Red Seguridad 090

¿dónde más debemos hacer un mejor trabajo para disuadir las ame- nazas internas? Ofertas, propuestas y contratos: Si bien estos pueden parecer menos atractivos de robar, los detalles de la oferta y la propuesta, así como los contratos, pueden ser utilizados de manera muy efectiva por una organi- zación competidora para obtener una ventaja en una competencia legítima. Archivos de recursos humanos: Los departamentos de recursos huma- nos tienen una gran cantidad de información que, si se expone, podría resultar embarazosa para una orga- nización. Estos, a menudo, incluyen los resultados de las investigaciones internas, así como los archivos per- sonales de todos los empleados de la empresa. Correo electrónico y otras comuni- caciones: Las comunicaciones entre las personas dentro de la organiza- ción se pueden utilizar con un gran efecto (negativo) y deben protegerse tanto como sea posible. ¿Quién es el responsable? Una vez que ha sucedido algo, queda una de las cuestiones más importantes: entender e identificar al responsable. Todo esto se remonta a obtener visibilidad y comprensión del comportamiento de los usuarios en su organización. Una de las áreas de enfoque más importantes es com- prender cómo los usuarios pueden eliminar datos de la red corporativa. La reducción del riesgo de ame- nazas internas requiere una combi- nación de capacidades, incluido el paso importante de la supervisión de terminales. Muchas grandes empre- sas están realizando más supervisión en tiempo real para detectar y pre- venir rápidamente las diversas tác- ticas de exfiltración de datos: copia de archivos a dispositivos externos, subida de datos a la nube, copia de información de documentos en una ventana de chat, etc. Mejorar la clasificación de eventos –el proceso de evaluar rápidamente una alerta o evento para determinar el nivel de riesgo que representa– también se ha vuelto progresivamen- te más importante, por lo que cada vez es más común que las empresas coloquen más agentes en disposi- tivos y aplicaciones. A medida que los agentes generen más eventos de detección, la capacidad de ubi- carlos rápidamente en el contexto del comportamiento de un usuario ayuda al equipo de seguridad para que no quede enterrado bajo alertas de riesgo indeterminado. Finalmente, las investigaciones posteriores al incidente son funda- mentales para comprender cómo operaron los delincuentes y para protegerse contra problemas futu- ros. Reunir una imagen completa del comportamiento del usuario requie- re plataformas de investigación que se adapten a todo tipo de datos: alertas de herramientas de seguri- dad empresarial, datos de eventos de terminales, comunicaciones de usuarios como correo electrónico y chat, imágenes forenses, etc. Los conjuntos de herramientas más eficaces en este campo com- binan todos estos factores en un caso, eliminan rápidamente el ruido inevitable, colocan todo en una línea de tiempo coherente y sirven los eventos y artefactos relevantes para su revisión. Prevención y automatización Casi todas las organizaciones con las que trabajamos en Nuix bus- can automatizar más aspectos de seguridad en los endpoints . Esto significa darle al agente del endpoint la inteligencia suficiente para decidir automáticamente si vale la pena aler- tar sobre una combinación de com- portamientos del usuario, capturar un evento potencialmente relevante para realizar análisis más amplios o tomar medidas más agresivas, como bloquear un proceso o poner en cua- rentena un sistema. La detección rápida, combinada con la capacidad de bloquear ciertos comportamientos de los usuarios en tiempo de ejecución, tiene el poten- cial de mejorar significativamente la capacidad de la empresa para pre- venir brechas internas potencialmen- te catastróficas. En el flujo de trabajo más amplio de detección, recopilación e investi- gación, muchas empresas también buscan la capacidad de iniciar auto- máticamente la recopilación, el pro- cesamiento y la creación de casos forenses en respuesta a las alertas. 68 red seguridad tercer trimestre 2020 opinión forense monográfico