Cómo pueden las empresas evitar accidentes de fuga de datosLos accidentes de fuga de datos suelen ser difíciles de prevenir. Los ataques accidentales o maliciosos pueden convertirse en un canal para que se filtre información empresarial, lo que genera pérdidas comerciales. En este artículo, compartiré con ustedes algunos consejos que espero ayuden a mis amigos a proteger sus datos corporativos contra la filtración. ¿Son más preocupantes los atacantes que acechan en rincones secretos de Internet, o son más molestos los empleados internos que conocen información financiera y otra información sensible? Ambos escenarios resultan ser situaciones difíciles de evitar para los departamentos de TI. Según la Encuesta de seguridad estratégica de expertos en tecnología empresarial de 2012 publicada por el sitio web InformationWeek, el impacto de los incidentes de seguridad causados ​​por empleados corporativos es básicamente el mismo que el impacto de los ciberataques extranjeros. Sin embargo, según el Informe de investigaciones de vulneración de datos de 2012 publicado por Verizon, las amenazas internas a la seguridad representaron solo una pequeña porción del número total de ataques: solo el 4%. Siendo así, ¿por qué los expertos le prestan tanta atención o incluso hacen tanto escándalo? La razón es sencilla. Los empleados internos conocen las formas y métodos para obtener información importante de la empresa y su familiaridad con el sistema les proporciona docenas de métodos de robo inevitables. Además, el impacto de sus ataques suele ser mayor. El año pasado, un empleado del Bank of America envió la información de las cuentas de cientos de clientes a un individuo malintencionado. Este último utilizó estos datos para comenzar a robar fondos de cuentas relacionadas, alcanzando la cantidad total directamente involucrada decenas de millones de dólares, sin contar la enorme cantidad de dinero que Bank of America invirtió posteriormente para apaciguar a los clientes. Las amenazas internas a las empresas son cada vez más graves, pero los departamentos de TI a menudo siguen centrados en proteger los perímetros de la red de ataques externos. Los tiempos han cambiado. Actualmente, el foco de nuevas actividades delictivas que merece atención se encuentra dentro de las empresas: las actividades maliciosas en las redes internas deben contenerse lo antes posible. Obviamente, en esta era, las empresas deberían reconsiderar inmediatamente sus estrategias de seguridad existentes y prestar el mismo nivel de atención a las "amenazas internas" que a las "amenazas externas". Las amenazas internas a la seguridad pueden ocurrir por muchas razones y pueden ser intencionales o no. Pero no importa cuál sea el motivo, normalmente podemos desarrollar un mecanismo de control completo para minimizar el daño que conlleva. Para abordar las amenazas dentro de una empresa, se debe partir de tres aspectos: la red, el dispositivo host y las personas asociadas con la generación, el procesamiento y la migración de datos. A nivel de red, el sistema de control debe poder detectar y analizar el contenido del tráfico de la red y, si es posible, evitar que datos confidenciales ingresen al canal de transmisión de manera oportuna. En términos de protección del dispositivo host, el proyecto es relativamente más tradicional: antimalware, mecanismos de cifrado, gestión de cambios y otros métodos de control de seguridad son soluciones indispensables y efectivas. Pero en última instancia, son las cuestiones relacionadas con las personas las que resultan más problemáticas: implementar políticas de gestión y capacitar a los empleados para manejar adecuadamente los datos confidenciales. En el próximo artículo, les hablaré en detalle sobre el proceso de implementación específico de estos tres niveles. Red: protección contra muerte Para los empleados de las empresas, los dos métodos más comunes de transmisión de datos son el correo electrónico y la transmisión por red. Ya sea por negligencia intencional o accidental, las violaciones de datos también dependen de ambos métodos y la causa exacta a menudo no está clara al comienzo del incidente. Los empleados que utilizan cuentas de correo electrónico corporativas a menudo envían sin darse cuenta datos confidenciales a la dirección de recepción incorrecta. Al mismo tiempo, es probable que los actores maliciosos que intentan robar información confidencial logren sus motivos ocultos a través de cuentas personales de correo electrónico en línea o cargando información en sitios para compartir archivos en línea. Por lo tanto, el correo electrónico y las puertas de enlace de seguridad son la primera línea de defensa contra infracciones accidentales y maliciosas. Estas puertas de enlace se utilizan normalmente para inspeccionar el tráfico entrante, el spam y el malware, pero también se pueden implementar adecuadamente para monitorear el tráfico saliente. Las puertas de enlace de seguridad internas se refieren principalmente al tráfico de correo electrónico y de red generado por los empleados, así como a circuitos y operaciones utilizados como dispositivos de retransmisión o servidores proxy. Los proveedores de productos de puerta de enlace, como Barracuda Networks, Cisco IronPort, McAfee y WebSense, han introducido sus propias funciones exclusivas de protección contra pérdida de datos. Debido a que el tráfico debe pasar a través de la puerta de enlace, el módulo DLP (protección contra fugas de datos) protegerá aquí para comprender si hay una fuga de datos confidenciales dentro de la empresa. El módulo de protección también se centra en tipos de datos específicos, como números de tarjetas de crédito y de seguridad social, y los usuarios pueden crear etiquetas de clasificación para definir qué archivos no deben difundirse al mundo exterior. Una vez que el módulo detecta el comportamiento de salida de este tipo de datos, alertará inmediatamente al administrador. El tráfico se congelará de inmediato y los usuarios relevantes también recibirán avisos tempranos. Además, dichas posibles violaciones serán comunicadas sistemáticamente a Seguridad, Recursos Humanos y al supervisor inmediato del usuario. Sin duda, esta severa medida disciplinaria incitará a todos a permanecer serios y cautelosos en su trabajo futuro. Además del análisis del tráfico de red y correo electrónico, los productos DLP basados ​​en red pueden monitorear protocolos y servicios, incluyendo mensajería instantánea, sitios de redes sociales, intercambio de archivos entre pares y protocolos de transferencia de archivos. Sin embargo, los productos de seguridad de sitios web como DLP pueden hacer la vista gorda cuando se trata de información cifrada. Si los usuarios están completamente preparados con antelación y utilizan métodos de transmisión de red cifrados como SSH/SCP o Tor para enviar datos, entonces estos contenidos podrán eludir con éxito los mecanismos DLP basados ​​en la red. Para resolver este problema, los productos DLP a menudo incluyen soluciones DLP basadas en host y almacenamiento, que analizaremos más adelante. Los sistemas de detección de anomalías son otra alternativa a nivel de red, y Lancope y Riverbed Technology son líderes de la industria en esta área.

Este tipo de producto primero creará un conjunto de indicadores de referencia de la actividad normal de la red, luego comparará la actividad actual de la red con los indicadores y dará una alarma cuando haya una desviación. Por ejemplo, cada computadora en un entorno de red generalmente interactúa con otras 12 computadoras y servidores, y la transmisión de datos generada cada día oscila entre 100 MB y 200 MB. Si un día una computadora involucra repentinamente más de 20 objetos interactivos (incluidas computadoras, servidores y otros sistemas), o el volumen de transferencia de un servidor de archivos o base de datos supera la marca de 500 MB, dichas actividades anormales atraerán inmediatamente la atención del sistema y Alertar a los administradores del sistema en tiempo real. El CERT Insider Threat Center de la Universidad Carnegie Mellon ha definido rigurosamente varios tipos y características principales de ataques internos, el más obvio de los cuales es que los atacantes internos suelen realizar actividades maliciosas dentro de un mes antes de decidir abandonar la empresa. Descargan datos confidenciales de los servidores corporativos a sus estaciones de trabajo y luego guardan una copia enviando un correo electrónico, grabando un CD o copiándolos en una unidad flash USB. Pero en vista de lo anterior, este tipo de descarga de datos anormales puede ser capturado y rastreado a tiempo por el sistema de detección de anomalías de la red, y las actividades de los usuarios relevantes serán marcadas y monitoreadas de inmediato. Sin embargo, un sistema de detección de anomalías en la actividad de la red no puede saberlo todo. En primer lugar, no nos envía indicaciones claras de que, por ejemplo, el empleado Bob parece estar intentando robar algunos registros confidenciales. En cambio, los departamentos de TI recibirán informes de actividad inusual en aplicaciones y redes, y los equipos de seguridad serán responsables de investigaciones en profundidad. En otras palabras, el análisis de registros, la auditoría de la actividad de la red y la recopilación de evidencia de las partes deben ser realizados por personas que ignoran completamente la tecnología. Este enfoque fragmentado a menudo conduce a estancamientos en las investigaciones y a menudo las enormes amenazas a la seguridad quedan sin respuesta. Los equipos de TI y seguridad deben preparar una gran cantidad de fondos, invertir tiempo y energía para realizar ajustes razonables en el sistema de detección de actividades anormales y, en última instancia, obtener valiosos consejos de seguridad a través del análisis y la investigación de informes. Los departamentos de TI también pueden utilizar herramientas especializadas para monitorear las bases de datos en busca de anomalías. La función principal de estas herramientas es captar las tendencias de los empleados dentro de la empresa, porque se puede decir que la base de datos es la base de valiosa información empresarial. Los principales proveedores de productos de monitoreo de actividad de bases de datos (DAM) incluyen Imperva e IBM, que ayudan a los administradores a comprender fácilmente las interacciones entre los usuarios y los servidores de bases de datos. Los productos DAM se ejecutan en la red o en la capa de host y pueden capturar muchas actividades anormales. Por ejemplo, un usuario que normalmente solo accede a entre 30 y 40 registros de información de repente accede a miles de registros en un día. Un anfitrión que no se puede ignorar. Los sistemas host, como computadoras portátiles y tabletas, también deben estar estrictamente protegidos para evitar infracciones intencionales o no. Una de las formas más efectivas de lograrlo es mediante la tecnología de cifrado. En la encuesta sobre políticas de seguridad de nuestra organización, el 64 % de los encuestados creía que la tecnología de cifrado es eficaz para proteger a la empresa de las amenazas a la seguridad. Las computadoras portátiles, los medios de almacenamiento portátiles y los terminales móviles cifrados pueden mantener seguros los datos de estos dispositivos, incluso después de ser robados. Las estrategias cuidadosas de implementación y gestión de la configuración garantizarán que la tecnología de cifrado se implemente en todos los aspectos. Las poderosas estrategias de distribución de contraseñas y las capacidades de protección no solo pueden ayudarnos a no preocuparnos por la fuga de datos después de la pérdida del dispositivo, sino también a borrar de forma remota la información en el dispositivo. El cifrado tiene muchas aplicaciones, por ejemplo, al copiar archivos a medios de almacenamiento extraíbles, teléfonos inteligentes y correos electrónicos, esta tecnología hará que todo el proceso sea más seguro. Estos productos, como MobileGuardian de Credant y Total Protection for Data de McAfee, pueden cifrar activamente los datos cuando se escriben en dispositivos móviles y medios de almacenamiento portátiles. Para fomentar la difusión del cifrado, algunos países tienen leyes sobre violación de datos que permiten a las empresas perder o robar datos sin notificar a los clientes relevantes si la información fue cifrada. Las empresas con requisitos de seguridad especialmente estrictos suelen ordenar a sus empleados que no utilicen diversos medios de almacenamiento portátiles, representados por unidades flash USB. Muchas suites de protección de endpoints, como Endpoint Protection de Symantec y DLP de McAfee, prohíben total o parcialmente el uso directo de unidades flash USB. Los controles de acceso y auditoría adecuados en fuentes de datos confidenciales (como servidores de archivos) también pueden prevenir eficazmente comportamientos maliciosos por parte de los empleados internos. Una opción es desarrollar la auditoría a nivel de archivos y carpetas base. De esta manera, los administradores pueden rastrear los comportamientos de acceso de los usuarios y realizar operaciones como escalamiento de permisos y permisos de instalación de software en tiempo real. Si bien esto no parece difícil, el desafío es que la mayoría de las empresas no saben dónde se almacenan sus datos confidenciales. Si no puede dominar esta información básica, el mecanismo de auditoría de archivos y carpetas es básicamente inútil. El primer paso que debemos hacer es determinar dónde se almacenan los datos confidenciales. Se han agregado ampliamente funciones de enumeración de datos a los productos DLP, que pueden ayudar de manera efectiva a los departamentos de TI a comprender dónde se almacenan los números de seguridad social, los registros médicos y los datos de las tarjetas de crédito. Una vez determinada la ubicación, debemos consolidar los datos y asociar los permisos de usuario adecuados; el siguiente paso es implementar el proceso de auditoría de archivos y carpetas a través de herramientas de registro centralizado o gestión de eventos e información de seguridad (SIEM). Un sistema de alerta configurado correctamente debería alertarle de inmediato cuando el comportamiento de acceso sea anormal o cuando usuarios externos obtengan información confidencial. Otro paso importante es monitorear las estaciones de trabajo y los servidores para detectar cambios de configuración y generar alertas cuando sea necesario. Los cambios repentinos a gran escala pueden indicar que algunas personas malintencionadas están o se están preparando para invadir nuestros datos confidenciales.