dentro de una red para obtener acceso de nivel superior con la esperanza de obtener datos privados o activos de alto valor.

TI

Estas personas suelen tener privilegios administrativos que los piratas informáticos pueden utilizar para obtener acceso autorizado a recursos de gran valor, como una base de datos confidencial, un sistema de gestión de derechos de usuario o un sistema de autenticación.

Cuando un pirata informático obtiene credenciales de usuario privilegiado, el actor de la amenaza puede moverse libremente a activos de alto valor. Por esta razón, los analistas de SOC deben monitorear de cerca esta categoría de usuarios para detectar anomalías.

Explore nuestro
último número

LATAM Spanish

Ver archivo de revistas