En las entradas anteriores, hemos examinado la amenaza interna desde varios ángulos y hemos visto que la prevención de amenazas internas implica a los departamentos de seguridad de la información, jurídico y de recursos humanos (RRHH) de una organización. En este post, queremos examinar lo que los departamentos de seguridad de la información pueden hacer realmente para detectar las amenazas internas en curso, e incluso prevenirlas antes de que se produzcan.
La aguja literal en el pajar
En general, las amenazas internas representan sólo una pequeña proporción del comportamiento de los empleados. Y aunque sólo los incidentes de "cisne negro" llegan a ser de dominio público, los incidentes menores, como el robo de IP o de listas de contactos de clientes, supondrán costes importantes para las organizaciones.
Además, los "insiders" están autorizados por defecto a estar dentro de la red y se les concede acceso a los recursos clave de una organización y hacen uso de ellos. Dado el gran cúmulo de patrones de acceso visibles en la red de una organización, ¿cómo saber cuáles son comportamientos negligentes, dañinos o maliciosos?
Los departamentos de TI suelen responder a la amenaza interna, si es que responden, mediante una supervisión y un registro exhaustivos. El objetivo es, al menos, poder realizar un análisis forense cuando se está produciendo una amenaza y causando daños, y apoyar al departamento jurídico en cualquier investigación.
Obviamente, este enfoque no ayudará a prevenir la amenaza de ninguna manera. Recientes actualizaciones de soluciones de supervisión como Sure View y programas de investigación del gobierno estadounidense han empezado a adoptar un enfoque más proactivo para detectar una amenaza mientras se está produciendo, e incluso antes de que ocurra. Hemos visto que la psicología del infiltrado es muy compleja y que éste suele tomar precauciones para eludir la detección, así que ¿cómo podría una solución de software identificar de forma fiable qué es una amenaza y qué no lo es?
Ciencia de datos... ¿la nueva solución al problema de las amenazas internas?
El problema de detectar la amenaza interna antes de que se produzca realmente es tan difícil y complejo de resolver como la propia predicción del comportamiento humano. ¿Cuál será la próxima acción de una persona? ¿Qué acción estará dentro del ámbito de trabajo asignado a esa persona? ¿Qué acción indicará la preparación de un ataque por parte de esa persona?
Los últimos avances tecnológicos han mostrado mejoras significativas en la predicción de lo que antes se consideraba impredecible: el comportamiento humano. A pesar de algunos contratiempos iniciales, sistemas como Google Now, Siri o Cortana pretenden predecir las necesidades de los usuarios antes incluso de que estos las conozcan.
Esto es posible gracias a las enormes cantidades de datos sobre el comportamiento que se han recopilado e indexado, y a que los recursos informáticos disponibles para el análisis han alcanzado una masa crítica para el despliegue de métodos de inteligencia artificial a gran escala, como el reconocimiento de voz, el análisis de imágenes y el aprendizaje automático. El término para este nuevo análisis predictivo de grandes cantidades de datos de comportamiento es ciencia de datos.
Hoy en día se aplica a diversos problemas y ámbitos, y podría aplicarse de forma similar al problema de las amenazas internas. Como se ha descrito anteriormente, el comportamiento de una persona con acceso a información privilegiada está autorizado por definición dentro de la red de una organización y normalmente no se dispone de suficiente información para deducir la intención o la psicología de una persona con acceso a información privilegiada en tiempo real. Sin embargo, a medida que aumenta la cantidad de datos recopilados sobre el comportamiento, hay cada vez más indicios que podrían revelarse.
Un primer enfoque de la ciencia de datos consiste en aprender los indicadores comúnmente conocidos del comportamiento de una amenaza interna. Puede tratarse de comportamientos autorizados, pero suelen asociarse a un usuario interno que se ha desviado del camino. Un ejemplo son los comportamientos de exfiltración, como subir datos a una cuenta de Dropbox, el uso extensivo de memorias USB o un alto volumen de descargas de servidores internos. Estos indicadores son lo suficientemente específicos como para detectar un ataque en curso, pero sólo un conjunto limitado de tipos de ataque pueden ser detectados de esta manera (aquellos para los que se conocen los indicadores).
Para detectar ataques futuros -y desconocidos-, un segundo enfoque consiste en centrarse en las anomalías del comportamiento observado. Una anomalía es algo que se desvía de lo que es estándar, normal o esperado.
En el ámbito del comportamiento, una solución de ciencia de datos analizará los datos de comportamiento y aprenderá lo que es normal. El comportamiento "normal" puede referirse a la normalidad con respecto a todas las variaciones de comportamiento observadas, al comportamiento de un individuo a lo largo del tiempo o incluso a los comportamientos sociales. Una vez establecida una línea de base de normalidad, pueden identificarse los valores atípicos.
Sabiendo que las amenazas internas van unidas a cambios en el comportamiento del individuo en cuestión, la detección de anomalías las revelará, incluso en las primeras fases de una amenaza. Sin embargo, esta detección mejorada tiene un precio: un mayor número de falsos positivos. Los cambios benignos de comportamiento (por ejemplo, debidos a cambios en la función o el equipo de trabajo, o a la vuelta al trabajo después de las vacaciones, etc.) activarán detecciones y la cantidad de estas detecciones puede llegar a ser abrumadora.
Un tercer enfoque (y el más avanzado) de la ciencia de datos consiste en generar narrativas a partir de los resultados de los enfoques primero y segundo, es decir, combinar indicadores y anomalías para generar una interpretación comprensible del comportamiento que se está produciendo dentro de una organización. Obviamente, esto último es un hueso duro de roer porque, en última instancia, implicará crear una verdadera inteligencia artificial. Pero nos estamos acercando...
Este artículo se publicó originalmente como parte de IDG Contributor Network.