Imprès des de Indymedia Barcelona : http://barcelona.indymedia.org/
Independent Media Center
Notícies :: corrupció i poder : xarxa i llibertat
Seguridad Informática:: La amenaza interna
28 ago 2004
El CERT/CC y el Servicio Secreto de los Estados Unidos publican un estudio que analiza los ataques informáticos realizados desde dentro de las empresas del sector bancario y financiero.
MatrixGL.jpg
www.hispasec.com, Xavier Caballe

Tradicionalmente las inversiones en medidas de seguridad informática se han centrando, especialmente desde que la conectividad con Internet se ha convertido en un hecho habitual,
en los sistemas de defensas y protección ante la "amenaza externa". Esto es, el objetivo de las mismas es proteger las redes corporativas de los ataques indiscriminados realizados por personas que no conocemos.

Desde hace ya unos años, diversos analistas vienen haciendo hincapié en que si bien los ataques "externos" son realmente muy numerosos pero por lo general el impacto económico de los mismos era bajo. Por otro lado, era importante no olvidar aquellos que se realizan desde el interior de la red corporativa. Éstos, muy
inferiores en número respecto a los ataques externos, por lo general tienen un impacto económico realmente importante. Por tanto, el mismo empeño que se pone en proteger la red corporativa de los ataques externos debe aplicarse en proteger los recursos críticos de información ante cualquier ataque que provenga de la propia red corporativa.

Un gran problema en la defensa de este planteamiento radica en la poca información fidedigna y contrastada sobre los efectos reales
de la "amenaza interna". El sentido común puede indicarnos una cosa pero la carencia de argumentos que corroboren los mismos es rácticamente imposible utilizarlos como medida argumental.

El Servicio Secretos de los Estados Unidos y el CERT/CC acaban de publicar un informe donde se analiza el impacto real de los ataques con origen en el interior de las organizaciones.

El estudio se centra en empresas del sector bancario y financiero y analiza un total de 23 incidentes realizados por 26 empleados entre los años 1996 y 2002. Las organizaciones afectadas incluyen empresas de seguros, bancos, firmas de inversiones y otras empresas del sector bancario y financiero.

De los 23 incidentes estudiados, 15 tuvieron como resultado diversos tipos de fraude, 4 estaban relacionados con el robo de propiedad intelectual y los 4 últimos consistían en el sabotaje de los sistemas informáticos o la red.

Las conclusiones del estudio son realmente interesantes:

- La práctica totalidad de los incidentes no pueden calificarse como complejos o tan siquiera sofisticados desde el punto de vista tecnológico. Habitualmente se basan en utilizar vulnerabilidades no relacionadas con la tecnología, sino con los procedimientos de negocio o las políticas organizativas. En un
87% de los casos, los atacantes internos utilizaron mecanismos plenamente legítimos en la realización de los ataques. Es más, en
un 78% de los casos, los atacantes eran personal autorizado con acceso activo a los sistemas.

- Una gran parte de los incidentes (81%) fueron fruto de una planificación previa detallada. En muchas situaciones, había personas de la organización que conocían las intenciones, planes
y/o actividades de los atacantes. Estas personas con conocimiento de lo que sucedía habían participado en la organización o esperaban obtener un beneficio de la actividad delictiva que se estaba desarrollando.

- El principal motivo para la realización de los ataques (81% de los casos) era la obtención de beneficios económicos y no la intención de dañar los intereses de la organización o los sistemas informáticos.

- No existe un perfil único que permita identificar a los autores de los ataques. Sólo un 23% de los mismos disponen de un perfil técnico dentro de la organización, un 13% han demostrado algún tipo de interés en temas relacionados con la seguridad informática y un 27% ha recibido algún tipo de aviso previo a causa de sus actividades.

- Tampoco existe un patrón común en la forma de detectar un ataque interno: algunos han sido detectados a nivel interno mientras que otros han sido identificados gracias a avisos procedentes del exterior, como pueden ser clientes y proveedores.

- El resultado en virtualmente todos los ataques realizados desde el interior en el sector financiero y bancario fue una pérdida económica por parte de la organización atacada. En el 30% de los casos el importe de la pérdida sobrepasó los 500.000 dólares. Muchos ataques provocaron pérdidas y daños en diversos aspectos
de la organización.

- Casi todos los ataques (83%) se realizaron físicamente en el interior de las organizaciones y durante el horario habitual de trabajo.

Más información:

Insider Treat Survey: Illicit Caber Activity in the Banking and Finance
Sector
http://www.secretservice.gov/ntac_its.shtml

Informe sobre els problemes de seguretat originates dins les organitzacions
http://www.quands.info/2004/08/26.html#a3330
Mira també:
http://www.hispasec.com

Copyright by the author. All rights reserved.

Comentaris

Re: Seguridad Informática:: La amenaza interna
28 ago 2004
(copyright del Xabier Caballé que ha escrito el artículo ;)
Re: Seguridad Informática:: La amenaza interna
29 ago 2004
Aqui quizás falta tener en cuenta que también hay casos de ataques internos con éxito, parte del cual consiste en no haber sido detectados o denunciados.

Es decir, que hay casos en que el "plan de ataque" debió de incluir culminarlo con impunidad, algunos de los cuales fracasaron en ese aspecto y figuran en el artículo de Xabier Caballé, pero otros casos habrán tenido un completo éxito y el atacante sigue con su normal vida entre los demás esclavos de la empresa.
Sindicat