El personal de seguridad de la información está tan decidido a defender sus organizaciones de ataques externos, que ignoran amenazas de mayor daño, según el Instituto SANS.
A medida que las organizaciones que protegen la seguridad de ataques externos se vuelven más formidables, los atacantes buscan objetivos más fáciles; Los usuarios que ya tienen acceso a los datos más sensibles de una organización, por ejemplo, no son tan difíciles de engañar como los sistemas de seguridad.
«Mientras que los insiders deliberados / maliciosos son siempre una preocupación, lo que muchas organizaciones no se dan cuenta es que un ataque externo a menudo se dirigen a un insider legítimo y engañarlos para causar daño», según el autor del estudio SANS Eric Cole, PhD. «Esta información privilegiada accidental / no intencional podría ser utilizada como una vía por el adversario, para salir con los datos más sensibles de una organización sin fanfarria ni drama, y pocas organizaciones podrían ni siquiera saber qué había ocurrido».
Aunque estos ataques son devastadores, pocas organizaciones parecen darse cuenta de que incluso cuando el origen de un ataque es externo, el último punto de entrada para el atacante fue un iniciado que fue engañado o manipulado para causar daño.
Los encuestados entienden el riesgo. Cuando se les pidió clasificar a los atacantes según la cantidad de daño que pudieran hacer, sólo el 23% de los encuestados dijo que los atacantes de fuera harían el mayor daño; 36% dijeron que las peores violaciones provendrían de iniciados no intencionales y el 40% dijo que los maliciosos internos causaría el mayor daño.
Sin embargo, pocos parecían tener idea de la cantidad de daño. El cuarenta y cinco por ciento de los encuestados dijo que el costo de una pérdida potencial era «Desconocido», mientras que el 33% dijo que no tenía una estimación específica del costo.
Los datos que muestran que el 62% de los encuestados nunca han experimentado un ataque interno probablemente también indican baja visibilidad, pero no bajo riesgo, según Cole. Treinta y ocho por ciento de los encuestados dijeron que los sistemas y métodos que utilizan para monitorear la actividad de los iniciados son ineficaces, lo que hace que sea aún menos probable que puedan identificar un ataque interno en curso.
La incapacidad de ver es una cosa; La reticencia a prepararse es otra. Sólo el 18% de los encuestados dijeron que tienen planes formales de respuesta a incidentes que incluyen potenciales ataques internos, aunque el 49% dijo que están desarrollando un plan de este tipo; 31% de los encuestados dijeron que no tienen un programa formal en el lugar o preparativos para hacer frente a las amenazas de los iniciados.
«Los iniciados maliciosos han sido siempre una amenaza, pero el riesgo está aumentando de los iniciados» no intencionales «que son engañados en dar su información de inicio de sesión a los llamadores de los mostradores de ayuda falsos o haciendo clic en los archivos adjuntos que liberan malware. «Cada organización está a sólo un clic de distancia de un compromiso potencial.»
Fuente: https://www.helpnetsecurity.com/2017/07/21/insider-attack-damage/