Los marcos sectoriales desempeñan un papel fundamental en la ciberseguridad. Por un lado, ayudan a los equipos de seguridad a evaluar los controles con respecto a un marco común que se ha probado en el sector. La correlación con marcos ayuda a los equipos de seguridad a identificar lagunas críticas que podrían exponer a su organización a un ciberataque. Por otro lado, un marco proporciona un lenguaje común que pueden utilizar los profesionales de seguridad de todos los sectores y disciplinas. MITRE ATT&CK y NIST son dos marcos bien establecidos y de uso común.
De aparición más reciente en el sector de la seguridad, Insider Threat Matrix™ es un marco público y abierto dedicado exclusivamente a la detección y prevención de las amenazas internas. Hace poco tuvimos la oportunidad de hablar con sus fundadores, James Weston y Joshua Beaman.
Durante nuestra conversación, hablamos de por qué se creó la matriz, su visión de futuro y cómo puede ayudar a los equipos de gestión de riesgos internos. Como antiguos especialistas en amenazas internas, James y Joshua tienen una amplia experiencia en la identificación y gestión de amenazas internas, así como en la realización de investigaciones internas. A continuación se incluye un resumen de nuestra conversación.
¿Por qué desarrollaron Insider Threat Matrix™?
Sabemos por experiencia que las investigaciones internas son a menudo complejas, ambiguas y están insuficientemente respaldadas por los marcos existentes. Otros modelos del sector se centran principalmente en los ciberdelincuentes externos, no en los internos. Pensamos que se trataba de una laguna importante y quisimos crear un marco dedicado a las amenazas internas. Como resultado, Insider Threat Matrix™ se centra por completo en el factor humano: cómo se rompe la confianza desde dentro de una organización. Se centra en ayudar a los equipos de gestión de amenazas internas a clasificar, detectar y neutralizar las amenazas internas.
La gestión de amenazas internas, más que cualquier otra disciplina de seguridad, depende de la colaboración transversal. Nuestro objetivo era proporcionar a los investigadores una taxonomía y un lenguaje coherentes que pudieran aplicar en los ámbitos jurídico, de la ciberseguridad, los recursos humanos y el cumplimiento de normativas.
¿Quiénes considera que son los principales usuarios objetivo de Insider Threat Matrix™?
Los principales usuarios que teníamos en mente al desarrollar la matriz son los investigadores de amenazas internas y los analistas de operaciones de seguridad. Básicamente, los equipos encargados de dar sentido a todo el espectro de eventos internos. Estos eventos pueden ir desde actos sutiles hasta incidentes de alto riesgo, en los que los métodos y las intenciones no suelen estar claros.
En Proofpoint distinguimos entre riesgo interno y amenaza interna. ¿Cómo definirían estos dos términos? ¿Cuál es el vínculo entre ambos?
Nosotros también hacemos una clara distinción entre riesgo interno y amenaza interna. Y utilizamos un término clarificador importante: población.
Por población entendemos todos los individuos, empleados, contratistas, afiliados y demás personal que componen la plantilla de una organización y que están sujetos a sus políticas, controles y gobierno de acceso.
Definimos el riesgo interno como la probabilidad de que la acción o inacción de un miembro de una población cause un daño o pérdida para la organización, junto con el impacto potencial de ese resultado. El riesgo interno incluye comportamientos tanto intencionados como no intencionados.
Una amenaza interna se define como un miembro o grupo de miembros de la población que tiene la intención o es probable que cause daño o pérdida a la organización. Este término se aplica específicamente a aquellos cuyas acciones, motivaciones o circunstancias presentan un riesgo creíble.
En resumen: todas las amenazas internas forman parte del espectro más amplio de riesgos internos, pero no todos los riesgos se traducen necesariamente en amenazas.
¿Qué acogida ha tenido la matriz entre los expertos en amenazas internas? ¿Qué es lo que más os ha sorprendido?
Desde el lanzamiento de la Insider Threat Matrix™ durante la conferencia Black Hat en 2024, la respuesta ha sido extraordinariamente positiva. Según los investigadores y gestores de programas, la matriz les proporciona un lenguaje común y una estructura de la que este campo había carecido hasta ahora. Se utiliza para la ingeniería de detección, el diseño de procesos de investigación, las auditorías de seguridad e incluso el desarrollo de políticas.
Lo que más nos ha sorprendido es la amplitud del interés. No son solo los equipos especializados en la gestión de amenazas internas, sino también los analistas del centro de operaciones de seguridad (SOC), los profesionales de RR. HH. y las partes interesadas del ámbito jurídico y de cumplimiento de normativas, que reconocen el valor de un marco común que vincule sus disciplinas. La adopción transversal ha sido mucho mayor de lo que esperábamos.
¿Cómo se recogen los comentarios sobre la matriz? ¿Qué es el proceso de cambio?
Insider Threat Matrix™ es un marco deliberadamente abierto y en constante evolución. Los comentarios proceden de los responsables de seguridad, los foros profesionales, la interacción directa durante las encuestas y nuestra propia investigación interna. Cada envío es revisado por un pequeño equipo de profesionales experimentados en la gestión de amenazas internas y se correlaciona con la terminología y estructura de Insider Threat Matrix™. Esto garantiza la coherencia antes de integrar el envío en el marco. Se reconoce públicamente a los colaboradores, tanto en la propia base de conocimientos como en la página oficial de colaboradores de Insider Threat Matrix™.
¿Cuál es la siguiente etapa para Insider Threat Matrix™? ¿Cuál es su visión?
Aspiramos a que Insider Threat Matrix™ se convierta en el repositorio vivo de la sabiduría y la experiencia combinadas de la comunidad de gestión de amenazas internas. Queremos que la matriz sirva de referencia absoluta para describir la trayectoria de las amenazas internas. Esperamos que ayude a todas las partes interesadas y mejore drásticamente la calidad de los programas de gestión de riesgos internos en todas las organizaciones e instituciones.
Estamos desarrollando y madurando continuamente la matriz. El año que viene, tenemos previsto crear visualizaciones que muestren trayectorias de incidentes internos a lo largo del tiempo, ampliar las integraciones de la matriz directamente en plataformas de software relacionadas con las amenazas internas y ampliar la comunidad de colaboradores. Nuestro objetivo es que la matriz se convierta en el lenguaje de investigación de facto para las amenazas internas.
¿Qué consejo le daría a los equipos de seguridad que quieren poner en funcionamiento la matriz? ¿Por dónde deberían empezar?
La matriz Insider Threat Matrix™ está diseñada para poder usarse inmediatamente, independientemente del nivel madurez del programa. Para los nuevos programas, el mejor punto de partida es simple: utilizar la matriz para establecer líneas de base de políticas y trazar un mapa de lo que llamamos “infracciones de volumen”. Se trata de infracciones de políticas relativamente menores, pero frecuentes, que a menudo indican una desviación más amplia del comportamiento. En el caso de los programas establecidos, la matriz puede identificar lagunas en los controles, armonizar las detecciones para garantizar la cobertura, orientar el desarrollo de reglas de detección y garantizar la coherencia entre las investigaciones.
Nunca es "demasiado pronto". El momento ideal para introducir la matriz Insider Threat Matrix™ es cuando un equipo desea pasar de controles y respuestas ad hoc a detección, prevención e investigación estructuradas y defendibles. Un primer paso práctico consiste en cotejar los incidentes recientes en los que se han visto implicados usuarios internos de su organización con las categorías de la matriz. Ese ejercicio único suele revelar patrones y deficiencias que pueden orientar de inmediato tanto la detección como la elaboración de políticas.
Más información
Para obtener más información sobre la matriz Insider Threat Matrix™, asista a nuestra serie de webinars de dos partes en octubre.
