En lo referente a obtener acceso hacia los activos de información, esto puede ser realizado mediante pruebas de penetración físicas o mediante la utilización de ingeniería social. Ambos son ejemplos de ataques para un intruso motivado, quien puede utilizarlos para ganar acceso hacia la infraestructura del sistema para la información detrás de las defensas fronterizas primarias. Pero ahora también es necesario abordar la perspectiva de alguien quien ya tiene acceso hacia los sistemas de información del objetivo, un “insider” (interno).

Probar desde la perspectiva de un interno es una manera de evaluar la efectividad de los controles para la seguridad, los cuales protegen los activos sobre una red local. El acceso de internos no autorizados es un factor común en el robo de identidad, robo de propiedad intelectual, robo de listas de clientes, manipulación de acciones, espionaje y actos de revancha o sabotaje, pero en algunos casos de robo de identidad, las cuentas utilizadas podrían tener mínimos privilegios e incluso ser temporales.

Las razones para realizar un ataque simulado desde la perspectiva de un interno son muchas. La principal de estas razones es, se puede aprender muchos detalles sobre la postura de seguridad global de la organización objetivo, la cual no puede ser aprendida desde una prueba de penetración únicamente externa, especialmente una la cual no subvierte los controles fronterizos. Incluso en una gran compañía, los internos representan un campo más pequeño de potenciales atacantes comparados con el público en Internet, pero el daño potencial por los internos es de hecho mayor. El interno típicamente tiene un conocimiento práctico sobre los controles y procesos de seguridad de la compañía, así también como y donde se almacena información valiosa.

Importancia de Simular un Ataque Interno

La importancia de evaluar la vulnerabilidad de una organización para atacarlo desde el interior es virtualmente evidente. Con la excepción de una compañía muy pequeña, los empleados contratados son esencialmente extraños a una compañía, quien les paga por realizar una tarea. Incluso cuando se realizan verificaciones sobre antecedentes y se verifican por referencias, simplemente no hay manera de garantizar, las personas encargadas de manejar y procesar datos sensibles no los roben o hagan mal uso de ellos. Cuanto mayor sea el nivel de privilegios, mayor será la confianza depositada en la persona, y más el riesgo incurrido por la compañía. Por esta razón, las compañías frecuentemente invierten una significativa cantidad de dinero en controles para seguridad, y procesos diseñados para control de acceso hacia sus activos de información e infraestructura de TI.

Desafortunadamente la mayoría de empresas no prueban estos sistemas y procesos, a menos estén en una industria regulada como la banca, o se haya sido victima de un ataque interno. Incluso peor, muchas compañías asignan la tarea de probar los controles a empleados altamente privilegiados, quienes actualmente poseen un alto riesgo. Para una organización comprenda cuan vulnerable es a un ataque interno, debe tener una prueba independiente de un tercero hacia sus controles internos.

Fuentes:

https://www.observeit.com/blog/5-examples-of-insider-threat-caused-breac...
https://www.tripwire.com/state-of-security/security-data-protection/insi...