sábado, 28 de agosto de 2004

La "amenaza interna"

El CERT/CC y el Servicio Secreto de los Estados Unidos publican
un estudio que analiza los ataques informáticos realizados desde
dentro de las empresas del sector bancario y financiero.

Tradicionalmente las inversiones en medidas de seguridad
informática se han centrando, especialmente desde que la
conectividad con Internet se ha convertido en un hecho habitual,
en los sistemas de defensas y protección ante la "amenaza
externa". Esto es, el objetivo de las mismas es proteger las
redes corporativas de los ataques indiscriminados realizados por
personas que no conocemos.

Desde hace ya unos años, diversos analistas vienen haciendo
hincapié en que si bien los ataques "externos" son realmente muy
numerosos pero por lo general el impacto económico de los mismos
era bajo. Por otro lado, era importante no olvidar aquellos que
se realizan desde el interior de la red corporativa. Éstos, muy
inferiores en número respecto a los ataques externos, por lo
general tienen un impacto económico realmente importante. Por
tanto, el mismo empeño que se pone en proteger la red corporativa
de los ataques externos debe aplicarse en proteger los recursos
críticos de información ante cualquier ataque que provenga de la
propia red corporativa.

Un gran problema en la defensa de este planteamiento radica en la
poca información fidedigna y contrastada sobre los efectos reales
de la "amenaza interna". El sentido común puede indicarnos una
cosa pero la carencia de argumentos que corroboren los mismos es
prácticamente imposible utilizarlos como medida argumental.

El Servicio Secretos de los Estados Unidos y el CERT/CC acaban de
publicar un informe donde se analiza el impacto real de los
ataques con origen en el interior de las organizaciones.

El estudio se centra en empresas del sector bancario y financiero
y analiza un total de 23 incidentes realizados por 26 empleados
entre los años 1996 y 2002. Las organizaciones afectadas incluyen
empresas de seguros, bancos, firmas de inversiones y otras
empresas del sector bancario y financiero.

De los 23 incidentes estudiados, 15 tuvieron como resultado
diversos tipos de fraude, 4 estaban relacionados con el robo de
propiedad intelectual y los 4 últimos consistían en el sabotaje
de los sistemas informáticos o la red.

Las conclusiones del estudio son realmente interesantes:

* La práctica totalidad de los incidentes no pueden calificarse
como complejos o tan siquiera sofisticados desde el punto de
vista tecnológico. Habitualmente se basan en utilizar
vulnerabilidades no relacionadas con la tecnología, sino con los
procedimientos de negocio o las políticas organizativas. En un
87% de los casos, los atacantes internos utilizaron mecanismos
plenamente legítimos en la realización de los ataques. Es más, en
un 78% de los casos, los atacantes eran personal autorizado con
acceso activo a los sistemas.

* Una gran parte de los incidentes (81%) fueron fruto de una
planificación previa detallada. En muchas situaciones, había
personas de la organización que conocían las intenciones, planes
y/o actividades de los atacantes. Estas personas con conocimiento
de lo que sucedía habían participado en la organización o
esperaban obtener un beneficio de la actividad delictiva que se
estaba desarrollando.

* El principal motivo para la realización de los ataques (81% de
los casos) era la obtención de beneficios económicos y no la
intención de dañar los intereses de la organización o los
sistemas informáticos.

* No existe un perfil único que permita identificar a los autores
de los ataques. Sólo un 23% de los mismos disponen de un perfil
técnico dentro de la organización, un 13% han demostrado algún
tipo de interés en temas relacionados con la seguridad
informática y un 27% ha recibido algún tipo de aviso previo a
causa de sus actividades.

* Tampoco existe un patrón común en la forma de detectar un
ataque interno: algunos han sido detectados a nivel interno
mientras que otros han sido identificados gracias a avisos
procedentes del exterior, como pueden ser clientes y proveedores.

* El resultado en virtualmente todos los ataques realizados desde
el interior en el sector financiero y bancario fue una pérdida
económica por parte de la organización atacada. En el 30% de los
casos el importe de la pérdida sobrepasó los 500.000 dólares.
Muchos ataques provocaron pérdidas y daños en diversos aspectos
de la organización.

* Casi todos los ataques (83%) se realizaron físicamente en el
interior de las organizaciones y durante el horario habitual de
trabajo.


Xavier Caballe
xavi@hispasec.com


Más información:

Insider Treat Survey: Illicit Caber Activity in the Banking and Finance
Sector
http://www.secretservice.gov/ntac_its.shtml

Informe sobre els problemes de seguretat originates dins les organitzacions
http://www.quands.info/2004/08/26.html#a3330