Hola,
Las empresas y usuarios particulares invierten, y muchas veces dilapidan, grandes partidas presupuestarias para protegerse de las amenazas externas. Firewalls, IDS, IPS, antivirus, defensas perimetrales, test de penetración … la cantidad de productos y servicios pensados para protegernos de puertas hacia afuera es infinita.
Pero, ¿qué pasa con las amenazas que vienen desde dentro del perímetro? Ahí es donde muchas de las medidas fallan, porque para encontrar amenazas internas y remediarlas no basta con colocar un producto, o hacer un repaso de las vulnerabilidades de las máquinas. Si pensamos que con eso hemos mitigado los riesgos, nos estamos equivocando y severamente.
Las amenazas internas se diferencian de las externas en algo muy intuitivo, pero en lo que no siempre pensamos: el atacante interno conoce la organización y la infraestructura. No le hace falta enumerar servicios en puertos a la escucha, porque sabe qué corre en cada máquina. No le hace falta hacer evasiones en IDS/IPS, porque está en un segmento de la red que no registra actividades inusuales. En definitiva, no tiene que hacer una intrusión, porque ya está dentro, y generalmente tendrá acceso a cosas que un atacante externo nunca verá, ya sea un mainframe, un sistema distribuído o cualquier otro aplicativo que corra en segmentos filtrados al exterior.
La mejor defensa para poder detectar y pevenir las amenazas internas es la concienciación y la aplicación del menos común de los sentidos, el sentido común. Al hilo de este argumento, os enlazo el paper Common Sense Guide to Prevention and Detection of Insider Threats, publicado por el US-CERT (United States Computer Emergency Readiness Team) en el que se trata con acierto y sencillez este grave problema al que se enfrentan las organizaciones.
Un saludo, y gracias a Xavi por proporcionar este buen enlace :)
De nada :)