Pruebe ahora

Auditoría e investigación de la actividad del usuario

La respuesta óptima a la detección de amenazas del usuario

Encontrar una amenaza es como intentar encontrar una aguja en un pajar. Hay tantos factores contextuales para examinar que encontrar la amenaza más nueva y eliminarla es un trabajo complicado. Es por eso que la integración de algún software informático automatizado que monitorea a los internos de su empresa, así como las amenazas de los usuarios, ofrece un beneficio tan importante. Por muy abierta que sea Internet, hay muchas cosas que pueden suceder y suceden regularmente de forma regular y sin inteligencia artificial. Tener una respuesta a incidentes preparada para el próximo y más reciente ataque sofisticado es casi imposible si confía en correlaciones pasadas e investigaciones forenses. El software especial de respuesta a incidentes está diseñado para alertarle en caso de que se registre un incidente sospechoso y responder a él de manera priorizada en comparación con su posible impacto. Este software de respuesta a incidentes puede señalar la hora y la ubicación del dispositivo que provocó la alerta y procesar tantos datos como sea necesario para usted, independientemente de dónde se encuentre su servidor.

Responder a las amenazas a la seguridad en un contexto interno

Debemos tener en cuenta que los de adentro son tan peligrosos, si no más, que los de afuera. Hay razones más que suficientes para que una empresa busque la mayor cantidad de seguro posible en respuesta a eso. Por este motivo, dicho software de gestión de riesgos tiene incorporadas consultas ad hoc para infinidad de escenarios, teniendo en cuenta numerosos factores así como consultas ad hoc en caso de que se detecten señales que de una u otra forma se asemejan a las estafas más recientes. Además de aumentar la concienciación y el cumplimiento de los empleados haciendo que firmen la política y el procedimiento de prevención del fraude, esto debe complementarse con un estricto control de acceso.

Contención de acceso por parte del usuario

Uno de esos programas que regula el acceso es el directorio activo de Windows. El directorio activo es una tecnología que se utiliza para administrar el acceso de ciertos usuarios y dispositivos particulares dentro de una red. Todos los datos a los que se accede dentro de esa red provienen de ese directorio cifrado. Si bien algunos sistemas de acceso se configuran en función de los privilegios, que crean una capa de protección entre el usuario y los objetos sensibles, los derechos de usuario se designan mediante una estrategia diferente: a los empleados individuales. Un ejemplo de cuentas privilegiadas son las cuentas de administrador. Estos administradores deben pasar por el sistema PAM para obtener sus credenciales y luego se autentican sus privilegios y se registra su acceso. El propio directorio activo lleva a cabo análisis de amenazas de máquinas y analiza qué usuarios pueden encontrarse en conflictos de intereses, por ejemplo, si un usuario pasa al director del departamento de producción y al departamento de calidad al mismo tiempo, un par de los llamados colapsos funciones.

Resolución de ineficiencias y detección de todo el contexto de rendimiento . Las personas solo pueden acceder a los datos para proporcionar información que sea necesaria para que puedan hacer su trabajo de manera adecuada. Los sofisticados sistemas de alerta de amenazas de datos ofrecen a las empresas la capacidad de rechazar automáticamente cualquier dato sensible cuando un empleado envía activamente datos de código fuente confidenciales o datos personales de clientes, proveedores u otros empleados. El software de monitoreo de la actividad de los empleados envía alertas en caso de que los empleados no estén trabajando de manera eficiente. Si un empleado está inactivo durante 15 minutos, habrá una alerta de bandera negativa para ese empleado. Esto es bueno para los empleadores porque podrá utilizar ese contexto para filtrar a los empleados improductivos. Mientras tanto, también es bueno para los empleados porque tendrán menos horas de trabajo, ya que hay señales que apuntan hacia una tendencia global de empleados que prestan menos horas de trabajo y son más eficientes.

Monitoreo de llamadas para la contención de amenazas . Lo que esto también implica es la posibilidad de analizar las transcripciones telefónicas (en los dispositivos de la empresa y las cuentas de servicio) y los historiales de chat de mensajería instantánea y escanearlos en busca de palabras que comprendan un incidente de amenaza potencial. En el caso de que este incidente de amenaza se materializara, el dueño de la empresa podría usarlo en defensa propia o para procesar al empleado en caso de un delito. Los empleadores tienen derecho a controlar las cuentas de servicio abiertas con fines laborales. Esto solo es diferente en el caso de los dispositivos y cuentas personales del empleado.

Detectar y registrar infracciones de seguridad

Algunas de las amenazas más recientes siguen siendo amenazas de ingeniería social. El atacante puede afirmar ser un ejecutivo de la empresa que solicita datos confidenciales o el atacante puede hacerse pasar por una red social y solicitar al usuario que complete sus credenciales de inicio de sesión en un formulario falso, en cuyo caso el delincuente obtendrá las credenciales del usuario. Otros atacantes envían enlaces descargables que pueden incluir varios ataques: actividad de denegación de servicio, inyección de SQL, actividad de minería de datos, ataque de rescate, malware, virus, gusano, virus troyano, etc. Si un usuario nota que su computadora se ha ralentizado significativamente después de descargar un archivo turbio, su computadora está muy caliente y hay visibilidad de que la factura de energía se ha disparado y esto está provocando que los usuarios trabajen horas de trabajo adicionales, estas señales tienen una alta correlación de actividad de minería de datos. Este riesgo podría detectarse con anticipación mediante una conexión de software de servicio forense. Estas penetraciones también podrían comprometer los datos de una empresa y de sus clientes. Por tanto, es imprescindible tener una visibilidad de los fenómenos en forma de gráficos.

Recuperación después de ser pirateado

Si ha notado que ha sido pirateado, porque sus cuentas de redes sociales se han utilizado para enviar spam, su dispositivo está cubierto de anuncios y se están realizando compras desde la cuenta bancaria de la empresa que no reconoce, la recuperación llevará algún tiempo. Primero, alerta a tus cuentas bancarias y cambia todas tus contraseñas. Si ya tuviera el software instalado, es probable que esto no hubiera avanzado demasiado, ya que las medidas de seguridad habrían respondido a una actividad tan irregular. Mejor aún, si hubiera configurado sus dispositivos para que se autodestruyeran después de que se transportaran a una distancia significativa de usted, es posible que no haya sufrido ningún daño. Obviamente, el siguiente paso sería eliminar toda la información personal de sus dispositivos y cuentas, especialmente si tiene información fiscal o una foto de su tarjeta bancaria almacenada en su dispositivo. Si ha sufrido pérdidas importantes, es posible que deba realizar una auditoría de seguridad exhaustiva. Darse de baja de todo lo que no recuerde suscribirse, informar a las personas que ha sido pirateado y, en caso de que usted o ellos reciban correos electrónicos de equipos con los que usted o ellos no estén familiarizados, asegúrese de agregar esas direcciones al filtro de spam.

Activity Insight: actividades de perfil de información privilegiada

Con fines de malicia y codicia, los usuarios comúnmente informan erróneamente sus datos de gastos o la cantidad de tiempo que pasan en el trabajo. Algunas cosas que son muy buenas pistas cuando un empleador ha notado alguna actividad sospechosa son cambios en su comportamiento y en cómo pasa su tiempo. Cuantos más eventos y datos se controlen, más información tendrá la empresa sobre su situación real. En el caso de que una red se haya visto comprometida, una buena señal de que un usuario puede haber comprometido potencialmente el sistema es un usuario que abandona la organización. Se trata de un usuario cuyo perfil y actividades deben resolverse como sospechosos y delictivos o no. En el caso de que haya información o una alerta de que ya se ha producido un incidente, le habría dado a la empresa una ventaja para haber predicho esta tendencia potencial, pero si una empresa no lo ha hecho, un especialista en correlación forense de datos proporcionaría es esa buena ventaja. En este caso, tómese el tiempo para investigar y obtener información sobre quién ha transferido datos a un servicio de respaldo, una cuenta personal o una cuenta de terceros. La transferencia a un servicio de respaldo y otras fuentes externas puede brindarle una idea de que está tratando de robar clientes potenciales del trabajo. Si ese empleado muestra un comportamiento comprometedor o sospechoso, vale la pena dedicar tiempo a comprobar también la actividad de los compañeros con los que se relaciona más en el trabajo.

Alertas internas de compromiso del sistema

Los usuarios empleados son bastante descuidados, especialmente cuando se trata de no monitorear conexiones que no conocen. Otra actividad sospechosa que tendría un software especializado y perspicaz es si los empleados llegan a trabajar en momentos sospechosos, salen del trabajo en momentos sospechosos, así como las diferencias entre sus actividades y desempeño. Si un empleado suele pasar tiempo trabajando los domingos pero de repente comienza a trabajar los sábados, esa es otra buena fuente de información potencial. Dichos programas niegan ciertas acciones por parte de los empleados y alertan a la gerencia en casos como un intento de cargar un archivo de tamaño demasiado grande o brindan una alerta sobre un intento no autorizado de cargar un archivo a la nube.