LIBRO ELECTRÓNICO DE MONITOREO DE PROVEEDORES REMOTOS

Extraños en
nuestros
servidores:
Haga que trabajar con contratistas de
TI sea más seguro

Casi el 90 % de las vulneraciones de datos son realizadas a

través del acceso remoto a los sistemas de la empresa. Aún
así, los proveedores de servicios externos son otorgados de
forma rutinaria una amplia variedad de privilegios de acceso
remoto y las empresas no tienen idea de qué hacen realmente
estos proveedores una vez que inician sesión. Esta es una
mejor manera de realizar un seguimiento de lo que hacen
dichos proveedores: Monitoreo de la actividad del usuario.
MONITOREO DE PROVEEDORES

Dos informes de investigación han indicado claramente que la vía usada más
comúnmente para las vulneraciones de datos es un servicio de acceso remoto que
proporciona una entrada con privilegios a los recursos corporativos: Verizon informa
que el acceso remoto es responsable del 88 % de las vulneraciones de datos,1
mientras que Trustwave informa que el 76 % de las vulneraciones de datos
investigadas se debían a la explotación de los canales de acceso de los proveedores
remotos.2

“ Tan pronto como

los proveedores
Un análisis rápido de algunas vulneraciones de acceso remoto de alto perfil:
• Unos hackers robaron información de tarjetas de débito y crédito de 40 millones de
descubrieron que clientes objetivo a través de la cuenta de inicio de sesión remota de un subcontratista
todas las acciones de HVAC.3
estaban siendo • Unos hackers rumanos robaron los datos de las tarjetas de crédito de los
consumidores de las computadoras de Subway a través de un software de acceso a
grabadas, se volvió
”
escritorio remoto en un periodo de tres años, lo que les permitió realizar hasta USD3
mucho más fácil millones de cargos fraudulentos.4
• Unos hackers entraron a la red PlayStation de Sony al hablar acceder a través de la
controlarlos. computadora de un administrador de sistema y comprometer la información del
personal de 77 millones de cuentas de usuarios.5
Moti Landes, • Con el uso de las vulnerabilidades del acceso remoto, los sistemas del Departamento
jefe de seguridad de la división de de ingresos de Carolina del Sur se vieron comprometidos, lo que afectó los datos de
informática central y gerente de
los impuestos estatales de 6,4 millones de consumidores y negocios.6
infraestructura de TI

Coca-Cola Los servidores de su empresa contienen información confidencial y vital, sin embargo,
están constantemente expuestos a usuarios internos y contratistas externos con
privilegios. Una vez que estos usuarios con privilegios obtienen acceso a los servidores,
la mayoría de los administradores de seguridad de TI no tienen idea de qué hacen los
usuarios. Incluso las empresas que han invertido en IAM, SIEM y otras herramientas de
análisis de registros aún no saben mayormente lo que los usuarios hacen luego de
acceder a los servidores. De hecho, solo el 1 % de las vulneraciones son descubiertas por
el análisis de registro y/o el proceso de revisión de la organización víctima (puede ver
más información al respecto a continuación).2

“Una vez que estos usuarios con privilegios

obtienen acceso a los servidores, la mayoría de
los administradores de seguridad de TI no
tienen idea de qué hacen los usuarios. ”

2
MONITOREO DE PROVEEDORES

El contratista de TI: una parte integral de su negocio

está aquí para quedarse

“ Disfrutamos
demostrándole a
Es innegable que los contratistas remotos y sus empleados se han convertido en una
parte integral del día a día de las operaciones de TI en la mayoría de las organizaciones.
Los sistemas de acceso remoto basados en Internet son críticos para numerosos
nuestros clientes que proveedores de funciones de negocios, incluidos:
cada acción del
• Desarrolladores de software y equipos de QA externos
usuario es grabada. • Consultores de personalización/configuración de aplicaciones de software externos
Esto aumenta la
”
• Administradores de bases de datos externos
confianza en general. • Proveedores de servicios administrados responsables de los servidores, los equipos de
red (firewalls, routers, conmutadores, etc) e incluso centros de datos completos
Rick Beecroft:
• Proveedores de servicios administrados responsables de los equipos de escritorio de
Gerente de área, continente los empleados (sistemas operativos, permisos de usuarios, aplicaciones de software)
americano y costas del Pacífico • Soporte técnico y servicios de mesa de ayuda para empleados externos
Bellin Treasury
Cuando los sistemas internos de una organización son tan ampliamente accesibles por
los socios remotos (aquellos empleados por lo general son completos extraños para la
organización), hay un riesgo dramáticamente mayor de que usuarios sin autorización
exploten sus privilegios de acceso para encontrar una vía de acceso a los servidores, las
bases de datos, los sistemas de control y otros recursos confidenciales de la empresa.

Además, incluso los contratistas que no tienen motivos infames aún representan un gran
peligro para la organización: los errores realizados al implementar un código, configurar
sistemas o asignar permisos de usuario tienen el potencial de reducir el rendimiento de
los sistemas críticos del negocio, destruir datos o generar enormes brechas de
seguridad. Las posibilidades de que las credenciales de los usuarios con privilegios sean
robadas por hackers y ladrones de datos sin la intención o conocimiento del contratista
también son mucho más altas.

Lo esencial es que tener proveedores de TI con acceso a los sistemas internos

confidenciales es un hecho de la vida corporativa moderna, a pesar del enorme peligro
que esta realidad impone a la organización. La pregunta es: ¿Cómo pueden las
organizaciones aprovechar los beneficios económicos y de negocios de los proveedores
remotos y a la vez reducir las amenazas asociadas? Comencemos por responder esta
pregunta al explorar cómo las empresas están abordando los riesgos en la actualidad.

“Incluso los contratistas sin motivos infames

representan un enorme peligro
para la
organización.
”
3
MONITOREO DE PROVEEDORES
“ ObserveIT nos ofrece
la confianza para
permitir que los
administradores y los
proveedores remotos
hagan su trabajo y a
la vez asegurarnos de
que nuestros datos
están seguros y
auditados También
usamos el producto
para documentar los
procesos
y las instalaciones de
”
TI.
Sr. Simon Thunder,
jefe de TI
Premier League
¿Cómo se protegen las organizaciones en
la actualidad?
Las mejores prácticas de seguridad conocidas dictan que todos los usuarios,
contratistas externos y empleados por igual, solo deben tener los privilegios
mínimos que necesitan para realizar sus trabajos. Las empresas generalmente usan
soluciones de gobernanza de acceso e IAM para implementar estos controles de
acceso. Sin embargo, en muchos casos, incluso esos privilegios mínimos tendrán
que proporcionar un acceso mayor a los sistemas, dispositivos, archivos y datos de
su organización.
Estas condiciones solo empeoran, a medida que la cantidad de datos
confidenciales recopilados y el número de personas que necesitan un acceso
legítimo a estos aumentan violentamente.
Este enfoque basado en la prevención no es suficiente, ya que una vez que los
usuarios con credenciales legítimas obtienen acceso, las empresas tienen poca a
ninguna idea de lo que están haciendo.
Un enfoque usado comúnmente para intentar detectar un acceso no autorizado a
los recursos de TI es el análisis de los registros, a menudo a través del uso de la
información de seguridad y el sistema de administración de eventos (SIEM). Las
empresas que usan un sistema de análisis de registro o SIEM ciertamente están en
una mejor posición para manejar los ataques cibernéticos que aquellas empresas
que no usan SIEM. Sin embargo, el hecho es que solo el 1 % de las vulneraciones de
datos son descubiertas por el análisis de registros y/o el proceso de revisión de la
organización víctima.2
Incluso incluyendo otras instancias de detección interna, como la disminución
notable del rendimiento o la vigilancia de los empleados, solo el 16 % de los
ataques y las vulneraciones son detectadas por la organización victima, con los
hackers disfrutando un promedio de 174 días dentro del entorno de la víctima
antes de un tercero lo detecte.2 Los costos de los ataques cibernéticos aumentan
rápidamente si no se resuelven de forma rápida. Estudios demuestran una posible
relación entre el tiempo para contener el ataque y el costo organizacional.7
Claramente, algo no está funcionando.
El problema es simple: las empresas están intentando obtener información
sobre el comportamiento y las actividades de los usuarios al ver los datos del
registro de sistema en vez de ver lo que los usuarios están haciendo.
“Solo 1 % de las vulneraciones de datos son
descubiertas por el análisis del registro y/o
el proceso de revisión de la organización víctima. ”
4
MONITOREO DE PROVEEDORES

La solución: Monitoreo y análisis de la actividad

del usuario

“ ObserveIT
minimiza
¿Qué ocurriría si su organización pudiera saber definitivamente, en tiempo real y luego del
hecho,
con exactitud lo que cada usuario estaba haciendo durante cada minuto que accedió a
directamente los sus sistemas de TI? ¿Qué ocurriría si pudiese ver videos de grabación de pantalla de
riesgos asociados todas las acciones del usuario durante cada sesión de servidor y escritorio? ¿Qué
ocurriría si pudiese encontrar instantáneamente partes del video basado en una
con las búsqueda de palabras clave que describen una acción o recurso efectuado? ¿Que
actividades de los ocurriría si tuviese una solución que le alertara inmediatamente cada vez que un
empleados y usuario tuviese un comportamiento sospechoso?

proveedores La respuesta a las preguntas anteriores es que su organización se encontraría en la mejor

externos posición posible para detectar y evitar incidentes y vulneraciones de seguridad peligrosas,
ya sea debido a una intensión maliciosa o un error inadvertido. Esto es exactamente lo
a través de una amplia
que el monitoreo y análisis de la actividad del usuario proporciona.
variedad de
aplicaciones y Usar los sistemas de monitoreo de actividades genera grabaciones de video de cada
inicio de sesión, junto con registros de inspección de la actividad del usuario
entornos. detallados, lo que proporciona información sin paralelo sobre lo que se realizó a los
Su grabación de video servidores de la empresa. Mientras que los registros de TI estándar recopilan datos del
completa y búsqueda servidor y la actividad de las red, los registros de la actividad del usuario se enfocan en
qué están haciendo los usuarios en cada aplicación: comercial, específica, heredada, de
de palabras clave de nube y sistema operativo. Esta
acceso directo son
”
capacitad de análisis y monitoreo enfocada en el usuario resuelve el problema que
increíbles y únicas.. aqueja a la seguridad cibernética actual.

Diego Hernan Pizolli,

jefe de seguridad de informática central
Telecom Argentina
Los videos grabados de las sesiones del usuario son excelentes, pero son solo una parte
de la solución. Las soluciones de monitoreo de las actividades también deben generar
registros de la actividad de texto de todo lo realizado por los usuarios durante su
acceso a los servidores de la empresa. Estos pueden ser fácilmente revisados y
buscados con palabras clave, ya que contienen los nombres de las aplicaciones
ejecutadas, las ventanas abiertas, los comandos de sistema ejecutados, las casillas de
verificación seleccionadas, el texto ingresado/editado, las URL visitadas y casi cualquier
otro evento en pantalla. Ya sea por revisiones manuales diarias, informes resumen o
alertas de actividad personalizables, es posible identificar fácilmente las pistas
importantes de la mayoría de las actividades basadas en servidor más ilícitas.

Para ampliar los beneficios del monitoreo de la actividad del usuario desde forense
(reactivo) a detector (proactivo), se requiere un análisis del comportamiento. El
análisis del comportamiento del usuario se basa en los registros de actividad del
usuario y añade el análisis requerido para detectar rápidamente los cambios del
comportamiento del usuario asociados con las vulneraciones.

“ Esta capacidad de monitoreo y

análisis resuelve el problema que aqueja a
la seguridad cibernética actual “
5
MONITOREO DE PROVEEDORES

Hablemos en términos reales

Los siguientes son algunos ejemplos de cómo los sistemas de monitoreo y análisis de la
actividad del usuario se han utilizado para detectar la actividad de intrusos en los
servidores de la empresa:

• El sistema de monitoreo de la actividad del usuario generó una alerta en tiempo real
cuando una cuenta de usuario con privilegios se utilizó para iniciar sesión en un servidor
Unix durante un fin de semana. El jefe de seguridad NOC de turno que recibió la alerta
inmediatamente comenzó a ver la sesión en tiempo real con el sistema de grabación de
sesiones. Cuando vio al usuario que inició sesión preparándose para cargar archivos a

“
través de FTP a una dirección IP fuera de la red, inmediatamente terminó la sesión y le
La implementación se impuso
informó al jefe de seguridad de informática central de la empresa.
para prevenir los problemas
con el acceso de terceros a
• Un informe diario de la actividad del usuario de un proveedor remoto incluyó un número
nuestro sistema de TI.
de inicios de sesión en un servidor Windows desde una cuenta que no había sido usada en
meses. Una revisión rápida de las grabaciones de pantalla de estas sesiones demostró
Przemysław Jasiński
obviamente una actividad no autorizada, incluido el uso considerable de Windows Explorer

”
Gerente del departamento de TI para explorar los archivos en un número de otros servidores de red. Esta cuenta se
Elektrotim desactivó inmediatamente y la dirección IP de la computadora remota se entregó a las
autoridades policiales para una mayor investigación.

• Un informe de resumen mensual de la actividad del usuario de las aplicaciones ejecutadas

en los servidores de una empresa incluyen las instancias de TeamViewer, una aplicación de
control remoto que está fuera de lugar en un servidor empresarial. Una investigación
inmediata con el monitoreo de actividad del usuario reveló que un administrador de TI
recientemente contratado había instalado TeamViewer en un servidor que almacenaba la
información de tarjetas de crédito de los clientes y había activado el software para
proporcionar un control completo de la máquina desde cualquier computadora externa.
Confrontado por las autoridades con el video que mostraba sus acciones, el administrador
admitió que había planeado vender el acceso a la computadora a un grupo de hackers.

En resumen, implementar el monitoreo y análisis de la actividad del usuario vuelve a una

organización en extremadamente capaz de detectar actividades de usuario remoto (e
interno) cuestionables, peligrosas o abusivas. Más allá de las capacidades de respuesta y
detección de vulneraciones de datos (a través de un rápido análisis forense
correspondiente), el monitoreo de la actividad del usuario también facilita el cumplimiento y
el mantenimiento de los aspectos del gobierno y las normativas del sector (por ejemplo, PCI,
HIPAA, NERC, FISMA), y a la vez reduce los costos de inspecciones de seguridad. La mayoría
de las solicitudes de los auditores ahora pueden responderse instantáneamente al buscar las
acciones del usuario o ver una parte del video de la sesión grabada, sin necesidad de un
análisis e investigación completa de los datos de la máquina.

“En resumen, implementar el monitoreo y análisis de actividad del usuario

vuelve a cualquier organización extremadamente capaz de detectar
actividades de usuario remoto cuestionables, peligrosas o abusivas.

”
6
MONITOREO DE PROVEEDORES

Principales 5 beneficios del monitoreo y análisis de actividad del usuario

El monitoreo de la actividad del usuario proporciona una amplia variedad de beneficios a cualquier organización, con
las ventajas de monitoreo de contratistas y seguridad al comienzo de la lista:

1 Mejor seguridad de TI y detección temprana de vulneraciones de datos

Alertas personalizadas en tiempo real y la integración con sistemas SIEM/NMS proporcionan una advertencia
temprana de errores humanos y acciones maliciosas.
2 Lo más moderno en monitoreo de proveedores remotos
Revisión y búsqueda de las actividades del proveedor remoto para asegurarse de que los proveedores cumplen con
sus obligaciones y no representan ningún riesgo para la organización.
3 Responsabilidad de cumplimiento más sencilla
Monitoreo e inspección de la actividad del usuario remoto y local para satisfacer los requisitos de seguridad PCI, HIPAA,
SOX, FISMA e ISO 27001.
4 Mayor eficiencia de TI
Investigaciones forenses y análisis de causa raíz fáciles de realizar, además disfrute documentación sin esfuerzo de
toda la actividad de TI de los servidores monitoreados.
5 Disuasión
El comportamiento de sus proveedores remotos (y empleados) cambia dramáticamente cuando saben que sus
acciones están siendo monitoreadas y revisadas.
Acerca de ObserveIT
ObserveIT es una solución de monitoreo y análisis de la actividad del usuario de clase empresarial. La solución
registra las sesiones de escritorio y servidor en computadoras UNIX, Linux y Windows, a las que se accede local o
remotamente. ObserveIT funciona en entornos locales y de nube, integrado nativamente con proveedores de nube
líderes, como Amazon e IBM. ObserveIT genera registros de actividad que se pueden buscar por palabra clave y de
video de cada acción del usuario en cada aplicación y área de sistema, además de alertas de comportamiento del
usuario en tiempo real. Cientos de empresas de todo el mundo, incluidas docenas de las empresas Fortune 500,
usan ObserveIT diariamente para ayudarlos a proteger sus datos corporativos y otros activos de TI, monitorear a los
usuarios y proveedores remotos con privilegios, aumentar la eficacia de los procesos de TI y lograr y mantener el
cumplimiento normativo. Más información en www.observeit.com.

Para obtener más información, visite www.observeit.com

1 Informe de investigaciones de vulneración de datos de Verizon de 2012, marzo de 2012

2 Informe de seguridad global de Trustwave de 2012, febrero de 2012
3 Gizmodo: El hackeo de objetivo masivo del mes anterior fue culpa del tipo de la calefacción, febrero de 2014

4 Ars Technica: Cómo los hackers le dieron a Subway una lección de USD3 millones sobre la seguridad del punto de venta, diciembre de 2011
5 NBC News: Hackers robaron datos personales de PlayStation Network, abril de 2011
6 The Island Packet: Cómo hackers robaron datos de devolución de impuestos de Carolina del Sur, noviembre de 2012
6 Instituto Ponemon: Estudio del costo del crimen cibernético de 2012, octubre de 2012

Copyright © 2014, ObserveIT. Todos los derechos reservados.

Todas las marcas registradas, nombres comerciales, marcas y logotipos de servicio mencionados aquí
pertenecen a sus respectivas empresas. Este documento es solo para propósitos informativos.