Cómo la nueva solución de Microsoft 365 utiliza aprendizaje automático para detener fugas de datos y ataques internos
Jennifer Langston
The AI Blog
Si un empleado que de manera reciente dio su aviso de dos semanas comienza a descargar varios archivos de la red de la compañía y a copiarlos en una memoria externa, es muy posible que él o ella no tenga una mala intención. El empleado podría querer guardar archivos inocuos relacionados con su registro de empleo o ejemplos de piezas de mercadotecnia que haya creado.
Sin embargo, en un pequeño número de casos, el empleado podría tratar de tomar diseños confidenciales de producto, información legal sensible, datos privados de empleados o secretos comerciales para llevarlos a una compañía rival.
Para una compañía puede ser incluso difícil detectar estos “riesgos de información privilegiada”, y mucho menos distinguir entre comportamiento rutinario y el valor atípico que podría destruir la ventaja competitiva o la reputación de la compañía.
Es por eso que Microsoft ofrece una nueva solución Insider Risk Management dentro de Microsoft 365 que utiliza aprendizaje automático para detectar, de manera inteligente, comportamiento que en potencia podría ser riesgoso dentro de una compañía. También identifica de manera rápida qué actividades son más propensas a plantear amenazas reales a la seguridad, incluso de manera inadvertida.
Debido a que los errores son una fuente más grande de riesgo actual que los ataques internos, la solución fue diseñada para ayudar a los empleados a tomar las decisiones correctas y evitar lapsos de seguridad comunes. Para ser efectiva, los ingenieros saben que la solución también tenía que ayudar a las personas a hacer sus trabajos en lugar de retrasarlos.
“De manera fundamental, los empleados de una compañía tratan de hacer lo correcto”, comentó Bret Arsenault, director de seguridad de la información y vicepresidente corporativo en Microsoft. “Pero en ocasiones la intención es diferente al resultado”.
Hace unos años, las amenazas a la seguridad que mantenían despierto a Arsenault por las noches no estaban limitadas a los hackers, cibercriminales o ataques de naciones estado para los que Microsoft emplea a un pequeño ejército de expertos de tecnologías de vanguardia para frustrar. Cada vez más, se preocupaba por los riesgos potenciales, en su mayoría involuntarios pero en ocasiones maliciosos, de empleados que ya tenían acceso fácil a la información más sensible de la compañía.
Por ejemplo, esto podría incluir a alguien que de manera inadvertida mantiene información sensible en una carpeta que está al alcance de cualquier persona en la compañía, lo que la hace vulnerable al robo. O la persona que tan solo oprime el botón equivocado y por error envía por email fuera de la compañía un documento con una alta confidencialidad.
En una encuesta reciente de profesionales en ciberseguridad, 90 por ciento de las organizaciones indicó que se sentían vulnerables a riesgos de información privilegiada, y dos tercios consideraron los ataques internos maliciosos o las brechas accidentales como más probables que sucedan que los ataques externos. Más de la mitad de las organizaciones reportaron que habían experimentado un ataque interno el año pasado, de acuerdo con un reporte de amenazas internas de Crowd Research Partners.
“En la industria de la seguridad ha habido una cantidad desproporcionada de enfoque en los adversarios externos”, comentó Arsenault. “Pero con miles de empleados que se registran a diario en los sistemas de una compañía, la amenaza de usuarios – ya sea un intento involuntario o malicioso – podría ser un escenario de riesgo más alto. Y ahí es cuando nos dimos cuenta que necesitábamos expandir nuestro enfoque”.
Arsenault encargó a ingenieros de su equipo de seguridad y de Microsoft 365 a crear una solución que aprovechara el aprendizaje automático para detectar y prevenir de manera inteligente brechas internas de seguridad, y de manera eventual, convertirla en una solución para los clientes. Pero tenía que ser diseñada con los principios centrales de Microsoft en mente: respetar la privacidad de los empleados, asumir una intención positiva desde cero y fomentar el libre flujo de información y colaboración dentro de una compañía.
La solución Insider Risk Management combina la enorme gama de señales de las herramientas de productividad de Microsoft 365, los sistemas operativos Windows y los servicios de nube de Azure con algoritmos de aprendizaje automático que pueden identificar comportamientos anómalos y con potencial de ser riesgosos de parte de la gente que utiliza esos productos.
Los ingenieros de producto trabajaron de cerca con analistas de seguridad interna, recursos humanos y otros expertos dentro de Microsoft – y consultaron con defensores de los trabajadores en países que comparten el fuerte compromiso de Microsoft con la privacidad – para garantizar que la solución tiene el equilibrio adecuado en respetar la privacidad y los flujos de trabajo de los empleados.
“Sabíamos que el riesgo de la información privilegiada comenzaba a ser un desafío más generalizado y costoso, pero también que debíamos tener un lente diferente por completo para enfrentarlo”, comentó Erin Miyake, gerente de programa para amenazas internas en Microsoft, que trabajó con expertos en recursos humanos, cumplimiento de normas y expertos de producto para desarrollar la nueva solución.
Para comenzar, se trata de personas que ya tienen acceso a los recursos de la compañía como parte de sus trabajos, así que es más difícil de detectar, comentó.
Luego, debido a que analizas la actividad de personas que ya están en tu fuerza laboral, es esencial dar un balance entre la gestión de riesgo con la cultura, privacidad, equidad y necesidades de cumplimiento de normas de la compañía. Esas consideraciones no aparecen cuando proteges a una compañía de cibercriminales sin rostro en países distantes. Comentó Talhah Mir, gerente de programa en el equipo de seguridad y cumplimiento de normas del equipo de Microsoft 365.
“Los empleados deben tener acceso a las cosas que necesitan para sus trabajos y no deberían sentir fricción innecesaria”, comentó Mir. “Esto en realidad se trata de tomar todas esas señales que ya existen en el fondo y razonar sobre ellas a escala con aprendizaje automático para encontrar ese hilo en el mar de información que pueda identificar posibles actividades sospechosas”.
Todos los reportes iniciales de comportamiento inusual en el sistema de Insider Risk Management se pueden anonimizar desde el principio – para proteger las reputaciones y prevenir que cualquier sesgo entre al proceso. Pero debido a que las señales de datos sólo los llevan hasta allá, la herramienta también ofrece una plataforma de colaboración para investigadores, expertos de recursos humanos o gerentes de negocios para determinar si el comportamiento inusual podría ser malicioso o solo algo fuera del flujo normal de trabajo de una persona.
Los ingenieros de Microsoft que trabajan en la solución Insider Risk Management consultaron con los departamentos internos jurídicos y de recursos humanos para delinear que umbrales tendrían que cumplirse dentro de Microsoft para todos los involucrados en una investigación para tomar los pasos necesarios siguientes.
“El sistema no hace un juicio o asume una mala intención”, comentó Mir. “Si hay una anomalía, inicias desde el lugar de que el usuario final tal vez sólo trata de hacer su trabajo, pero aun así vamos a confiar y verificar”.
La nueva solución utiliza algoritmos de aprendizaje automático para buscar patrones de comportamiento inusual y con potencial de riesgo, que podría ser descargar cientos de archivos sensibles desde un sitio de SharePoint, copiar archivos a un dispositivo USB, deshabilitar software de seguridad o enviar por email archivos sensibles fuera de la compañía. Aprovecha Microsoft Graph y otros servicios para buscar señales anómalas a través de los productos Windows, Azure y Office como SharePoint, OneDrive, Teams y Outlook.
Ninguna de estas actividades es amenazante de manera inherente, ya que los empleados hacen estas cosas a diario como parte de sus trabajos. Pero los patrones se volvieron más significativos conforme el sistema extrae información de otras fuentes, como herramientas de clasificación y etiquetado en Office 365 que pueden ser utilizadas para marcar documentos y conjuntos de datos sensibles.
Eso permite a los algoritmos comenzar a distinguir entre los riesgos planteados por el empleado que podría descargar presentaciones o documentos no controvertidos – tal vez porque está a punto de salir a un viaje de negocios – y el empleado que descarga diseños con alta confidencialidad para un producto que está en desarrollo.
El sistema también puede indicar si los archivos descargados contienen información bancaria o de tarjetas de crédito del cliente, que podría ser una llamada de atención de un posible robo de identidad. Y, con los permisos adecuados, un analista puede ver el contenido de archivos descargados para evaluar aún más qué tan dañina podría ser una fuga de esa información hacia el exterior.
La solución Insider Risk Management también se puede conectar a software de recursos humanos de terceros, por ejemplo, para traer otros datos pertinentes, tales como si un empleado ha renunciado de manera reciente.
Los algoritmos toman en cuenta toda esa información y asignan a cada actividad inusual una “calificación de riesgo” numérica que ayuda a la gente asignada a manejar el riesgo de información privilegiada a ver de manera sencilla dónde necesitan enfocar una atención especial.
Esto refleja soluciones como Azure Secure Score y Azure Security Center, que ayudan a los clientes de Microsoft a proteger sus datos almacenados en la nube mediante la supervisión, identificación y priorización de las vulnerabilidades de seguridad más graves. Esto podría incluir errores en la manera en que un cliente configura un firewall que pudiera permitir a un hacker obtener acceso y refleja la responsabilidad compartida que tanto las empresas y los proveedores de nube tienen para proteger los datos en la nube de todas las amenazas.
El propio equipo de seguridad de riesgo digital de Microsoft desarrolló en un inicio los algoritmos de aprendizaje automático de riesgo de información privilegiada como parte de su propia solución interna para detectar mejor potenciales riesgos internos de los datos que son generados por sus 150 mil empleados alrededor del mundo. La detección de anomalías – que utiliza registros de auditorías de herramientas existentes – es parte de una larga línea de tecnologías que han permitido a la compañía brindar una mejor seguridad en maneras que, de manera relativa, no tienen fricciones para los empleados, comentó Arsenault.
El sistema no realiza juicios o asume malas intenciones. Si hay una anomalía, inicias desde el punto de que el usuario final tal vez sólo trata de hacer su trabajo, pero aun así vamos a confiar y verificar.
Para hacer viable la solución dentro de Microsoft, comentó Arsenault, necesitaba poder detectar comportamiento aberrante de una manera que no socave la cultura de productividad, innovación y confianza que ha hecho exitosa a la compañía.
“Por lo general la gente va a donde es invitada, pero se quedan donde sienten que pertenecen. No quería hacer algo que cambiara eso”, mencionó Arsenault.
Los ingenieros de producto de Microsoft 365 trabajaron con el equipo de seguridad interna para escalar la solución y garantizar que cumpliera con las necesidades de otros clientes.
“Los clientes en verdad quieren una solución porque hoy no tienen una gran manera de hacer frente a esto”, comentó Alym Rayani, director de Microsoft 365 + seguridad en Microsoft. “Las cosas que nosotros y otros proveedores hacemos alrededor de la protección contra amenazas de parte de atacantes externos que buscan dinero o información de los clientes en definitiva ayudó con ese problema. Lo que la gente no ha abordado también desde una perspectiva tecnológica son estos riesgos de información privilegiada, que vienen en una variedad de sabores”.
Es por eso que los equipos de Microsoft querían ofrecer una solución de extremo a extremo que permita a las compañías a no solo detectar, sino también investigar y prevenir brechas de seguridad o fugas de datos potenciales. Si un analista de riesgo de información privilegiada sigue el protocolo de mover una investigación más allá de la fase anónima, él o ella pueden utilizar la herramienta para invitar a otras personas como el gerente de un empleado a colaborar y ofrecer información adicional.
Un gerente puede clarificar si el comportamiento anómalo fue algo que se le pidió al empleado hacer o está dentro de su plan de trabajo, lo que cierra el caso de manera rápida y eficiente.
La solución Insider Risk Management también está diseñada para prevenir brechas de seguridad involuntarias a través de la educación. Si un empleado almacena documentos sensibles en un sitio de SharePoint que no es seguro o toma atajos con los controles de seguridad, alguien que vea una alerta puede evitar problemas potenciales al enviar un recordatorio a ese empleado sobre las políticas de la compañía o recomendar un entrenamiento en línea para mejores prácticas.
Otras herramientas internas de monitoreo de seguridad requieren que las compañías instalen software especial para reunir datos de telemetría de laptops o canalizar datos a un servidor diferente para ser analizados, comentó Mir. Pero la solución Insider Risk Management de Microsoft puede aprovechar señales de las mismas herramientas de productividad que millones de empleados utilizan alrededor del mundo.
“Nuestra solución es en gran medida una llave a la mano”, mencionó Mir. “Si nuestros clientes ya tienen la profundidad de Microsoft 365 y todo lo que ofrece en términos de productividad, seguridad y cumplimiento de normas, tan solo pueden entrar, configurar la solución a sus requerimientos y comenzar a utilizarla”.
Imagen principal: Erin Miyake, gerente de programa para amenazas internas en Microsoft (izquierda), y Talhah Mir, gerente de programa en el equipo de seguridad y cumplimiento de normas en Microsoft 365 (derecha), colaboraron con expertos en seguridad, recursos humanos y cumplimiento de normas en la compañía para desarrollar la solución Insider Risk Management. Foto por Scott Eklund/Red Box Pictures.
Contenido relacionado:
- Conozcan más: Soluciones inteligentes de cumplimiento de normas y gestión de riesgos
- Video: Insider Risk Management de Microsoft 365
- Conozcan más: Microsoft en RSA Conference 2020
- Conozcan más: Aprovechen IA y aprendizaje automático para hacer frente a riesgos de información privilegiada
- Conozcan más: Navegar por la protección de datos y los riesgos en la era de la nube
- Video: Navegar por la protección de datos y los riesgos en la era de la nube (La demo de Insider Risk Management comienza al minuto 22)
- Conozcan más: Asegurar la nube: Dentro de la carrera de la alta tecnología y el alto riesgo para mantener la nube segura, confiable y como un impulso para todos
Jennifer Langston escribe sobre investigación e innovación en Microsoft. Síganla en Twitter.
