La grande quantità di dati archiviati in un database lo rende un punto critico di difesa per qualsiasi impresa e un obiettivo prezioso dei ne'er-do-wells dell'elettronica. Mentre le minacce esterne sono sempre una priorità nella sicurezza dei dati, una minaccia potenzialmente più pericolosa e insidiosa è sempre presente: un attacco dall'interno. Imparare le differenze tra un attacco interno e uno esterno può aiutarti a proteggere meglio il tuo database dagli attacchi da tutte le parti.
Invasori contro Sabotatori
La differenza fondamentale tra una minaccia esterna e una interna è l'identità dell'attaccante. Un modo semplificato per vederlo è guardare gli invasori contro i sabotatori. Le minacce esterne, o invasori, agiscono dall'esterno dell'azienda e devono superare le tue difese esterne per raggiungere il tuo database. Le minacce interne, o sabotatori, operano all'interno dell'azienda e possono quindi aggirare le difese esterne. In qualità di membri fidati dell'azienda, hanno già molto più accesso di qualsiasi minaccia esterna.
Intenzione di minaccia
Le intenzioni dietro una minaccia al database sono un'altra questione chiave. Le minacce esterne sono quasi sempre dannose e il furto di dati, il vandalismo e l'interruzione dei servizi sono tutti possibili obiettivi. Le minacce interne possono essere ugualmente pericolose e possono includere anche ricatti o altre attività illecite. Le minacce interne, tuttavia, non sono sempre dannose. A volte, la minaccia non è affatto una persona, ma politiche e misure di sicurezza interna scadenti che causano violazioni del database impreviste o non intenzionali o espongono punti deboli ad aggressori esterni in caso di violazione o elusione delle misure di sicurezza esterne.
Accesso disponibile
Le minacce esterne sono limitate all'accesso che possono ottenere dall'esterno della rete dati della tua azienda. Devono aggirare o disabilitare con successo le difese esterne prima ancora di poter accedere alla rete e accedere ai dati disponibili per gli account non privilegiati. Le minacce interne hanno diversi livelli di accesso in base al livello di privilegio, ma generalmente hanno accesso alle risorse di rete di base tramite informazioni di accesso legittime. Gli utenti più privilegiati possono anche avere accesso diretto al database e ad altre risorse IT, nonché a informazioni potenzialmente sensibili.
Componenti interni di attacchi esterni
Molti attacchi esterni hanno una componente interna che facilita l'accesso o effettua le proprie operazioni illecite. Sebbene in alcuni casi si tratti di un vero e proprio sabotatore, molti altri componenti interni di attacchi esterni includono Trojan, keylogger e altri software dannosi che creano canali aperti per gli intrusi o consentono loro di utilizzare informazioni di accesso legittime per ottenere un accesso non autorizzato.
Ingegneria sociale
L'ingegneria sociale, o la manipolazione del personale per creare o rivelare punti deboli della sicurezza, funge da minaccia sia esterna che interna. Gli ingegneri sociali depredano le vittime inconsapevoli con truffe, tra cui chiamare e fingere di essere supporto tecnico per ottenere informazioni sensibili o installare software dannoso e lasciare supporti fisici dall'aspetto ufficiale carichi di malware per le vittime ignare da trovare. Gli ingegneri sociali possono persino predare la cortesia comune, seguendo personale ignaro in aree riservate e fingendo di aver perso il token di convalida o la carta d'identità. L'unico modo per mitigare realmente gli attacchi degli ingegneri sociali è formare rigorosamente i dipendenti sulla riservatezza delle password e sui protocolli di sicurezza e applicare questi protocolli.
Precauzioni e contromisure
Le minacce puramente esterne sono principalmente coperte da un potente firewall e protezione IPS sul perimetro della rete. Il compito più difficile è la sicurezza interna, che spesso richiede notevoli cambiamenti di policy. Ciò include la modifica delle politiche delle password per aumentare la sicurezza delle password e il monitoraggio di tutti gli accessi al database, in particolare da parte di utenti che eseguono da posizioni anomale come applicazioni al di fuori della rete. La sicurezza interna dovrebbe essere orientata dall'alto verso il basso, con misure di sicurezza nel caso in cui gli utenti di tutti i livelli di privilegio, poiché i sabotatori possono provenire da qualsiasi livello dell'organizzazione.