Amenaza interna frente a riesgo interno: ¿qué intenta resolver?

Las palabras importan, especialmente en la utopía de las palabras de moda que es el marketing de la seguridad de la información. Añadamos otro término a una lista cada vez mayor: el riesgo de información privilegiada. Aunque el riesgo interno y la amenaza interna se consideran a menudo sinónimos, en realidad existe una diferencia. Y la diferencia está en el propio problema que intenta resolver. Ésta es mi opinión.

La amenaza interna es un "problema de los usuarios"

Probablemente la definición más respetada fue escrita (y actualizada en 2017) por el Centro de Amenazas Internas CERT de Carnegie Mellon:

"Amenaza interna: la posibilidad de que una persona que tenga o haya tenido acceso autorizado a los activos de una organización utilice su acceso, de forma malintencionada o involuntaria, para actuar de forma que pueda afectar negativamente a la organización."

Según el CERT, la amenaza interna tiene que ver con el individuo, la persona, el empleado, el usuario. Se cubren todas las posibles acciones de los usuarios que puedan causar daños a una organización. Esto incluye el fraude, el robo de propiedad intelectual, el sabotaje, el espionaje, la violencia en el lugar de trabajo, la ingeniería social, la divulgación accidental y la pérdida o eliminación accidental de equipos o documentos. 

Dada esta definición centrada en el usuario, ampliamente aceptada, los compradores de seguridad suelen recurrir a herramientas centradas en el usuario, como el análisis del comportamiento del usuario (UBA), el análisis del comportamiento del usuario y la entidad (UEBA) o la supervisión de la actividad del usuario (UAM). Herramientas como éstas recogen y analizan montañas de metadatos de actividad de los usuarios que se bombean a un SIEM, se correlacionan con otros datos y se automatizan a través de un SOAR. Voilà - su problema de amenazas internas está resuelto. 

Ojalá fuera así de sencillo. La verdad es que el comportamiento de los usuarios y las herramientas de supervisión son sólo una pieza del rompecabezas. Confiar únicamente en las herramientas UBA, UEBA o UAM puede hacerle adivinar qué, quiero decir quién, es una amenaza real. 

El riesgo de información privilegiada es un "problema de datos"

El riesgo interno es un juego de pelota diferente. Cuando se trata de gestionar o mitigar el riesgo interno, la atención pasa de centrarse únicamente en el usuario a adoptar un enfoque más amplio y holístico para comprender el riesgo de los datos. Ningún organismo de normalización, que yo sepa (a menos que considere a Microsoft un "organismo de normalización"), ha definido el riesgo interno. Así que creamos una definición (corta y dulce):

"El riesgo de información privilegiada se produce cuando la exposición de datos pone en peligro el bienestar de una empresa y de sus empleados, clientes o socios."

Las palabras clave son "exposición de datos". La amenaza interna es un problema de los usuarios. El riesgo de información privilegiada es un problema de datos. En Code42, solucionamos ambos problemas, pero nuestro enfoque se centra en los riesgos de la exposición de los datos. De hecho, la consola de nuestro producto se llama "Panel de exposición al riesgo" y nuestro informe de investigación anual se titula "Informe de exposición a los datos". La diferencia fundamental entre las herramientas contra amenazas internas centradas en el usuario (UBA, UEBA, UAM) y una solución contra riesgos internos como la nuestra es que éstas adoptan un enfoque basado en políticas, mientras que nosotros adoptamos un enfoque basado en matemáticas. Nuestro enfoque tiene en cuenta todos los lados de la ecuación:

Fichero + Vector + Usuario = Riesgo

• Examinamos todos los datos (no sólo los clasificados)
• Tenemos en cuenta los detalles del vector (punto final, nube, correo electrónico, dominios de confianza frente a los que no lo son, corporativos frente a personales)
• Consideramos a todos los usuarios (no sólo a los usuarios con acceso privilegiado actual o pasado)

Cuando se tienen en cuenta las tres variables de la ecuación, se obtiene una señal de riesgo de información privilegiada que es -me atrevería a decir- real. He aquí un ejemplo: 

Los indicadores de riesgo interno resultantes de la exposición de datos son más fuertes cuando se tienen en cuenta los datos, el vector y la actividad de los archivos de usuario (contexto de la amenaza). Hay docenas de casos de uso de riesgo interno como el anterior que vuelan completamente bajo el radar de la mayoría de las herramientas de seguridad, de ahí la razón para enfocar el riesgo interno de forma holística:

• Por regla general, la herramienta vigila los datos etiquetados o marcados (p. ej. DLP)
• Por regla general, la herramienta vigila los vectores especificados (p. ej. CASB)
• Por regla general, la herramienta vigila el uso de las aplicaciones por parte de los empleados en la red (p. ej. UBA, UAM)

Ahora, usted podría tomar sus soluciones DLP para endpoint y correo electrónico, su CASB, añadir UBA para usuarios, y tirar de registros de red, registros de gestión de identidad y acceso , etc. en su SIEM, ejecutar todo tipo de correlaciones y consultas basadas en políticas y decir que está cubierto. Este enfoque basado en reglas está diseñado para equipos de seguridad grandes, sofisticados y maduros, e incluso los equipos de seguridad más sofisticados están faltos de tiempo y frustrados con todo el ruido y la complejidad que conlleva el mantenimiento de estos sistemas. Y después de todo, ¿funcionan los sistemas? Hay innumerables ejemplos de que no lo son. 

¿Amenaza o riesgo internos? Todo se reduce a la decisión de adoptar un enfoque basado en las políticas y centrado en la previsión humana o un enfoque basado en las matemáticas y centrado en la exposición de los datos. A la hora de resolver el riesgo de información privilegiada, siga una fórmula sencilla y haga los cálculos. Porque al fin y al cabo, las matemáticas -frente a las conjeturas- siempre ganan.