Diferencia entre amenazas internas y externas a una base de datos de TI

La gran cantidad de datos almacenados en una base de datos la convierte en un punto crítico de defensa para cualquier empresa, y un objetivo preciado de los ne'er-do-wells electrónicos. Si bien las amenazas externas son siempre una prioridad en la seguridad de los datos, siempre está presente una amenaza potencialmente más peligrosa e insidiosa: un ataque desde adentro. Conocer las diferencias entre un ataque interno y externo puede ayudarlo a proteger mejor su base de datos contra ataques de todos los lados.

Invasores contra saboteadores

La diferencia fundamental entre una amenaza externa e interna es la identidad del atacante. Una forma simplificada de ver esto es mirar invasores versus saboteadores. Las amenazas externas, o invasores, actúan desde fuera de la empresa y deben superar sus defensas externas para llegar a su base de datos. Las amenazas internas, o saboteadores, funcionan dentro de la empresa y, por lo tanto, pueden eludir las defensas externas. Como miembros de confianza de la empresa, ya tienen mucho más acceso que cualquier amenaza externa.

Intención de amenaza

Las intenciones detrás de una amenaza a la base de datos es otro tema clave. Las amenazas externas son casi siempre maliciosas, y el robo de datos, el vandalismo y la interrupción de los servicios son todos los objetivos posibles. Las amenazas internas pueden ser igualmente despiadadas y también pueden incluir el chantaje u otras actividades ilícitas. Sin embargo, las amenazas internas no siempre son maliciosas. A veces, la amenaza no es una persona en absoluto, sino políticas y medidas de seguridad internas deficientes que causan violaciones inesperadas o involuntarias de la base de datos, o exponen debilidades a atacantes externos en caso de que violen o burlen las medidas de seguridad externas.

Acceso disponible

Las amenazas externas se limitan al acceso que pueden obtener desde fuera de la red de datos de su empresa. Deben omitir o deshabilitar con éxito las defensas externas antes de que puedan iniciar sesión en la red y acceder a los datos que están disponibles para las cuentas sin privilegios. Las amenazas internas tienen distintos niveles de acceso según el nivel de privilegio, pero generalmente tienen acceso a los recursos básicos de la red a través de información de inicio de sesión legítima. Los usuarios más privilegiados también pueden tener acceso directo a la base de datos y otros recursos de TI, así como a información potencialmente sensible.

Componentes internos de ataques externos

Muchos ataques externos tienen un componente interno que facilita el acceso o realizar sus propias operaciones ilícitas. Si bien en algunos casos se trata de un saboteador real, muchos otros componentes internos del ataque externo incluyen troyanos, registradores de pulsaciones de teclas y otro software malicioso que crean canales abiertos para intrusos o les permiten utilizar información de inicio de sesión legítima para obtener acceso no autorizado.

Ingeniería social

La ingeniería social, o la manipulación del personal para crear o revelar debilidades de seguridad, sirve como una amenaza tanto externa como interna. Los ingenieros sociales se aprovechan de las víctimas involuntarias con estafas que incluyen llamadas y fingir ser soporte técnico para obtener información confidencial o instalar software malicioso y dejar medios físicos de apariencia oficial cargados con malware para que las víctimas desprevenidas los encuentren. Los ingenieros sociales pueden incluso aprovecharse de la cortesía común, siguiendo al personal inconsciente a áreas restringidas y fingiendo haber perdido su ficha de validación o tarjeta de identificación. La única forma de mitigar realmente los ataques de los ingenieros sociales es capacitar rigurosamente a los empleados sobre la confidencialidad de las contraseñas y los protocolos de seguridad y hacer cumplir estos protocolos.

Precauciones y contramedidas

Las amenazas puramente externas se cubren principalmente con un fuerte firewall y protección IPS en el perímetro de la red. La tarea más difícil es la seguridad interna, que a menudo requiere cambios considerables en las políticas. Esto incluye cambiar las políticas de contraseñas para aumentar la seguridad de las contraseñas y monitorear todo el acceso a la base de datos, especialmente por parte de los usuarios que se ejecutan desde ubicaciones anormales, como aplicaciones fuera de la red. La seguridad interna debe orientarse de arriba hacia abajo, con medidas de seguridad en caso de usuarios de todos los niveles de privilegio, ya que los saboteadores pueden provenir de cualquier nivel de la organización.