Ransomware

Break the Attack Chain: decisiones estratégicas

Share with your network!

En nuestra serie de artículos de blog “Break the Attack Chain”, hemos examinado la forma en que los ciberdelincuentes comprometen nuestras defensas y se desplazan lateralmente por nuestras redes para escalar privilegios y conseguir su objetivo. Hemos llegado a la etapa final de la cadena de ataque, en la que es necesario ampliar un poco nuestra perspectiva.

Mientras que la mayoría de los agentes de amenazas (o actores de amenazas) seguirán el mismo guion, no son los únicos adversarios a los que nos enfrentamos. En la actualidad, los datos salen de la empresa sencillamente porque los empleados suelen llevárselos al abandonar la empresa. Más del 40 % de los empleados admiten haberse llevado datos de esta manera. Al mismo tiempo, los empleados negligentes que cometen errores de seguridad son responsables de más de la mitad de los incidentes de pérdida de datos de origen interno.

Por lo tanto, si bien es importante detectar y neutralizar a los ciberdelincuentes que quieren filtrar nuestros datos, también debemos vigilar a nuestros usuarios. Ya sean maliciosos o negligentes, nuestros usuarios también son capaces de exponer los datos sensibles.

En este tercer y último artículo, explicamos cómo suelen perder los datos las empresas, y cómo podemos reforzar su protección contra todo tipo de riesgos.

Comprender la pérdida de datos

Como en cada fase de la cadena de ataque, para desplegar las protecciones adecuadas, debemos comprender primero las amenazas. Empecemos por el caso de un ciberdelincuente que sigue la cadena de ataque típica. Aunque puede que no parezca una amenaza interna tradicional, el trabajo del ciberdelincuente se ve favorecido por empleados negligentes o descuidados.

Los usuarios exponen datos y ponen en riesgo su empresa de muchas formas. Por ejemplo, mediante el uso de contraseñas fáciles, la reutilización de credenciales, no respetar las mejores prácticas de seguridad y abrir enlaces o adjuntos maliciosos. Todas esas acciones peligrosas permiten a los ciberdelincuentes infiltrarse en sus redes, por donde pueden desplazarse lateralmente y escalar privilegios.

Estos incidentes son tan habituales que los usuarios negligentes o comprometidos están en el origen de más del 80 % de las pérdidas de datos de origen interno. El resto es responsabilidad de los usuarios internos maliciosos. Una amenaza interna podría ser un empleado descontento que quiere molestar, un usuario comprometido por ciberdelincuentes o, cada vez más, un empleado que está a punto de abandonar la empresa.

En la mayoría de los casos, una filtración de datos sigue un patrón en tres etapas:

  • Acceso. Los usuarios, ya sean maliciosos o comprometidos, intentarán apoderarse de la mayor cantidad de información posible, por ejemplo, descargando una gran cantidad de archivos de unidades de la empresa o exportando datos de interfaces web o de aplicaciones cliente.
  • Ocultación. Los ciberdelincuentes y los usuarios internos maliciosos saben qué tipos de actividades son susceptibles de hacer saltar las alarmas y tomarán las medidas necesarias para evitarlos. La modificación de nombres y extensiones de archivos, la eliminación de registros y del historial de navegación, así como el cifrado de archivos (o encriptado) son estrategias habituales.
  • Filtración. Una vez identificados sus objetivos y cubiertas sus huellas, los ciberdelincuentes procederán a la filtración de datos copiando archivos a una nube personal o un dispositivo de almacenamiento extraíble y compartiendo archivos con cuentas de correo personales o temporales.

Defenderse desde dentro

Como hemos explicado en nuestra serie de webinars, si la etapa inicial de la cadena de ataque consiste en mantener a los ciberdelincuentes fuera de nuestra organización, las dos últimas etapas se centran más en lo que ocurre dentro.

Por lo tanto, una solución eficaz debe proteger la empresa desde dentro. Debe detectar y neutralizar las actividades sospechosas antes de que los datos puedan eludir las protecciones internas y quedar expuestos al mundo exterior. Los datos tienen muchos poderes, pero no pueden abandonar la organización por sí solos.

Ya sea un usuario comprometido, negligente o malicioso, detrás de cada pérdida de datos hay siempre un humano. Por esta razón las herramientas tradicionales de prevención de la pérdida de datos (DLP) no son tan eficaces como antes. Si se centran en el contenido de un incidente, solo resolverán un tercio del problema.

Una defensa completa contra la pérdida de datos debe combinar la clasificación de contenido con el análisis del comportamiento de los usuarios. Proofpoint Information Protection es la única solución que combina estas tres funciones en todos los canales en una interfaz unificada y nativa de la nube.

Gracias a esta información, los equipos de seguridad pueden identificar quién accede a los datos y los mueve, cuándo, dónde y por qué. Y mediante la incorporación de inteligencia de amenazas, Proofpoint Information Protection puede asociar las amenazas del correo electrónico con las que circulan por la nube y otros entornos.

Este nivel de visibilidad es esencial para defenderse contra las ciberamenazas. Cuanto más sepa sobre sus datos y las personas que tienen acceso a ellos, en mejor posición estará para romper la cadena de ataque.

Pero Proofpoint Information Protection no solo ayuda a detectar las actividades sospechosas. Detecta y bloquea activamente los intentos de explotación de los datos. Por eso más del 45 % de las empresas Fortune 100 confían en ella para:

  • Proteger los datos confidenciales y la propiedad intelectual.
  • Impedir la salida de datos con empleados que abandonan la empresa.
  • Defenderse frente a usuarios maliciosos, negligentes y comprometidos.

Más información

Vea nuestro webinar para descubrir cómo hacer frente a los riesgos para su información desde dentro.

Obtenga más información sobre Proofpoint Information Protection, la única solución que combina clasificación de contenido, telemetría de amenazas y comportamiento de los usuarios de todos los canales en una interfaz unificada, nativa para la nube.