Las 5 principales filtraciones de datos causadas por amenazas internas

0
29


Las violaciones de datos internos son especialmente peligrosas porque son difíciles de identificar. Para empezar, para los empleados con acceso privilegiado, es especialmente tentador usar los datos confidenciales para su ventaja porque la propiedad intelectual puede costar millones o incluso miles de millones de dólares.

La dificultad con las amenazas internas es que, por lo general, no activan ninguna alerta de seguridad cibernética dentro de los sistemas de las víctimas. Es realmente un desafío distinguir entre las acciones normales de un empleado y las anormales.

Sin embargo, en casos con actividad sospechosa de acceso privilegiado y la descarga real de archivos con datos confidenciales, el registro de anomalías no es imposible.

Es por eso que las organizaciones están buscando formas de implementar un enfoque de detección basado en el comportamiento. Las reglas de Sigma en la plataforma de detección como código de SOC Prime están escritas por expertos experimentados en ciberseguridad.

Los ingenieros de SOC pueden usar reglas Sigma genéricas y traducirlas instantáneamente a un formato SIEM, EDR o NTDR que necesiten mediante el motor de traducción en línea Uncoder.IO.

Echemos un vistazo a las 5 violaciones de datos internos más devastadoras de los últimos años e intentemos rastrear la evidencia de por qué sucedieron.

tesla

En agosto de 2021, la empresa presentó una demanda contra su antiguo técnico de procesos, Martin Tripp, que solía trabajar en la Gigafábrica de Tesla en Nevada. Supuestamente desarrolló e inyectó un código que extraía periódicamente gigabytes de datos confidenciales.

Además, este código fue programado para realizar cambios en el código fuente del sistema operativo de fabricación de Tesla (MOS).

Para hacer eso, Tripp creó nombres de usuario falsos para continuar canalizando datos sobre los procesos de fabricación, los materiales utilizados y las operaciones financieras incluso después de que se fue. Tesla asume que el detonante de tal comportamiento ilegal fue la degradación de un ex empleado. Lo más probable es que el robo de datos fuera una forma de retribución.

Justo un año antes de que el fabricante de automóviles eléctricos anunciara los procedimientos judiciales, un tribunal de Nevada presentó cargos de conspiración contra un ciudadano ruso, Egor Kriuchkov. Esa vez, se trataba de un intento de filtración de datos de Tesla realizado por un agente externo. Kruichkov trató de reclutar al empleado de Tesla, ofreciéndole un soborno de $500,000 por sembrar malware en la red.

Elon Musk comentó oficialmente sobre este incidente en su Twitter con un comentario informal habitual: “muy apreciado”. Pero ese empleado al que se acercó Kruichkov rechazó la jugosa oferta, por eso los sistemas de seguridad de la empresa no habían sido dañados.

Sin embargo, incluso esta no fue la primera vez que Tesla se convirtió en víctima de una amenaza interna. En 2018, todo el personal de Tesla recibió un correo electrónico de Elon Musk en el que se decía que uno de los empleados realizó un sabotaje extenso y dañino de las operaciones de la fábrica.

La motivación implícita fue una vez más, una promoción que el empleado no recibió. No se revelaron más detalles.

Gorjeo

En julio de 2020, Twitter fue noticia debido a un ataque interno sigiloso. Como resultado, las cuentas de más alto perfil, como las de Barack Obama y Elon Musk, se vieron comprometidas y comenzaron a difundir una estafa de bitcoin. Las pérdidas estimadas ascendieron a 250 millones de dólares.

La investigación aún continúa, sin embargo, ya se han filtrado algunos detalles a los medios de comunicación. Resulta que el vector de ataque más probable se ejecutó a través del phishing telefónico. Las víctimas del ataque tenían acceso privilegiado a las herramientas de administración de cuentas y al canal Slack de los administradores.

El equipo responsable de las credenciales de la cuenta no fue lo suficientemente cuidadoso para tomar las medidas de seguridad adecuadas y garantizar la confidencialidad de las credenciales personales, por lo que los adversarios pudieron apoderarse de las cuentas que buscaban.

Después del ataque, Twitter restringió el acceso a los sistemas y herramientas internos para asegurarse de que solo se utilicen para fines comerciales legítimos. Además, afirmaron mejorar los flujos de trabajo de seguridad y los métodos de detección de amenazas que los ayudarían a identificar mejor las amenazas entrantes.

cisco

Este ataque estaba dirigido a WebEx, la plataforma de Cisco para videoconferencias, que las empresas utilizan ampliamente para realizar reuniones en línea, compartir demostraciones, encuestas y organizar grandes eventos virtuales para más de 1000 participantes.

En 2018, un exempleado de un departamento de ingeniería obtuvo acceso no autorizado al código fuente donde implementó un código malicioso desde su Google Cloud Platform personal.

El propósito era eliminar cientos de máquinas virtuales que provocaron daños comerciales a aproximadamente 16,000 usuarios de WebEx. Los daños estimados ascendieron a 1,4 millones de dólares después de que 456 máquinas virtuales desaparecieran repentinamente.

En particular, este ataque interno ocurrió cuatro meses después de que un ingeniero renunciara a su cargo. El atacante fue sentenciado a dos años de prisión y una multa de $15,000. Sin embargo, aún no está claro cómo inyectó exactamente malware en la red interna de Cisco cuando ya no tenía acceso legítimo al sistema.

Google y Uber

Estas dos empresas tienen una conexión muy especial que apareció después de una violación de datos internos. Desde 2009, Google ha estado desarrollando activamente un proyecto prometedor: un automóvil autónomo llamado Waymo. Más tarde, el proyecto se convirtió en una empresa separada, siendo una subsidiaria de Alphabet Inc, la empresa matriz de Google.

En 2015, un ingeniero principal de este proyecto renunció para iniciar su propia empresa Otto, también una empresa de tecnología de conducción autónoma. Más tarde se dio cuenta de que pudo hacerlo gracias a la exfiltración de los secretos comerciales de Google antes de irse.

El informante tomó posesión de los datos sobre la tecnología de radar, diagramas y dibujos de simulación, ejemplos de código fuente, videos de pruebas de manejo y documentos PDF confidenciales. En general, logró descargar 14.000 archivos del servidor de Google directamente a su computadora portátil personal.

Unos meses después del incidente, Otto fue adquirido por Uber. Los expertos de Google se dieron cuenta de que la violación de datos ocurrió solo después de que se resolvió la adquisición. Eventualmente, esta historia tuvo un final feliz: Uber otorgó a Waymo $245 millones en acciones propias y el ladrón de datos se declaró culpable.

Energia General

Al igual que en el caso anterior, el objetivo del infame ataque a General Electric (GE) fue descargar maliciosamente miles de archivos estrictamente confidenciales con secretos comerciales. El esquema para esta violación de datos internos fue simple: los empleados descargan los archivos en sus máquinas, luego los suben a la nube y luego los envían a correos electrónicos privados.

Este ataque tampoco incluía ninguna sofisticación técnica. Los empleados supuestamente convencieron a un administrador de sistemas para que les otorgara acceso autorizado a los sistemas con datos sensibles en los que, por protocolo, no debían operar.

Después del robo de datos inicial, uno de los empleados lanzó una empresa para la calibración experta de turbinas en centrales eléctricas. Además, esta empresa ganó a GE en algunas licitaciones, quizás por presentar ofertas mucho más bajas.

Poco después, los ejecutivos de GE descubrieron que conocían a la persona detrás de esta nueva empresa y denunciaron esta situación al FBI. Después de una cuidadosa investigación, el FBI condenó a los sospechosos y les asignó una multa de $1.4 millones.

Conclusión

El Informe de investigaciones de violación de datos de Verizon establece que el 40% de las violaciones de datos investigadas por sus investigadores fueron aprovechadas por personas internas y se realizaron sobre la base del uso indebido de privilegios. Además, el Informe de amenazas internas de 2020 encontró que el 68 % de las organizaciones encuestadas calificaron el riesgo de amenazas internas como moderado o extremadamente alto.

Sorprendentemente, incluso las grandes corporaciones internacionales con múltiples niveles de políticas de seguridad fueron víctimas de los ataques internos que ni siquiera involucraron mucha experiencia técnica. En la mayoría de los casos, robar datos fue tan fácil como conectar la unidad flash USB a la computadora y descargar archivos.