Mimecast Logo
Obtenga una cotización

    Amenazas internas maliciosas

    Programe una demostración
    Insider malicioso
    Programe una demostración
    Descripción general

    ¿Qué es un infiltrado malicioso? 

    Un infiltrado malicioso es una persona que tiene conocimiento privilegiado de la información privilegiada de una organización y la utiliza intencionadamente de forma indebida para afectar negativamente a la integridad de la empresa.

    Esta persona puede ser un empleado actual o anterior, un contratista o un socio comercial.

    Ejemplos de amenazas internas maliciosas 

    Algunos ejemplos comunes de amenazas internas son:

    • Un empleado recién despedido que vende información sensible a un competidor.
    • Un empleado descontento que expone secretos comerciales al público.
    • Un empleado que borra registros e información importantes para incumplir la normativa de cumplimiento.

     

    GettyImages-1309763358-1200px.jpg

     

    ¿Cómo reconocer una amenaza interna maliciosa? 

    Tanto los humanos como la tecnología pueden reconocer las amenazas internas maliciosas.  

    El personal de una empresa puede servir como línea principal de detección de amenazas, ya que los compañeros que interactúan regularmente con un posible infiltrado malicioso probablemente notarán cambios en el comportamiento, la personalidad y las motivaciones que pueden señalar una posible amenaza para la seguridad.

    La tecnología puede ayudar a detectar las amenazas internas mediante:

    • Seguimiento de la actividad de los usuarios
    • Investigaciones de incidentes
    • Gestión del acceso
    • Análisis de usuarios y comportamientos

    Cómo detectar y prevenir a los iniciados maliciosos

    Dado que los intrusos maliciosos ya disponen de acceso interno, sus actividades suelen ser invisibles para la supervisión de la actividad de los usuarios por parte de los equipos de seguridad. Pueden pasar desapercibidos hasta semanas o meses después, cuando el coste de una filtración de datos se ha disparado.

    Pero una serie de indicadores diferentes pueden señalar a un infiltrado que se comporta de forma maliciosa. Unas cuantas buenas prácticas pueden ayudarle a detectar fugas de datos y usos indebidos en tiempo real.

    Rastree las anomalías en la exfiltración

    Los infiltrados malintencionados pueden querer compartir los datos de la empresa con un tercero o quedarse con la información para su propio beneficio personal. Por lo tanto, cualquier movimiento inusual de datos podría ser una señal de robo de datos, como un empleado intentando descargar grandes cantidades de datos o enviando datos a cuentas personales.

    Además, los intrusos malintencionados pueden intentar ver datos a los que no tienen permiso para acceder. Por ejemplo, un empleado intenta solicitar acceso a un documento privado de Google o cambiar los permisos para compartirlo.

    Puede parecer abrumador buscar anomalías en todos los datos de su empresa. Comenzar con el movimiento de datos de alto riesgo puede ser un buen punto de partida. Rastree el movimiento de datos de los empleados salientes, de aquellos con un historial de malas prácticas de seguridad o de los empleados señalados por RRHH por un motivo u otro. Hacerlo ayudará a sus analistas de seguridad a centrarse en los datos más vulnerables en el momento adecuado.

    Establecer una actividad de confianza

    Para detectar comportamientos inusuales en todo el movimiento de datos, es importante establecer con todos los empleados lo que es normal y aceptable mediante la formación y la concienciación. Una política de seguridad es una herramienta importante para educar a los empleados en las mejores prácticas de seguridad. Esta política describe cómo su organización y sus empleados deben utilizar y proteger los datos y sistemas de la empresa.

    Una política de seguridad sólida no se limita al movimiento de datos. Crea controles de acceso, supervisa la actividad de los usuarios, forma a los empleados, fomenta la concienciación y define cómo responder en caso de violación de los datos. Todos estos controles pueden ayudar a defenderse de las amenazas de los intrusos malintencionados. Al comenzar con una actividad de confianza, su equipo puede supervisar los riesgos conocidos a la vez que desarrolla una estrategia para los riesgos desconocidos, un trabajo que a menudo se facilita con las herramientas adecuadas.

    Busque hardware o software sospechoso

    Cuando un intruso malintencionado roba datos, puede utilizar hardware o software no autorizado para descargarlos y trasladarlos. Los intrusos maliciosos suelen enviar datos a programas informáticos como un correo electrónico personal o una cuenta de almacenamiento en la nube. También pueden utilizar hardware como una unidad USB no autorizada o un dispositivo personal. Más allá del robo digital, también pueden confiar en las copias impresas para llevarse los datos utilizando las impresoras de la empresa. Elabore un plan que pueda proteger sus datos dentro y fuera de línea.

    Crear un programa de amenazas internas

    Los equipos de seguridad por sí solos no pueden contener todo el riesgo de los intrusos malintencionados, por lo que un programa para toda la empresa puede contar con la ayuda de los empleados y el software adecuado. Un programa contra las amenazas internas incluye todos los pasos y procesos que su empresa necesitará para gestionar los riesgos de las amenazas internas. El programa debe incluir a las partes interesadas de su empresa que tendrán que formar parte de cualquier respuesta a una amenaza, como los equipos de recursos humanos, jurídicos y de seguridad.

    Este grupo de partes interesadas debe definir qué acciones desencadenarían una investigación y cómo señalar cualquier actividad sospechosa. Además, este grupo debe recibir el apoyo de los ejecutivos para formar a los empleados, crear conciencia e implementar nuevas tecnologías que ayuden a supervisar todo el movimiento de datos.

    Un programa eficaz contra las amenazas internas no sólo aborda las amenazas maliciosas, sino también todas las amenazas internas conocidas y desconocidas, y se centra tanto en la prevención como en la respuesta. Con las herramientas automatizadas adecuadas puede bloquear automáticamente la filtración de datos para adoptar un enfoque más proactivo.

    ¿Qué motiva a los infiltrados maliciosos?

    ¿Por qué podrían actuar maliciosamente los iniciados? Echemos un vistazo a los factores que motivan a los infiltrados maliciosos:

    Ganancia financiera:

    Los infiltrados maliciosos a veces buscan ganar dinero. Pueden intentar vender los datos a terceros. A menudo, los empleados que se marchan aceptan un trabajo en un competidor y utilizan su acceso a información privilegiada antes de marcharse para recopilar datos que luego pueden aprovechar en su nuevo puesto.

    Deseo de venganza o beneficio personal:

    Este tipo de infiltrado malicioso tiene una vendetta contra su empresa. Quizá no recibieron un ascenso; quizá la empresa puso fin a su función y están enfadados por haber perdido su trabajo. En cualquier caso, esta persona podría robar datos o sabotear sistemas internos como forma de "vengarse" de quienes considera que le han hecho daño. Además de dinero y venganza, los infiltrados malintencionados pueden buscar notoriedad filtrando información sensible a la prensa.

    Espionaje empresarial:

    Estos infiltrados han sido comprometidos por una fuente externa y están robando datos para ayudar a esa persona ajena. Aunque el objetivo sigue siendo el beneficio personal o financiero, la motivación es ligeramente diferente a la de los ejemplos anteriores. Esto puede parecer lo más descabellado, pero son innumerables los casos en los que un Estado nación ha utilizado a un empleado para acceder a la propiedad intelectual con un fin estratégico.

    Técnicas maliciosas internas habituales

    Los infiltrados maliciosos pueden llevar a cabo ataques de muchas formas y por muchos motivos, pero un tema común entre todas las técnicas es el beneficio monetario o personal. Cuatro técnicas comunes son:

    • Fraude: Uso indebido o delictivo de datos e información sensibles con fines de engaño.
    • Robo de propiedad intelectual: El robo de la propiedad intelectual de una organización, a menudo para venderla con fines lucrativos.
    • Sabotaje: El infiltrado utiliza su acceso de empleado para dañar o destruir los sistemas o datos de la organización.
    • Espionaje: El robo de información en nombre de otra organización, como un competidor.

    Cómo detener a un infiltrado malintencionado

    Para muchas empresas, es una sorpresa que las amenazas procedentes de un interno descuidado o malintencionado sean tan peligrosas y tan frecuentes como los ataques procedentes del exterior de la organización. La mayoría de los equipos de seguridad informática conocen bien los peligros de amenazas como el spear-fishing, el ransomware y los ataques de suplantación de identidad. Pero menos administradores son conscientes de que la mitad de las violaciones de datos, según un informe de Forrester de 2017, tienen su origen en un infiltrado malicioso, un empleado descuidado o un usuario comprometido.

    Detener las amenazas internas requiere un conjunto diferente de tecnologías que prevenir los ataques externos transmitidos por correo electrónico. Las amenazas enviadas a través de un correo electrónico interno, por ejemplo, no pasarán por una pasarela de correo electrónico seguro, que de otro modo podría detectar y bloquear el correo electrónico que contenga malware, URL maliciosas o archivos adjuntos sospechosos.

    Para detener a un infiltrado malicioso, las organizaciones necesitan soluciones para prevenir las filtraciones de datos a través del correo electrónico, identificar el contenido sospechoso de los mensajes y bloquear los correos internos que puedan propagar o desencadenar un ataque. Afortunadamente, Mimecast proporciona una protección del correo electrónico en la nube, todo en uno, que aborda todas estas preocupaciones y otras.

    ¿Cómo recuperarse de un ataque interno malicioso? 

    Recuperarse de un ataque interno malicioso puede ser difícil, especialmente si los datos han sido destruidos por completo. La mejor manera de recuperarse de un ataque interno es evitar que se produzca en primer lugar. Sin embargo, si su organización sufre un ataque, los siguientes pasos pueden ayudarle a mitigar los daños:

    1. Informar de la actividad ilegal a las fuerzas del orden

    2. Audite sus sistemas en busca de malware o virus

    3. Examine el incidente y revise los protocolos de seguridad y de acceso del personal.

    Bloqueo de un intruso malintencionado con Mimecast

    Mimecast proporciona una solución basada en SaaS para la gestión de la seguridad de la información que simplifica la seguridad del correo electrónico, el archivado, la continuidad, el cumplimiento, el e-Discovery y la copia de seguridad y recuperación. Disponible como servicio de suscripción, la solución de Mimecast no implica la compra de hardware o software ni una inversión de capital: los servicios se prestan desde la plataforma en la nube de Mimecast por un coste mensual predecible.

    Además, las soluciones de Mimecast son fáciles de usar. Los administradores pueden gestionarlos y configurarlos desde un único panel de cristal con una interfaz basada en web, mientras que los usuarios finales de toda la empresa se benefician de búsquedas rápidas en los archivos, servicios de mensajería seguros y seguridad del correo electrónico que no afecta al rendimiento.

    Para hacer frente al problema de un infiltrado malintencionado, el servicio Internal Email Protect de Mimecast supervisa automáticamente todo el correo electrónico que sale de la organización, así como el que se envía internamente. Mediante una sofisticada tecnología de escaneado del correo electrónico, Mimecast ayuda a detectar los correos electrónicos con contenido sospechoso, así como las URL maliciosas y los archivos adjuntos con armas. Para remediar las amenazas procedentes de un intruso malintencionado, Mimecast puede eliminar o bloquear los correos electrónicos sospechosos. Para los correos electrónicos que se determine que contienen material sensible pero no intenciones maliciosas, Mimecast puede exigir al usuario que envíe los correos electrónicos utilizando un portal de mensajería segura.

    Ventajas de los servicios de Mimecast para frustrar una infiltración maliciosa

    Con la tecnología Mimecast para detener a un infiltrado malicioso, las organizaciones pueden:

    • Bloquee con éxito las amenazas e impida que los datos confidenciales salgan de la organización y causen daños a la reputación o pongan en peligro a los clientes.
    • Encuentre y elimine automáticamente el correo electrónico interno que contenga amenazas.
    • Mitigue el riesgo de que una filtración exitosa se propague por toda la organización a través del correo electrónico.
    • Simplifique la gestión del correo electrónico con una única consola para elaborar informes, configurar y gestionar el correo electrónico en toda la organización.
    • Combine la tecnología para detener a un intruso malintencionado con la protección contra la pérdida de datos para evitar filtraciones y los servicios de protección de la información para enviar correos electrónicos y archivos adjuntos de gran tamaño de forma segura.

    Obtenga más información sobre cómo detener las amenazas de un intruso malintencionado con Mimecast.

    Recursos relacionados con la información privilegiada maliciosa

    Resources_19.jpg
    Email Collaboration Threat Protection

    Gartner® Cuadrante Mágico™ para la seguridad del correo electrónico

    Analyst Report
    Resources_01.jpg
    Email Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_34.jpg
    Email Collaboration Threat Protection

    The Cost and Risk of Email Attacks: Mimecast vs. Competition

    Infographic
    Back to Top